网络安全漏洞通告（2022年51周）（网络安全 漏洞）

1、GNU Emacs命令注入漏洞（CNVD-2022-85329）

风险等级：高

影响产品：

GNU Emacs <=28.2

漏洞描述：

GNU Emacs 28.2版本及之前版本存在命令注入漏洞，该漏洞源于lib-src/etags.c在实现ctags程序时使用了系统C库函数。攻击者可利用漏洞执行任意命令。

加固方法：

厂商已发布了漏洞修复程序，请及时关注更新：

https://git.savannah.gnu.org/cgit/emacs.git/commit/?id=d48bb4874bc6cd3e69c7a15fc3c91cc141025c51

2、D-Link DIR-882 webGetVarString函数缓冲区溢出漏洞（CNVD-2022-85551）

风险等级：高

影响产品：

D-Link DIR-882 1.20B06
D-Link DIR-882 1.10B02

漏洞描述：

D-Link DIR-882固件1.10B02和1.20B06版本存在缓冲区溢出漏洞，该漏洞源于其webGetVarString函数对输入数据缺乏长度验证，攻击者可利用漏洞导致拒绝服务或者远程代码执行。

加固方法：

厂商尚未提供漏洞修复方案，请关注厂商主页更新：

https://www.dlink.com/en/security-bulletin

3、TCL LinkHub Mesh Wi-Fi信息泄露漏洞（CNVD-2022-82015）

风险等级：高

影响产品：

Tcl LinkHub Mesh Wi-Fi MS1G_00_01.00_14

漏洞描述：

TCL LinkHub Mesh Wi-Fi存在信息泄露漏洞，该漏洞源于confctl_get_guest_wlan功能中，攻击者可利用该漏洞导致信息泄露。

加固方法：

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.tcl.com/us/en/products/connected-home/linkhub/linkhub-mesh-wifi-system-3-pack

4、Wordpress Plugin Paid Memberships Pro SQL注入漏洞（CNVD-2022-82262）

风险等级：高

影响产品：

WordPress Paid Memberships Pro Plugin <2.6.7

漏洞描述：

WordPress Plugin Paid Memberships Pro 2.6.7之前版本存在SQL注入漏洞，该漏洞源于插件在SQL语句中使用之前未能在其 REST 路由之一（对未经身份验证的用户可用）中转义discount_code。攻击者可利用该漏洞执行恶意SQL语句。

加固方法：

厂商已发布了漏洞修复程序，请及时关注更新：

https://wpscan.com/vulnerability/6c25a5f0-a137-4ea5-9422-8ae393d7b76b

5、Synology Calendar跨站请求伪造漏洞（CNVD-2022-82572）

风险等级：高

影响产品：

Synology Calendar <2.3.4-0631

漏洞描述：

Synology Calendar 2.3.4-0631之前版本存在跨站请求伪造漏洞，该漏洞源于webapi 组件未充分验证请求是否来自可信用户。攻击者可利用此漏洞伪造恶意请求诱骗受害者点击执行敏感操作。

加固方法：

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.synology.cn/zh-cn/security/advisory/Synology_SA_20_07

6、Online Reviewer System远程代码执行漏洞（CNVD-2022-82019）

风险等级：高

影响产品：

Online Reviewer System 1.0

漏洞描述：

Online Reviewer System 1.0版本存在远程代码执行漏洞，攻击者可利用该漏洞绕过图像上传过滤器上传恶意制作的PHP文件。

加固方法：

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.sourcecodester.com/php/12937/online-reviewer-system-using-phppdo.html

7、华天动力协同办公系统存在文件上传漏洞（CNVD-2022-78443）

风险等级：高

影响产品：

大连华天软件有限公司华天动力协同办公系统

漏洞描述：

华天动力协同办公系统存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权。

加固方法：

厂商已发布了漏洞修复程序，请及时关注更新：http://www.oa8000.com

8、IBM Db2信息泄露漏洞（CNVD-2022-85416）

风险等级：中

影响产品：

IBM DB2 10.1
IBM DB2 10.5
IBM DB2 11.1
IBM DB2 9.7
IBM DB2 11.5

漏洞描述：

IBM DB2 9.7、10.1、10.5、11.1和11.5版本存在信息泄露漏洞，该漏洞源于权限管理错误。攻击者可利用该漏洞获取敏感信息。

加固方法：

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.ibm.com/support/pages/node/6618779

9、Amasty Blog Pro for Magento 2跨站脚本漏洞（CNVD-2022-84555）

风险等级：中

影响产品：

Amasty Blog Pro for Magento 2 <2.10.5

漏洞描述：

Amasty Blog Pro 2.10.5之前版本for Magento 2存在跨站脚本漏洞，该漏洞源于该插件中博客帖子创建功能未能对short_content和full_content字段进行有效过滤，攻击者可利用漏洞注入JavaScript代码，通过帖子（预览）或帖子（保存）对管理面板用户发起XSS攻击。

加固方法：

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://amasty.com/blog-pro-for-magento-2.html

10、IBM Engineering Requirements Quality Assistant跨站脚本漏洞（CNVD-2022-85423）

风险等级：中

影响产品：

IBM Engineering Requirements Quality Assistant

漏洞描述：

IBM Engineering Requirements Quality Assistant所有版本存在跨站脚本漏洞，攻击者可以利用该漏洞注入恶意的web脚本。

加固方法：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载:

https://www.ibm.com/support/pages/node/6604005