上周关注度较高的产品安全漏洞(20220801-20220807)

发布于 作者:

上周关注度较高的产品安全漏洞(20220801-20220807)

国家互联网应急中心CNCERT 2022-08-09 17:24

一、境外厂商产品漏洞

1、
Pexip Infinity输入验证错误漏洞(CNVD-2022-54746)

Pexip Infinity
(派视普视频会议云协作平台)是挪威派世(
Pexip
)公司的一款视频会议云协作平台。该产品可提供高质量安全的云会议功能。
Pexip Infinity
存在输入验证错误漏洞,攻击者可利用该漏洞触发软件中止,从而导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54746

2、Aruba ClearPass Policy Manager远程命令注入漏洞(CNVD-2022-55527)

Aruba ClearPass Policy Manager
是美国
Aruba
公司的一个应用系统提供无线网络安全接入管理系统。
Aruba ClearPass Policy
Manager 6.10.4
及之前版本、
6.9.9
及之前版本和
6.8.9-HF2
及之前版本的
web
管理界面存在远程命令注入漏洞,经过身份验证的远程攻击者利用该漏洞在底层主机上运行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-55527

3、VMware vCenter Server信息泄露漏洞(CNVD-2022-55066)

VMware vCenter Server
是美国威睿(
Vmware
)公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理
VMware vSphere
环境的集中式平台,可自动实施和交付虚拟基础架构。
VMware vCenter Server
存在信息泄露漏洞,具有非管理访问权限的攻击者可利用该漏洞来获取对敏感信息的访问权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-55066

4、Google
Android安全绕过漏洞(CNVD-2022-54478)

Google Android
是美国谷歌(
Google
)公司的一套以
Linux
为基础的开源操作系统。
Google Android
存在安全漏洞,攻击者可利用该漏洞绕过身份验证并获得访问权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54478

5、
Cisco Nexus Dashboard权限提升漏洞

Cisco Nexus Dashboard
是美国思科(
Cisco
)公司的一个单一控制台。能够简化数据中心网络的运营和管理。
Cisco Nexus Dashboard
存在权限提升漏洞,该漏洞源于在受影响设备上执行
CLI
命令期间输入验证不足。攻击者可利用该漏洞导致提升权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54959

二、境内厂商产品漏洞

1、华天动力OA系统任意文件上传漏洞

华天动力
OA
系统是由大连华天软件有限公司开发的协同办公软件。华天动力
OA
系统存在任意文件上传漏洞,攻击者可利用该漏洞上传任意文件到服务器

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54886

2、Totolink A3600R缓冲区溢出漏洞****

TotoLink A3600R
是中国台湾吉翁电子(
TotoLink
)公司的一款
6
天线
1200M
无线路由器。
Totolink A3600R V4.1.2cu.5182_B20201102
版本存在缓冲区溢出漏洞,该漏洞源于在
infostat.cgi

fread
函数中包含堆栈器溢出,攻击者可利用该漏洞通过参数
CONTENT_LENGTH
导致拒绝服务
(DoS)。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54650

3、WAVLINK WN579 X3 messages.txt访问控制错误漏洞

WAVLINK WN579 X3
是中国睿因科技(
WAVLINK
)公司的一款无线路由器。
WAVLINK WN579 X3 M79X3.V5030.191012
版本存在访问控制错误漏洞。该漏洞源于
messages.txt
文件未能设置合理的访问权限,攻击者可利用该漏洞通过访问
messages.txt
获取关键信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54900

4、TotoLink A3100R命令注入漏洞(CNVD-2022-54652)

TotoLink A3100R
是中国台湾吉翁电子(
TotoLink
)公司的一系列无线路由器。
TotoLink A3100R V4.1.2cu.5050_B20200504
版本和
V4.1.2cu.5247_B20211129
版本存在命令注入漏洞,该漏洞源于
uci_cloudupdate_config
函数中的
magicid
参数未能正确过滤构造命令特殊字符、命令等,攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/
CNVD-2022-54652

5、TotoLink A3100R操作系统命令注入漏洞

TotoLink A3100R
是中国台湾吉翁电子(
TotoLink
)公司的一系列无线路由器。
TotoLink A3100R V5.9c.4577
版本存在操作系统命令注入漏洞,该漏洞源于输入的字段未经过正确的过滤,攻击者可利用该漏洞导致命令注入攻击

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-55137

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况
综合评定。