(20220627-20220703)

一、境外廠商產(chǎn)品漏洞

1、Fortinet FortiWAN操作系統(tǒng)命令注入漏洞

Fortinet FortiWan是美國Fortinet公司的一個網(wǎng)絡設備。用于在不同網(wǎng)絡之間執(zhí)行負載平衡和容錯。Fortinet FortiWAN 4.5.9之前版本存在操作系統(tǒng)命令注入漏洞。攻擊者可利用該漏洞通過特制的HTTP請求在底層系統(tǒng)的shell上執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-47983

2、Apache Shiro身份認證繞過漏洞(CNVD-2022-48384)

Apache Shiro是美國阿帕奇(Apache)基金會的一套用于執(zhí)行認證、授權、加密和會話管理的Java安全框架。Apache Shiro存在身份認證繞過漏洞，該漏洞是由于當Apache Shiro中使用 RegexRequestMatcher方式進行權限配置，且正則表達式中攜帶"."時，未經(jīng)授權的遠程攻擊者可利用漏洞通過構造惡意數(shù)據(jù)包繞過身份認證，導致配置的權限驗證失效。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-48384

3、Fortinet多款產(chǎn)品操作系統(tǒng)命令注入漏洞

Fortinet FortiManager等都是美國飛塔(Fortinet)公司的產(chǎn)品。Fortinet FortiManager是一套集中化網(wǎng)絡安全管理平臺。Fortinet FortiAnalyzer是一套集中式網(wǎng)絡安全報告解決方案。Fortinet FortiPortal是FortiGate、FortiWiFi和FortiAP產(chǎn)品線的高級、功能豐富的托管安全分析和管理支持工具，可作為虛擬機供MSP使用。Fortinet多款產(chǎn)品存在操作系統(tǒng)命令注入漏洞，本地經(jīng)過身份驗證的攻擊者可利用該漏洞通過特制的CLI命令參數(shù)以root身份執(zhí)行任意shell命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-47985

4、Google Android權限提升漏洞(CNVD-2022-47680)

Google Android是美國谷歌(Google)公司的的一套以Linux為基礎的開源操作系統(tǒng)。Google Android中存在權限提升漏洞，該漏洞源于缺少權限檢查，可能會出現(xiàn)被視為故障的CPU行為，攻擊者可利用該漏洞提升本地權限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-47680

5、WordPress JupiterX Core plugin訪問控制錯誤漏洞

WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網(wǎng)站。WordPress plugin是一個應用插件。WordPress JupiterX Core plugin存在訪問控制錯誤漏洞，攻擊者可利用該漏洞查看站點配置和登錄用戶、修改發(fā)布條件或執(zhí)行拒絕服務攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-48383

二、境內廠商產(chǎn)品漏洞

1、泛微OA存在SQL注入漏洞(CNVD-2022-43843)

泛微OA是一款移動辦公平臺。泛微OA存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-43843

2、多款TotoLink產(chǎn)品命令注入漏洞(CNVD-2022-47972)

Totolink A830R/A3100R/A950RG/A800R/A3000RU/A810R等產(chǎn)品都是中國Totolink公司的一個路由器。多款TotoLink產(chǎn)品存在命令注入漏洞，攻擊者可利用該漏洞通過精心制作的請求執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-47972

3、南京中衛(wèi)信軟件科技股份有限公司體檢檔案管理系統(tǒng)存在SQL注入漏洞

南京中衛(wèi)信軟件科技股份有限公司是一家依靠自主研發(fā)和技術創(chuàng)新形成的核心技術開展生產(chǎn)經(jīng)營的國家高新技術企業(yè)。南京中衛(wèi)信軟件科技股份有限公司體檢檔案管理系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-44332

4、多款TotoLink產(chǎn)品命令注入漏洞(CNVD-2022-47973)

Totolink A830R/A3100R/A950RG/A800R/A3000RU/A810R等產(chǎn)品都是中國Totolink公司的一個路由器。多款TotoLink產(chǎn)品存在命令注入漏洞，攻擊者可利用該漏洞通過精心制作的請求執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-47973

5、多款TP-Link無線擴展器遠程命令執(zhí)行漏洞

TP-Link WA850RE等都是TP-Link旗下的無線擴展器。多款無線擴展器存在遠程命令執(zhí)行漏洞，攻擊者可利用漏洞未授權遠程命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-48385

說明：關注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。

來源：CNVD