上周關注度較高的產品安全漏洞(20220801-20220807)

VSole2022-08-08 15:18:29

一、境外廠商產品漏洞

1、 Pexip Infinity輸入驗證錯誤漏洞（CNVD-2022-54746）

Pexip Infinity（派視普視頻會議云協作平臺）是挪威派世（Pexip）公司的一款視頻會議云協作平臺。該產品可提供高質量安全的云會議功能。Pexip Infinity存在輸入驗證錯誤漏洞，攻擊者可利用該漏洞觸發軟件中止，從而導致拒絕服務。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54746

2、Aruba ClearPass Policy Manager遠程命令注入漏洞（CNVD-2022-55527）

Aruba ClearPass Policy Manager是美國Aruba公司的一個應用系統提供無線網絡安全接入管理系統。Aruba ClearPass Policy Manager 6.10.4及之前版本、6.9.9及之前版本和6.8.9-HF2及之前版本的web管理界面存在遠程命令注入漏洞，經過身份驗證的遠程攻擊者利用該漏洞在底層主機上運行任意命令。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-55527

3、VMware vCenter Server信息泄露漏洞（CNVD-2022-55066）

VMware vCenter Server是美國威睿（Vmware）公司的一套服務器和虛擬化管理軟件。該軟件提供了一個用于管理VMware vSphere環境的集中式平臺，可自動實施和交付虛擬基礎架構。VMware vCenter Server 存在信息泄露漏洞，具有非管理訪問權限的攻擊者可利用該漏洞來獲取對敏感信息的訪問權限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-55066

4、Google Android安全繞過漏洞（CNVD-2022-54478）

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。Google Android存在安全漏洞，攻擊者可利用該漏洞繞過身份驗證并獲得訪問權限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54478

5、 Cisco Nexus Dashboard權限提升漏洞

Cisco Nexus Dashboard是美國思科（Cisco）公司的一個單一控制臺。能夠簡化數據中心網絡的運營和管理。Cisco Nexus Dashboard存在權限提升漏洞，該漏洞源于在受影響設備上執行CLI命令期間輸入驗證不足。攻擊者可利用該漏洞導致提升權限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54959

二、境內廠商產品漏洞

1、華天動力OA系統任意文件上傳漏洞

華天動力OA系統是由大連華天軟件有限公司開發的協同辦公軟件。華天動力OA系統存在任意文件上傳漏洞，攻擊者可利用該漏洞上傳任意文件到服務器。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54886

2、Totolink A3600R緩沖區溢出漏洞

TotoLink A3600R是中國臺灣吉翁電子（TotoLink）公司的一款6天線1200M無線路由器。Totolink A3600R V4.1.2cu.5182_B20201102版本存在緩沖區溢出漏洞，該漏洞源于在infostat.cgi的fread函數中包含堆棧器溢出，攻擊者可利用該漏洞通過參數CONTENT_LENGTH導致拒絕服務 (DoS)。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54650

3、WAVLINK WN579 X3 messages.txt訪問控制錯誤漏洞

WAVLINK WN579 X3是中國睿因科技（WAVLINK）公司的一款無線路由器。WAVLINK WN579 X3 M79X3.V5030.191012版本存在訪問控制錯誤漏洞。該漏洞源于messages.txt文件未能設置合理的訪問權限，攻擊者可利用該漏洞通過訪問messages.txt獲取關鍵信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54900

4、 TotoLink A3100R命令注入漏洞（CNVD-2022-54652）

TotoLink A3100R是中國臺灣吉翁電子（TotoLink）公司的一系列無線路由器。TotoLink A3100R V4.1.2cu.5050_B20200504版本和V4.1.2cu.5247_B20211129版本存在命令注入漏洞，該漏洞源于uci_cloudupdate_config函數中的magicid參數未能正確過濾構造命令特殊字符、命令等，攻擊者可利用該漏洞導致任意命令執行。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54652

5、TotoLink A3100R操作系統命令注入漏洞

TotoLink A3100R是中國臺灣吉翁電子（TotoLink）公司的一系列無線路由器。TotoLink A3100R V5.9c.4577版本存在操作系統命令注入漏洞，該漏洞源于輸入的字段未經過正確的過濾，攻擊者可利用該漏洞導致命令注入攻擊。

信息安全totolink

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接