设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 安全预警 漏洞风险提示(20220505)
返回列表 发新帖

漏洞风险提示(20220505)

[复制链接]
发表于 2022-5-5 09:14 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Zoho ManageEngine ADSelfService Plus远程命令执行漏洞(CVE-2022-28810)
一、漏洞描述:     
        adself.png
        ZOHO ManageEngine ADSelfService Plus是美国卓豪(ZOHO)公司的针对 Active Directory 和云应用程序的集成式自助密码管理和单点登录解决方案。
        ZOHO ManageEngine ADSelfService Plus 6122之前版本存在安全漏洞,经过身份验证的攻击者通过在密码字段中输入可执行的 CMD.EXE 来利用该漏洞实现远程代码执行。
二、风险等级:
           高危
三、影响范围:
        ZOHO ManageEngine ADSelfService Plus < v6122
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.manageengine.com/pro ... cve-2022-28810.html

2 Dell PowerScale OneFS安全绕过漏洞(CVE-2022-26854)
一、漏洞描述:     
        dell.png
        PowerScale是OneFS的下一次演变,OneFS是一种操作系统,为业界领先的横向扩展NAS平台提供动力,使您能够利用数据进行创新。PowerScale系列包括Dell EMC PowerScale平台和配置了PowerScale OneFS操作系统的Dell EMC Isilon平台。OneFS提供了高度可扩展、高性能模块化存储解决方案背后的智能,该解决方案可以随着您的业务增长而增长。OneFS支持的群集由灵活选择的存储平台组成,包括所有闪存、混合和归档节点。这些解决方案为您在群集中存储大量非结构化数据提供了性能、选择、效率、灵活性、可扩展性、安全性和保护。PowerScale all flash平台与您现有的Isilon节点在同一集群中无缝共存,以驱动您的传统和现代应用程序。
        Dell PowerScale OneFS存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞进行攻击,从而导致帐户泄露。
二、风险等级:
           高危
三、影响范围:
        DELL PowerScale OneFS >=8.2.*,<=9.3.0.*
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.dell.com/support/kbd ... ent-vulnerabilities

3 SAP 3D Visual Enterprise Viewer输入验证错误漏洞(CVE-2022-27655)
一、漏洞描述:     
        sap.png
        SAP 公司成立于1972年,总部位于德国沃尔多夫市,是全球最大的企业管理和协同化商务解决方案供应商、全球第三大独立软件供应商。目前,在全球有120多个国家的超过24450家用户正在运行着84000多套 SAP 软件。SAP3D Visual Enterprise Viewer是德国思爱普(SAP)公司的一款3D视图查看器。该软件支持在所有行业标准的桌面应用中发布2D、3D场景,并支持以独立可执行程序和ActiveX空间单独安装。
        SAP 3D Visual Enterprise Viewer存在输入验证错误漏洞,攻击者可利用该漏洞通过精心处理的Universal 3D(.u3d、3difr.x3d),导致应用程序崩溃。
二、风险等级:
           中危
三、影响范围:
        SAP 3D Visual Enterprise Viewer 9
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://launchpad.support.sap.com/#/notes/3143437

4 Tenda M3命令注入漏洞(CVE-2022-27076)
一、漏洞描述:     
        tenda.png
        深圳市吉祥腾达科技有限公司于1999年创立。二十几年来,公司跟随世界互联网产业的迅猛扩张,致力于为世界建设值得信赖的好网络,不断发展壮大,成长为全球领先的网络设备提供商。Tenda M3是中国腾达(Tenda)公司的一款门禁控制器。
        Tenda M3存在命令注入漏洞,该漏洞源于组件/goform/delAd未能正确过滤构造命令特殊字符、命令等,攻击者可利用该漏洞导致任意命令执行。
二、风险等级:
           高危
三、影响范围:
        Tenda M3 1.10 V1.0.0.12(4856)
四、修复建议:
        目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
        https://www.tenda.com.cn/
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 15:05

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表