cnvd發布關注度較高的產品安全漏洞(20220117-20220123)

一、境外廠商產品漏洞

1、Adobe InDesign資源管理錯誤漏洞

Adobe InDesign是美國奧多比（Adobe）公司的一套排版編輯應用程序。Adobe InDesign存在資源管理錯誤漏洞，攻擊者可利用該漏洞繞過緩解措施，導致敏感內存泄露。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04524

2、Cisco Security Manager跨站腳本漏洞（CNVD-2022-04814）

Cisco Security Manager（CSM）是美國思科（Cisco）公司的一套企業級的管理應用，它主要用于在Cisco網絡和安全設備上配置防火墻、VPN和入侵保護安全服務。Cisco Security Manager中存在跨站腳本漏洞，該漏洞源于產品基于Web的管理界面未對用戶輸入數據的特殊字符做有效處理。攻擊者可通過該漏洞在接口上下文中執行任意腳本代碼或訪問敏感的、基于瀏覽器的信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04814

3、Cisco Security Manager跨站腳本漏洞（CNVD-2022-04813）

Cisco Security Manager（CSM）是美國思科（Cisco）公司的一套企業級的管理應用，它主要用于在Cisco網絡和安全設備上配置防火墻、VPN和入侵保護安全服務。Cisco Security Manager中存在跨站腳本漏洞，該漏洞源于產品基于Web的管理界面未對用戶輸入數據的特殊字符做有效處理。攻擊者可通過該漏洞在接口上下文中執行任意腳本代碼或訪問敏感的、基于瀏覽器的信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04813

4、IBM Spectrum Protect Plus訪問控制錯誤漏洞

IBM Spectrum Protect Plus是美國IBM公司的一套數據保護平臺。該平臺為企業提供單一控制和管理點，并支持對所有規模的虛擬、物理和云環境進行備份和恢復。IBM Spectrum Protect Plus存在安全漏洞，該漏洞源于IBM Spectrum Protect Plus使用跨源資源共享(CORS)，但在訪問控制頭中存在錯誤配置，攻擊者可利用該漏洞執行特權操作并檢索敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-05085

5、Lantronix PremierWave 2050操作系統命令注入漏洞（CNVD-2022-04976）

Lantronix PremierWave 2050是美國Lantronix公司的一個嵌入式企業Wi-Fi模塊。用于提供可靠且始終在線的5G Wi-Fi連接。Lantronix PremierWave 2050 8.9.0.0R4版本存在操作系統命令注入漏洞，攻擊者可利用該漏洞通過特制的HTTP請求導致任意命令執行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04976

二、境內廠商產品漏洞

1、Huawei HarmonyOS拒絕服務漏洞（CNVD-2022-04709）

Huawei HarmonyOS是中國華為（Huawei）公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。Huawei HarmonyOS某個組件存在安全漏洞。攻擊者可利用該漏洞導致WLAN拒絕服務。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04709

2、深信服科技股份有限公司日志審計系統存在邏輯缺陷漏洞

深信服科技股份有限公司是專注于企業級安全、云計算、IT基礎設施與物聯網的產品和服務供應商。深信服科技股份有限公司日志審計系統存在邏輯缺陷漏洞，攻擊者可利用漏洞任意重置密碼，獲取管理員權限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2021-89925

3、ASUS RT-AX86U緩沖區溢出漏洞

ASUS RT-AX86U是中國華碩（ASUS）公司的一款無線路由器。ASUS RT-AX86U router firmware存在安全漏洞，該漏洞源于httpd模塊的blocking request.cgi函數中出現緩沖區溢出，攻擊者可利用該漏洞構造惡意數據導致代碼執行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04717

4、Huawei CloudEngine 1800V拒絕服務漏洞

Huawei CloudEngine 1800V是中國華為公司的一款1800V系列數據中心交換機。Huawei CloudEngine 1800V拒絕服務漏洞，遠程攻擊者可利用該漏洞提交特殊的請求，可使系統接收到的消息無法正常轉發，進行拒絕服務攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04720

5、Huawei Emui和Magic UI雙重釋放漏洞

Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei Emui和Magic UI存在安全漏洞，攻擊者可利用漏洞導致內核崩潰或權限提升。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-05167

說明：關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。

https://www.cnvd.org.cn/webinfo/show/7321