上周关注度较高的产品安全漏洞(20220530-20220605)

发布于 作者:

上周关注度较高的产品安全漏洞(20220530-20220605)

国家互联网应急中心CNCERT 2022-06-07 17:48

一、境外厂商产品漏洞

1、
微软支持诊断工具远程代码执行漏洞

微软支持诊断工具(MSDT,Microsoft Support Diagnostic Tool)是一种实用程序,用于排除故障并收集诊断数据,供专业人员分析和解决问题。Microsoft Office是由微软公司开发的一款常用办公软件。微软支持诊断工具存在远程代码执行漏洞,未经身份验证的攻击者利用该漏洞诱使用户直接访问或者预览恶意的Office文档,通过恶意Office文档中的远程模板功能,从服务器获取包含恶意代码的HTML文件并执行,从而实现以当前用户权限下的任意代码执行攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-42150

2、
Adobe Photoshop越界写入漏洞(CNVD-2022-42164)

Adobe Photoshop是美国奥多比(Adobe)公司的一套图片处理软件。Adobe Photoshop存在越界写入漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-42164

3、
Google Android权限提升漏洞(CNVD-2022-42143)

Google Android是美国谷歌(Google)公司的的一套以Linux为基础的开源操作系统。Google Androidl存在权限提升漏洞,攻击者可利用该漏洞导致本地权限提升。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-42143

4、
Atlassian Confluence Server和Data Center远程代码执行漏洞

Atlassian Confluence Server是澳大利亚Atlassian公司的一套具有企业知识管理功能,并支持用于构建企业WiKi的协同软件的服务器版本。Atlassian Confluence Data
Center是Atlassian Confluence的数据中心版本。Atlassian Confluence Server和Data Center存在远程代码执行漏洞,未经身份验证的攻击者利用该漏洞通过命令注入可在目标服务器上执行任意代码,从而控制目标服务器。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-43094

5、
Dell EMC NetWorker信息泄露漏洞(CNVD-2022-42743)

Dell EMC NetWorker是美国戴尔(DELL)公司的一套统一备份和恢复软件。该软件提供备份与恢复、消除重复数据、备份报告等功能。Dell NetWorker存在信息泄露漏洞。攻击者可利用该漏洞访问未经授权的信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-42743

二、境内厂商产品漏洞

1、
Tenda AC9缓冲区溢出漏洞

Tenda AC9
是中国腾达(
Tenda
)公司的一款无线路由器。
Tenda AC9
存在缓冲区溢出漏洞,攻击者可利用该漏洞通过
url
参数执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-42149

2、TOTOLINK A3100R setParentalRules函数缓冲区溢出漏洞

TOTOLINK A3100R
是中国吉翁电子(
TOTOLINK
)公司的一系列无线路由器。
TOTOLINK A3100R setParentalRules
函数存在缓冲区溢出漏洞,攻击者可利用该漏洞通过精心设计的
POST
请求导致拒绝服务
(DoS)。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-42732

3、D-Link DIR882命令注入漏洞

D-Link DIR882
是中国友讯(
D-Link
)公司的一款双频无线路由器。
D-Link DIR882
存在命令注入漏洞,攻击者可利用该漏洞通过精心设计的负载将权限提升到
root。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-42156

4、2345好压存在内存破坏漏洞(CNVD-2022-38914)

2345
好压是一款免费解压缩软件。
2345
好压存在内存破坏漏洞,攻击者可利用该漏洞造成本地软件崩溃。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-38914

5、Tenda AX12缓冲区溢出漏洞(CNVD-2022-42152)

Tenda AX12
是中国腾达(
Tenda
)公司的一款双频千兆
Wifi 6
无线路由器。
Tenda AX12
存在缓冲区溢出漏洞,攻击者可利用该漏洞导致堆栈溢出。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-42152

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况
综合评定。