漏洞风险提示（20221129）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Online Reviewer System远程代码执行漏洞（CVE-2021-41646）
一、漏洞描述：     
        Online Reviewer System是一个应用软件。一个在线评论系统。
        Online Reviewer System 1.0版本存在远程代码执行漏洞，攻击者可利用该漏洞绕过图像上传过滤器上传恶意制作的PHP文件。
二、风险等级：
           高危
三、影响范围：
        Online Reviewer System Online Reviewer System 1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sourcecodester.com/p ... m-using-phppdo.html

---

2 TOTOLINK A7000R存在命令执行漏洞
一、漏洞描述：     
       
        TOTOLINK A7000R是一款无线路由。
        TOTOLINK A7000R存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。
二、风险等级：
           高危
三、影响范围：
        TOTOLINK A7000R 9.1.0u.6115_B2020102
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.totolink.cn/

---

3 NETGEAR R7000P缓冲区溢出漏洞（CVE-2022-44197）
一、漏洞描述：     
       
        NETGEAR R7000P是美国网件（NETGEAR）公司的一款无线路由器。
        NETGEAR R7000P固件V1.3.0.8版本存在安全漏洞，该漏洞源于其openvpn_server_ip参数允许攻击者实现缓冲区溢出。目前没有详细的漏洞细节提供。
二、风险等级：
           高危
三、影响范围：
        NETGEAR r7000p firmware 1.3.0.8
四、修复建议：
        目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
        https://www.netgear.com/about/security

---

4 D-Link DIR-823G操作系统命令注入漏洞（CVE-2022-44808）
一、漏洞描述：     
       
        D-Link DIR-823G是中国友讯（D-Link）公司的一款无线路由器。
        D-Link DIR-823G固件1.02B03版本存在安全漏洞，该漏洞源于其HNAP API函数允许攻击者通过精心设计的HNAP1请求实现任意操作系统命令执行。目前没有详细的漏洞细节提供。
二、风险等级：
           高危
三、影响范围：
        D-Link D-Link DIR-823G固件 1.02B03
四、修复建议：
        目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法： ：
        https://www.dlink.com/en/security-bulletin