一、境外厂商产品漏洞
1、adobe dimension越界读取漏洞(cnvd-2022-02631)
adobe dimension是美国adobe公司的是一套2d和3d合成设计工具。adobe dimension存在越界读取漏洞,攻击者可利用该漏洞导致敏感内存泄露。
参考链接:https://www.cnvd.org.cn/flaw/show/cnvd-2022-02631
2、google chrome资源管理错误漏洞(cnvd-2022-02627)
google chrome是美国谷歌(google)公司的一款web浏览器。google chrome存在资源管理错误漏洞,攻击者可利用该漏洞说服用户安装恶意扩展程序,从而通过精心设计的chrome扩展程序潜在地利用堆损坏。
参考链接:https://www.cnvd.org.cn/flaw/show/cnvd-2022-02627
3、apache http server拒绝服务漏洞(cnvd-2022-03205)
apache http
server是美国阿帕奇(apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的api进行扩充的特点。apache
http
server在2.4.30至2.4.48版本存在拒绝服务漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证。攻击者可利用该漏洞通过精心编制的请求uri路径可能导致mod_proxy_uwsgi读取分配的内存并崩溃。
参考链接:
4、wireshark输入验证错误漏洞
wireshark(前称ethereal)是wireshark团队的一套网络数据包分析软件。该软件的功能是截取网络数据包,并显示出详细的数据以供分析。gryphon
dissector是其中的一个gryphon协议解析器。wireshark中存在输入验证错误漏洞,该漏洞源于产品未对kafka报文进行有效处理。攻击者可通过该漏洞导致拒绝服务。
参考链接:
5、adobe prelude内存损坏漏洞
adobe prelude是美国奥多比(adobe)公司的一套视频素材编辑剪辑工具。该产品能够对视频素材进行剪辑、排序和注释等。adobe prelude存在内存损坏漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
参考链接:
二、境内厂商产品漏洞
1、realtek rtl8195am缓冲区溢出漏洞
realtek rtl8195am是中国台湾瑞昱半导体(realtek)公司的一款物联网微控制器。realtek rtl8195am
2.0.10之前版本存在缓冲区溢出漏洞,该漏洞源于软件当中对于大长度文本缺少有效处理,导致堆栈缓冲区溢出,攻击者可利用该漏洞发送大尺寸的authentication
challenge文本,实现针对客户端的漏洞利用。
参考链接:
2、damicms跨站请求伪造漏洞(cnvd-2022-02728)
damicms是一套用于快速搭建网站的内容管理系统(cms)。damicms
v6.0版本存在安全漏洞,该漏洞源于/damicms-master/admin.php?s=/article/doedit
缺少对于cookie的保护,攻击者可利用该漏洞通过获取用户的会话 cookie来破坏和冒充用户帐户。
参考链接:
3、qibosoft跨站请求伪造漏洞(cnvd-2022-02758)
qibosoft qibosoft是中国齐博软件(qibosoft)公司的一套内容管理系统(cms)。qibosoft存在跨站请求伪造漏洞,攻击者可利用该漏洞任意添加管理员帐户。
参考链接:
4、hongcms访问控制错误漏洞
hongcms是一套开源的轻量级内容管理系统(cms)。hongcms中存在访问控制错误漏洞,该漏洞源于产品未对/admin/index.php/template/edit页面添加有效的权限控制。攻击者可通过该漏洞导致任意文件读写。
参考链接:
5、zzcms访问控制错误漏洞
zzcms是中国zzcms团队的一套内容管理系统(cms)。zzcms 存在访问控制错误漏洞,该漏洞源于通过admin.php在zzcms中存在一个错误的访问控制漏洞,攻击者可利用此漏洞禁用javascript后直接访问管理员控制台。
参考链接:
说明:关注度分析由cnvd秘书处根据互联网用户对cnvd漏洞信息查阅情况以及产品应用广泛情况综合评定。
评论