漏洞风险提示（20220913)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1深信服AD应用交付报表系统存在SQL注入漏洞
一、漏洞描述：     
       
       
        深信服科技股份有限公司是一家专注于企业级安全、云计算及基础架构的产品、服务和解决方案供应商。
        深信服AD应用交付报表系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

二、风险等级：
           高危
三、影响范围：
深信服科技股份有限公司 深信服AD应用交付报表系统 3.*/size]
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sangfor.com.cn/

---

2 Microsoft Windows DNS Server远程代码执行漏洞（CVE-2022-24536）
一、漏洞描述：     
       
Microsoft Windows是一款由美国微软公司开发的窗口化操作系统。
        Microsoft Windows DNS Server远程代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
          高危
三、影响范围：
        Online Employee Leave Management System Online Employee Leave Management System 1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://portal.msrc.microsoft.co ... sory/CVE-2022-24547[/url]

---

3Siemens SCALANCE XM-400和XR-500 Devices拒绝服务漏洞（CVE-2020-28393）
一、漏洞描述：     
       
       
        SCALANCE X switches用于连接可编程逻辑控制器等工业组件（PLC）或人机接口（HMI）。
        Siemens SCALANCE XM-400和XR-500 Devices存在拒绝服务漏洞，攻击者可利用该漏洞通过发送精心编制的OSPF数据包来创建永久拒绝服务条件。/size]
二、风险等级：
          高危
三、影响范围：

        Siemens SCALANCE XM-400 Family < V6.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://cert-portal.siemens.com/productcert/pdf/ssa-116379.pdf

---

4 BlueZ输入验证错误漏洞（CVE-2022-39176）
一、漏洞描述：     
       
       
        BlueZ是一款使用C语言编写的蓝牙协议堆栈，它主要用于提供对核心蓝牙层和协议的支持。
        BlueZ 5.59之前的版本存在输入验证错误漏洞，该漏洞源于profiles/audio/avrcp.c组件不能验证params_len，攻击者可利用此漏洞可以获取敏感信息。
二、风险等级：
           高危
三、影响范围：
        Bluez Bluez <5.59
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://ubuntu.com/security/notices/USN-5481-1