漏洞风险提示(20221219)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 用友GRP-U8行政事业内控管理软件(新政府会计制度专版)存在SQL注入漏洞(CNVD-2022-84009)
一、漏洞描述:
用友网络科技股份有限公司创立于1988年,是中国和全球领先的企业和公共组织数智化平台与服务提供商。
用友GRP-U8行政事业内控管理软件(新政府会计制度专版)存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级:
高危
三、影响范围:
用友网络科技股份有限公司 用友GRP-U8行政事业内控管理软件(新政府会计制度专版)
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.tenda.com.cn/default.html
2 ZTE ZXvSTB授权问题漏洞(CVE-2022-23144)
一、漏洞描述:
ZTE ZXvSTB是中国中兴(ZTE)公司的一种云化机顶盒。
ZTE ZXvSTB存在授权问题漏洞,该漏洞源于权限控制不当,攻击者可利用漏洞删除默认应用类型,影响系统的正常使用。
二、风险等级:
高危
三、影响范围:
ZTE zxa10 b800v2 <=2.01.02.01
ZTE zxa10 b860av2.1 <=2.01.02.01
ZTE zxa10 b860h <=2.01.02.01
ZTE zxa10 b866v2-h <=2.01.02.01
ZTE zxa10 b866v5-w10 <=2.01.02.01
ZTE zxa10 b960gv1 <=2.01.02.01
ZTE zxa10 b710c-a12 <=2.01.02.01
ZTE zxa10 b710s2-a19 <=2.01.02.01
ZTE zxa10 b836ct-a15 <=2.01.02.01
ZTE zxa10 s100v <=2.01.02.01
ZTE zxa10 s200a <=2.01.02.01
ZTE zxa10 s200t <=2.01.02.01
ZTE zxa10 b700v7 <=2.01.02.01
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1026224
3 Tenda AC15 and AC18 fromDhcpListClient堆栈溢出漏洞(CVE-2022-40869)
一、漏洞描述:
Tenda AC15和Tenda AC18都是中国腾达(Tenda)公司的产品。Tenda AC15是一款无线路由器。Tenda AC18是一款路由器。
Tenda AC15 and AC18 V15.03.05.19版本存在堆栈溢出漏洞,该漏洞源于fromDhcpListClient方法在带有组合参数list*对输入的数据未进行大小检查,攻击者可利用漏洞导致远程代码执行或者拒绝服务。
二、风险等级:
高危
三、影响范围:
Tenda Tenda AC18 V15.03.05.19
Tenda Tenda AC15 V15.03.05.19
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.tenda.com.cn/default.html
4 Sophos Firewall代码执行漏洞(CVE-2022-3236)
一、漏洞描述:
Sophos Firewall是英国Sophos公司的一款防火墙。
Sophos Firewall 19.0.1及其之前版本存在代码执行漏洞,该漏洞User Portal and Webadmin中未能正确过滤构造代码段的特殊元素。攻击者可利用漏洞导致任意代码执行。
二、风险等级:
高危
三、影响范围:
Sophos Sophos Firewall <=19.0.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce
页:
[1]