一、境外厂商产品漏洞
1、Adobe Dimension越界读取漏洞(CNVD-2022-02631)
Adobe Dimension是美国Adobe公司的是一套2D和3D合成设计工具。Adobe Dimension存在越界读取漏洞,攻击者可利用该漏洞导致敏感内存泄露。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-02631
2、Google Chrome资源管理错误漏洞(CNVD-2022-02627)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在资源管理错误漏洞,攻击者可利用该漏洞说服用户安装恶意扩展程序,从而通过精心设计的Chrome扩展程序潜在地利用堆损坏。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-02627
3、Apache HTTP Server拒绝服务漏洞(CNVD-2022-03205)
Apache HTTP
Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache
HTTP
Server在2.4.30至2.4.48版本存在拒绝服务漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证。攻击者可利用该漏洞通过精心编制的请求uri路径可能导致mod_proxy_uwsgi读取分配的内存并崩溃。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-03205
4、Wireshark输入验证错误漏洞
Wireshark(前称Ethereal)是Wireshark团队的一套网络数据包分析软件。该软件的功能是截取网络数据包,并显示出详细的数据以供分析。Gryphon
dissector是其中的一个Gryphon协议解析器。Wireshark中存在输入验证错误漏洞,该漏洞源于产品未对Kafka报文进行有效处理。攻击者可通过该漏洞导致拒绝服务。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-02726
5、Adobe Prelude内存损坏漏洞
Adobe Prelude是美国奥多比(Adobe)公司的一套视频素材编辑剪辑工具。该产品能够对视频素材进行剪辑、排序和注释等。Adobe Prelude存在内存损坏漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-02638
二、境内厂商产品漏洞
1、Realtek RTL8195AM缓冲区溢出漏洞
Realtek RTL8195AM是中国台湾瑞昱半导体(Realtek)公司的一款物联网微控制器。Realtek RTL8195AM
2.0.10之前版本存在缓冲区溢出漏洞,该漏洞源于软件当中对于大长度文本缺少有效处理,导致堆栈缓冲区溢出,攻击者可利用该漏洞发送大尺寸的Authentication
challenge文本,实现针对客户端的漏洞利用。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-02732
2、DamiCMS跨站请求伪造漏洞(CNVD-2022-02728)
DamiCMS是一套用于快速搭建网站的内容管理系统(CMS)。DamiCMS
v6.0版本存在安全漏洞,该漏洞源于/damicms-master/admin.php?s=/Article/doedit
缺少对于cookie的保护,攻击者可利用该漏洞通过获取用户的会话 cookie来破坏和冒充用户帐户。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-02728
3、Qibosoft跨站请求伪造漏洞(CNVD-2022-02758)
Qibosoft qibosoft是中国齐博软件(Qibosoft)公司的一套内容管理系统(CMS)。Qibosoft存在跨站请求伪造漏洞,攻击者可利用该漏洞任意添加管理员帐户。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-02758
4、HongCMS访问控制错误漏洞
HongCMS是一套开源的轻量级内容管理系统(CMS)。HongCMS中存在访问控制错误漏洞,该漏洞源于产品未对/admin/index.php/template/edit页面添加有效的权限控制。攻击者可通过该漏洞导致任意文件读写。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-02741
5、ZZCMS访问控制错误漏洞
ZZCMS是中国Zzcms团队的一套内容管理系统(CMS)。ZZCMS 存在访问控制错误漏洞,该漏洞源于通过admin.php在zzcms中存在一个错误的访问控制漏洞,攻击者可利用此漏洞禁用JavaScript后直接访问管理员控制台。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-02737
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
评论