上周关注度较高的产品安全漏洞(20220711-20220717)

发布于 作者:

上周关注度较高的产品安全漏洞(20220711-20220717)

国家互联网应急中心CNCERT 2022-07-19 17:54

一、境外厂商产品漏洞

1、
WordPress Coming soon and Maintenance mode跨站请求伪造漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。WordPress Coming soon and
Maintenance mode存在跨站请求伪造漏洞,该漏洞源于插件未CSRF检查,攻击者可利用该漏洞通过CSRF攻击将任意邮件发送给所有订阅用户。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-51184

2、
Fortinet FortiPortal安全特征问题漏洞

Fortinet FortiPortal
是美国飞塔(
Fortinet
)公司的
FortiGate

FortiWiFi

FortiAP
产品线的高级、功能丰富的托管安全分析和管理支持工具,可作为虚拟机供
MSP
使用。
Fortinet FortiPortal 6.0.6
之前版本存在安全特征问题漏洞,该漏洞源于
FortiPortal
的密码重置功能中使用弱伪随机数生成器,攻击者可利用该漏洞在给定时间范围内预测部分或全部新生成的密码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50955

3、
SAP 3D Visual Enterprise Viewer输入验证错误漏洞(CNVD-2022-50940)

SAP 3D Visual Enterprise Viewer
是德国思爱普(
SAP
)公司的一款
3D
视图查看器。该软件支持在所有行业标准的桌面应用中发布
2D

3D
场景,并支持以独立可执行程序和
ActiveX
空间单独安装。
SAP 3D Visual Enterprise
Viewer
存在输入验证错误漏洞,攻击者可利用该漏洞导致应用程序崩溃并且用户暂时无法使用,直到重新启动应用程序。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50940

4、
Apache NiFi命令注入漏洞

Apache NiFi
是美国阿帕奇(
Apache
)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。
Apache NiFi Registry
是其中的一个用于存储和管理版本化流程的注册表。
Apache NiFi 1.10.0
版本至
1.16.2
版本、
Apache NiFi Registry 0.6.0
版本至
1.16.2
版本存在命令注入漏洞。该漏洞源于用户输入构造执行命令过程中,网络系统或产品未能正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞在
Linux

macOS
平台上注入操作系统命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-51056

5


SAP PowerDesigner代码问题漏洞

SAP PowerDesigner
是德国思爱普(
SAP
)公司的一款数据库设计软件。
SAP PowerDesigner Proxy
16.7
版本存在代码问题漏洞,攻击者可利用该漏洞绕过系统的根磁盘访问限制,在系统磁盘根路径上写入或创建程序文件,并提升应用程序的权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50943

二、境内厂商产品漏洞

1、
禾匠榜店商城系统存在命令执行漏洞

浙江禾匠信息科技有限公司是一家专业从事移动互联网技术开发的科技型公司。禾匠榜店商城系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-51194

2、
易勤WEB考勤管理软件存在SQL注入漏洞

易勤WEB考勤管理软件是一款网络版B/S架构WEB考勤管理软件。易勤WEB考勤管理软件存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48623

3、
D-Link DIR-890L存在二进制漏洞

D-Link DIR-890L是一款无线路由器。D-Link DIR-890L存在二进制漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-51196

4、
北京宝兰德软件股份有限公司BES管理控制台存在未授权访问漏洞

北京宝兰德软件股份有限公司是一家专注于基础软件研发及推广的高新技术软件企业。北京宝兰德软件股份有限公司BES管理控制台存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48616

5、
Robustel R1510操作系统命令注入漏洞(CNVD-2022-51425

Robustel R1510是中国Robustel公司的一款工业VPN路由器。Robustel R1510存在操作系统命令注入漏洞,该漏洞源于特制的网络数据包可在/ajax/set_sys_time/API中受到命令注入漏洞的影响,攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-51425

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况
综合评定。