漏洞风险提示（20221125）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Google TensorFlow代码问题漏洞（CVE-2022-41889）
一、漏洞描述：     
       
        Google TensorFlow是美国谷歌（Google）公司的一套用于机器学习的端到端开源平台。
        Google TensorFlow存在代码问题漏洞，该漏洞源于如果将量化张量列表分配给属性，则pywrap 代码无法解析张量并返回未捕获的“nullptr”。目前没有详细的漏洞细节提供。
二、风险等级：
           高危
三、影响范围：
        Google TensorFlow <2.8.4
        Google TensorFlow >=2.9.0，<2.9.3
        Google TensorFlow >=2.10.0，<2.10.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/tensorflow/te ... GHSA-xxcj-rhqg-m46g

---

2 D-Link DIR-3060缓冲区溢出漏洞（CVE-2022-44204）
一、漏洞描述：     
       
        D-Link DIR-3060是中国友讯（D-Link）公司的一个路由器。提供一个连接网络的功能。
        D-Link DIR-3060 DIR3060A1_FW111B04.bin版本存在缓冲区溢出漏洞，该漏洞源于FUN_0049ac18在处理不受信任的输入时出现边界错误。远程攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
           高危
三、影响范围：
        D-Link DIR-3060 DIR3060A1_FW111B04.bin
四、修复建议：
        厂商尚未提供漏洞修复方案，请关注厂商主页更新：
        https://www.dlink.com/en/security-bulletin

---

3 Doufox跨站请求伪造漏洞（CVE-2022-42246）
一、漏洞描述：     
       
        Doufox是开源的一款基于 PHP 和 MySQL 的功能强大的 CMS 建站系统。
        Doufox 0.0.4版本存在跨站请求伪造漏洞，该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞添加系统管理员账号。
二、风险等级：
           高危
三、影响范围：
        DouFox DouFox 0.0.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/farliy-hacker/Doufoxcms/issues/1

---

4 Online Diagnostic Lab Management System SQL注入漏洞（CVE-2022-43162）
一、漏洞描述：     
       
        Online Diagnostic Lab Management System是在线诊断实验室管理系统。
        Online Diagnostic Lab Management System v1.0版本存在安全漏洞，该漏洞源于通过/tests/view_test.php中的id参数包含SQL注入，目前没有详细漏洞细节提供。
二、风险等级：
           高危
三、影响范围：
        Online Diagnostic Lab Management System Online Diagnostic Lab Management System V1.0
四、修复建议：
        目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
        https://www.sourcecodester.com/p ... ee-source-code.html