產品安全漏洞預警

一、境外廠商產品漏洞

1、Cybozu Garoon授權問題漏洞（CNVD-2022-54300）

Cybozu Garoon是日本才望子（Cybozu）公司的一套門戶型OA辦公系統。該系統提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。Cybozu Garoon存在授權問題漏洞，該漏洞源于Scheduler中處理身份驗證請求時出現錯誤。攻擊者可利用此漏洞繞過身份驗證過程并獲取設施信息的一些數據。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54300

2、Cybozu Garoon輸入驗證錯誤漏洞（CNVD-2022-54301）

Cybozu Garoon是日本才望子（Cybozu）公司的一套門戶型OA辦公系統。該系統提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。Cybozu Garoon存在輸入驗證錯誤漏洞，該漏洞源于Scheduler中用戶提供的輸入驗證不足。攻擊者可利用此漏洞將特制輸入傳遞給應用程序并更改調度程序的數據。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54301

3、TrueConf Server跨站請求偽造漏洞

TrueConf Server是俄羅斯TrueConf公司的一種自托管和安全的視頻協作平臺。TrueConf Server 4.3.7版本存在跨站請求偽造漏洞，遠程攻擊者可利用該漏洞執行跨站點請求偽造攻擊。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-53536

4、Cybozu Garoon操作限制繞過漏洞（CNVD-2022-53805）

Cybozu Garoon是日本才望子（Cybozu）公司的一套門戶型OA辦公系統。該系統提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。Cybozu Garoon存在操作限制繞過漏洞，該漏洞源于Link中權限管理不當，攻擊者可利用該漏洞更改Link數據。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-53805

5、Cybozu Garoon授權問題漏洞（CNVD-2022-54304）

Cybozu Garoon是日本才望子（Cybozu）公司的一套門戶型OA辦公系統。該系統提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。Cybozu Garoon存在授權問題漏洞，該漏洞源于Workflow中權限管理不當。攻擊者可利用該漏洞更改Workflow的數據。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54304

二、境內廠商產品漏洞

1、H3C Magic R200緩沖區溢出漏洞

H3C Magic R200是一款無線路由器設備。H3C Magic R200 dotrace.asp處理EditvsList參數存在緩沖區溢出漏洞，遠程攻擊者可利用漏洞提交特殊的請求，可使服務程序崩潰或以應用程序上下文執行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54324

2、H3C Magic R200緩沖區溢出漏洞（CNVD-2022-54322）

H3C Magic R200是一款無線路由器設備。H3C Magic R200 AJAX/ajaxget處理ajaxmsg參數存在緩沖區溢出漏洞，遠程攻擊者可利用漏洞提交特殊的請求，可使服務程序崩潰或以應用程序上下文執行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54322

3、H3C Magic R200緩沖區溢出漏洞（CNVD-2022-54321）

H3C Magic R200是中國新華三（H3C）公司的一款路由器。H3C Magic R200 R200V200R004L02版本存在安全漏洞，該漏洞源于doping.asp的HOST參數被發現包含堆棧溢出。目前沒有詳細的漏洞細節提供。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54321

4、H3C Magic R200緩沖區溢出漏洞（CNVD-2022-54323）

H3C Magic R200是一款無線路由器設備。H3C Magic R200 doping.asp處理INTF參數存在緩沖區溢出漏洞，遠程攻擊者利用漏洞提交特殊的請求，可使服務程序崩潰或以應用程序上下文執行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-54323

5、用友網絡科技股份有限公司U8 cloud存在邏輯缺陷漏洞

U8 cloud是用友推出的新一代云ERP，主要聚焦成長型、創新型企業，提供企業級云ERP整體解決方案。用友網絡科技股份有限公司U8 cloud存在邏輯缺陷漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-51756