网络安全漏洞通告(2022年51周)(网络安全 漏洞)
1、GNU Emacs命令注入漏洞(CNVD-2022-85329)
风险等级:高
影响产品:
GNU Emacs <=28.2
漏洞描述:
GNU Emacs 28.2版本及之前版本存在命令注入漏洞,该漏洞源于lib-src/etags.c在实现ctags程序时使用了系统C库函数。攻击者可利用漏洞执行任意命令。
加固方法:
厂商已发布了漏洞修复程序,请及时关注更新:
https://git.savannah.gnu.org/cgit/emacs.git/commit/?id=d48bb4874bc6cd3e69c7a15fc3c91cc141025c51
2、D-Link DIR-882 webGetVarString函数缓冲区溢出漏洞(CNVD-2022-85551)
风险等级:高
影响产品:
D-Link DIR-882 1.20B06
D-Link DIR-882 1.10B02
漏洞描述:
D-Link DIR-882固件1.10B02和1.20B06版本存在缓冲区溢出漏洞,该漏洞源于其webGetVarString函数对输入数据缺乏长度验证,攻击者可利用漏洞导致拒绝服务或者远程代码执行。
加固方法:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.dlink.com/en/security-bulletin
3、TCL LinkHub Mesh Wi-Fi信息泄露漏洞(CNVD-2022-82015)
风险等级:高
影响产品:
Tcl LinkHub Mesh Wi-Fi MS1G_00_01.00_14
漏洞描述:
TCL LinkHub Mesh Wi-Fi存在信息泄露漏洞,该漏洞源于confctl_get_guest_wlan功能中,攻击者可利用该漏洞导致信息泄露。
加固方法:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tcl.com/us/en/products/connected-home/linkhub/linkhub-mesh-wifi-system-3-pack
4、Wordpress Plugin Paid Memberships Pro SQL注入漏洞(CNVD-2022-82262)
风险等级:高
影响产品:
WordPress Paid Memberships Pro Plugin <2.6.7
漏洞描述:
WordPress Plugin Paid Memberships Pro 2.6.7之前版本存在SQL注入漏洞,该漏洞源于插件在SQL语句中使用之前未能在其 REST 路由之一(对未经身份验证的用户可用)中转义discount_code。攻击者可利用该漏洞执行恶意SQL语句。
加固方法:
厂商已发布了漏洞修复程序,请及时关注更新:
https://wpscan.com/vulnerability/6c25a5f0-a137-4ea5-9422-8ae393d7b76b
5、Synology Calendar跨站请求伪造漏洞(CNVD-2022-82572)
风险等级:高
影响产品:
Synology Calendar <2.3.4-0631
漏洞描述:
Synology Calendar 2.3.4-0631之前版本存在跨站请求伪造漏洞,该漏洞源于webapi 组件未充分验证请求是否来自可信用户。攻击者可利用此漏洞伪造恶意请求诱骗受害者点击执行敏感操作。
加固方法:
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.synology.cn/zh-cn/security/advisory/Synology_SA_20_07
6、Online Reviewer System远程代码执行漏洞(CNVD-2022-82019)
风险等级:高
影响产品:
Online Reviewer System 1.0
漏洞描述:
Online Reviewer System 1.0版本存在远程代码执行漏洞,攻击者可利用该漏洞绕过图像上传过滤器上传恶意制作的PHP文件。
加固方法:
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.sourcecodester.com/php/12937/online-reviewer-system-using-phppdo.html
7、华天动力协同办公系统存在文件上传漏洞(CNVD-2022-78443)
风险等级:高
影响产品:
大连华天软件有限公司 华天动力协同办公系统
漏洞描述:
华天动力协同办公系统存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。
加固方法:
厂商已发布了漏洞修复程序,请及时关注更新:http://www.oa8000.com
8、IBM Db2信息泄露漏洞(CNVD-2022-85416)
风险等级:中
影响产品:
IBM DB2 10.1
IBM DB2 10.5
IBM DB2 11.1
IBM DB2 9.7
IBM DB2 11.5
漏洞描述:
IBM DB2 9.7、10.1、10.5、11.1和11.5版本存在信息泄露漏洞,该漏洞源于权限管理错误。攻击者可利用该漏洞获取敏感信息。
加固方法:
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.ibm.com/support/pages/node/6618779
9、Amasty Blog Pro for Magento 2跨站脚本漏洞(CNVD-2022-84555)
风险等级:中
影响产品:
Amasty Blog Pro for Magento 2 <2.10.5
漏洞描述:
Amasty Blog Pro 2.10.5之前版本for Magento 2存在跨站脚本漏洞,该漏洞源于该插件中博客帖子创建功能未能对short_content和full_content字段进行有效过滤,攻击者可利用漏洞注入JavaScript代码,通过帖子(预览)或帖子(保存)对管理面板用户发起XSS攻击。
加固方法:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://amasty.com/blog-pro-for-magento-2.html
10、IBM Engineering Requirements Quality Assistant跨站脚本漏洞(CNVD-2022-85423)
风险等级:中
影响产品:
IBM Engineering Requirements Quality Assistant
漏洞描述:
IBM Engineering Requirements Quality Assistant所有版本存在跨站脚本漏洞,攻击者可以利用该漏洞注入恶意的web脚本。
加固方法:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://www.ibm.com/support/pages/node/6604005
https://exchange.xforce.ibmcloud.com/vulnerabilities/203440
