漏洞风险提示(20220810)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1Expense Management System SQL注入漏洞( CVE-2022-2688)
一、漏洞描述:
Expense Management System是Carlo Montero个人开发者的一个费用管理系统。
SourceCodester Expense Management System存在SQL注入漏洞,该漏洞源于report.php组件中fetch_report_credit函数的POST参数处理程序对参数from/to的操作会导致sql注入。该攻击方法已经被公开并且可以由远程发起,存在被利用的风险。
二、风险等级:
高危
三、影响范围:
SourceCodester Expense Management System
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.sourcecodester.com
2 Wedding Hall Booking System 跨站脚本漏洞(CVE-2022-2689)
一、漏洞描述:
Wedding Hall Booking System是Carlo Montero个人开发者的一个简单的 PHP 标题婚礼大厅预订系统。
Wedding Hall Booking System存在跨站脚本漏洞,该漏洞源于其/whbs/?page=contact_us组件中Contect界面的未知函数对参数Message的操作会导致跨站脚本。该攻击方法已经被公开并且可以由远程发起,存在被利用的风险。
二、风险等级:
高危
三、影响范围:
Wedding Hall Booking System
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.sourcecodester.com/php/15154/wedding-hall-booking-system-phpoop-free-source-code.html
3Gym Management System SQL注入漏洞(CVE-2022-2687)
一、漏洞描述:
SourceCodester Gym Management System是美国SourceCodester公司的一个体育馆管理建站系统。该系统由C# 和 sql server 为开发技术,具备客户和供应商管理、产品管理、销售管理 、
Gym Management System存在SQL注入漏洞,该漏洞源于其未知功能函数对参数user_pass的操作会导致sql注入。该攻击方法已经被公开并且可以由远程发起,存在被利用的风险。
二、风险等级:
高危
三、影响范围:
Gym Management System
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.sourcecodester.com/php/15515/gym-management-system-project-php.html
4 TCL LinkHub Mesh Wi-Fi 安全漏洞(CVE-2022-24005)
一、漏洞描述:
TCL LinkHub Mesh Wi-Fi是TCL公司的一款路由器。
TCL LinkHub Mesh Wi-Fi MS1G_00_01.00_14版本存在安全漏洞,该漏洞源于GetValue功能存在缓冲区溢出漏洞,特制的配置值可能导致缓冲区溢出。
二、风险等级:
高危
三、影响范围:
TCL LinkHub Mesh Wi-Fi MS1G_00_01.00_14
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://mobile-support.tcl.com/global/en/service-support-router/linkhub-mesh-wifi-ms1g.html
页:
[1]