论坛 › 安全预警 › 漏洞风险提示（20221208）

freestyle 发表于 2022-12-8 09:41

漏洞风险提示（20221208）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 Windows Scripting Languages远程代码执行漏洞（CVE-2022-41128）
一、漏洞描述：   
       
        Microsoft Windows是美国微软（Microsoft）公司的一套个人设备使用的操作系统。
        此漏洞需要使用受影响的 Windows 版本的用户访问恶意服务器。攻击者必须拥有特殊制作的服务器共享或网站。虽然攻击者没有办法强迫用户访问这个特殊制作的服务器共享或网站，但是必须诱使他们访问这个服务器共享或网站，通常是在电子邮件或聊天消息中插入诱导性链接。
二、风险等级：
           高危
三、影响范围：
        Windows Server 2012 R2
        Windows Server 2012
        Windows Server 2008 R2 for x64-based Systems Service Pack 1
        Windows RT 8.1
        Windows 8.1 for x64-based systems
        Windows 8.1 for 32-bit systems
        Windows 7 for x64-based Systems Service Pack 1
        Windows 7 for 32-bit Systems Service Pack 1
        Windows Server 2016
        Windows 10 Version 1607 for x64-based Systems
        Windows 10 Version 1607 for 32-bit Systems
        Windows 10 for x64-based Systems
        Windows 10 for 32-bit Systems
        Windows 10 Version 22H2 for 32-bit Systems
        Windows 10 Version 22H2 for ARM64-based Systems
        Windows 10 Version 22H2 for x64-based Systems
        Windows 11 Version 22H2 for x64-based Systems
        Windows 11 Version 22H2 for ARM64-based Systems
        Windows 10 Version 21H2 for x64-based Systems
        Windows 10 Version 21H2 for ARM64-based Systems
        Windows 10 Version 21H2 for 32-bit Systems
        Windows 11 for ARM64-based Systems
        Windows 11 for x64-based Systems
        Windows 10 Version 20H2 for ARM64-based Systems
        Windows 10 Version 20H2 for 32-bit Systems
        Windows 10 Version 20H2 for x64-based Systems
        Windows Server 2022
        Windows 10 Version 21H1 for 32-bit Systems
        Windows 10 Version 21H1 for ARM64-based Systems
        Windows 10 Version 21H1 for x64-based Systems
        Windows Server 2019
        Windows 10 Version 1809 for ARM64-based Systems
        Windows 10 Version 1809 for x64-based Systems
        Windows 10 Version 1809 for 32-bit Systems
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128

2 ZTE MF286R SQL注入漏洞（CVE-2022-39066）
一、漏洞描述：   
       
        ZTE MF286R是中国中兴通讯（ZTE）公司的一款无线路由器。
        ZTE MF286R mf286r_b07之前版本存在SQL注入漏洞，该漏洞源于对电话簿接口的输入参数验证不足。经过身份验证的攻击者可利用该漏洞执行任意SQL注入。
二、风险等级：
           高危
三、影响范围：
        ZTE MF286R <mf286r_b07
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1027744

3 D-Link DIR-882 sub_46D180函数缓冲区溢出漏洞（CVE-2022-44806）
一、漏洞描述：   
       
        D-Link DIR-882是中国友讯（D-Link）公司的一款无线路由器。
        D-Link DIR-882固件1.10B02和1.20B06版本存在缓冲区溢出漏洞，该漏洞源于sub_46D180函数 wan_wan_phy_ifname参数对输入数据缺乏长度验证，攻击者可利用此漏洞导致拒绝服务或者远程代码执行。
二、风险等级：
           高危
三、影响范围：
        D-Link DIR-882 1.20B06
        D-Link DIR-882 1.10B02
四、修复建议：
        厂商尚未提供漏洞修复方案，请关注厂商主页更新：
        https://www.dlink.com/en/security-bulletin

4 Socketio Engine.IO拒绝服务漏洞（CVE-2022-41940）
一、漏洞描述：   
       
        Engine.IO是Socket.IO基于传输的跨浏览器/跨设备双向通信层的实现。
        Socketio Engine.IO 3.6.1之前的版本、4.0.0及其之后，6.2.1之前版本存在拒绝服务漏洞，该漏洞源于未对输入的错误消息做正确的处理，攻击者可利用漏洞发起拒绝服务攻击。
二、风险等级：
           高危
三、影响范围：
        Socketio Engine.IO <3.6.1
        Socketio Engine.IO >=4.0.0，<6.2.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/socketio/engine.io/security/advisories/GHSA-r7qp-cfhv-p84w

查看完整版本: 漏洞风险提示（20221208）