漏洞风险提示（20230116）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Siemens Solid Edge文件解析漏洞(CVE-2022-47967)
一、漏洞描述：     

    Solid Edge是一个软件工具组合，用于处理各种产品开发过程：3D设计、仿真、制造和设计管理。
Siemens Solid Edge存在文件解析漏洞，攻击者可利用该漏洞在当前进程的上下文中执行代码。
二、风险等级：
    高危
三、影响范围：
    SIEMENS Solid Edge <2023 MP1
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://cert-portal.siemens.com/productcert/html/ssa-997779.html

---

2 Siemens SINEC INS命令注入漏洞(CVE-2022-45094)
一、漏洞描述：     

    SINEC INS(基础设施网络服务)是一个基于web的应用程序，将各种网络服务结合在一个工具中。这简化了与工业网络相关的所有网络服务的安装和管理。
Siemens SINEC INS存在命令注入漏洞，攻击者可利用该漏洞在受影响的组件上触发远程代码执行。
二、风险等级：
    高危
三、影响范围：
    Siemens SINEC INS <1.0 SP2 Update 1
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://cert-portal.siemens.com/productcert/html/ssa-332410.html

---

3 Apache libapreq2拒绝服务工具漏洞(CVE-2022-22728)
一、漏洞描述：     

    Apache libapreq2 2.16及更早版本中的Aflaw可能会在处理多部分表单上传时导致缓冲区溢出。远程攻击者可以发送一个请求，导致进程崩溃，从而导致拒绝服务攻击。
二、风险等级：
    高危
三、影响范围：
    Apache libapreq < 2 2.16
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://lists.fedoraproject.org/ ... JTSXE46HVKZIW7E7PE/

---

4 Asus RT-AX82U身份验证绕过漏洞(CVE-2022-35401)
一、漏洞描述：     

    Asus RT-AX82U 3.0.0.4.386_49674-ge182230的get_IFTTTTtoken.cgi功能存在身份验证绕过漏洞。一个特制的HTTP请求可以导致对设备的完全管理访问。攻击者需要发送一系列HTTP请求来利用此漏洞。
二、风险等级：
    高危
三、影响范围：
    Asus RT-AX82U 3.0.0.4.386_49674-ge182230
四、修复建议：
    目前厂商暂未发布修复措施解决此安全问题，建议关注厂商主页或参考网址以获取解决办法：
https://www.asus.com/us/Networki ... g-Routers/RT-AX82U/