首页
您现在所在的位置: 首页 >> 网络安全 >> 正文

2022年第22期网络安全风险预警通报

发布日期:2022-07-04     编辑:     点击数:

(一)多款TP-Link无线扩展器远程命令执行漏洞

CVE编号:CNVD-2022-48385

危害级别:高危

影响范围:TP-Link TL-WA850RE v5.0

TP-Link TL-WA850RE v4.0,TP-Link TL-WA850RE v3.0

TP-LINK RE450 v2.0,TP-LINK RE305 v1.0

TP-LINK RE650 v1.0

漏洞时间:2022-06-30

漏洞描述:TP-Link WA850RE等都是TP-Link旗下的无线扩展器。多款无线扩展器存在远程命令执行漏洞,攻击者可利用漏洞未授权远程命令执行。

漏洞类型:通用型漏洞

修复建议:可联系供应商获得补丁信息:

https://www.tp-link.com/

(二)Apache Shiro身份认证绕过漏洞

CVE编号:CNVD-2022-48384

危害级别:高危

影响范围:Apache Shiro <1.9.1

漏洞时间:2022-06-30

漏洞描述:Apache Shiro是美国阿帕奇(Apache)基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。

Apache Shiro存在身份认证绕过漏洞,该漏洞是由于当Apache Shiro中使用 RegexRequestMatcher方式进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可利用漏洞通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

漏洞类型:通用型漏洞

修复建议:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

(三)泛微OA存在SQL注入漏洞

CVE编号:CNVD-2022-43843

危害级别:高危

影响范围:泛微OA V8

漏洞时间:2022-06-30

漏洞描述:泛微OA是一款移动办公平台。泛微OA存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

漏洞类型:通用型漏洞

修复建议:厂商已提供漏洞修复方案,请关注厂商主页更新:

https://www.weaver.com.cn/cs/securityDownload.html#

(四)多款TotoLink产品命令注入漏洞

CVE编号:CNVD-2022-47972

危害级别:高危

影响范围:TOTOLINK A3100R V4.1.2cu.5050_B20200504

TOTOLINK A800R V4.1.2cu.5137_B20200730

TOTOLINK A810R V4.1.2cu.5182_B20201026

TOTOLINK A830R V5.9c.4729_B20191112

TOTOLINK A950RG v4.1.2cu.5161_B20200903

TOTOLINK A3000RU v5.9c.5185_B20201128

漏洞时间:2022-06-28

漏洞描述:Totolink A830R/A3100R/A950RG/A800R/

A3000RU/A810R等产品都是中国Totolink公司的一个路由器。

多款TotoLink产品存在命令注入漏洞,攻击者可利用该漏洞通过精心制作的请求执行任意命令。

漏洞类型:通用型漏洞

修复建议:厂商已发布了漏洞修复程序,请及时关注更新:

https://github.com/pjqwudi1/my_vuln/blob/main/totolink/vuln_28/28.md

(五)南京中卫信软件科技股份有限公司体检档案管理系统存在SQL注入漏洞

CVE编号:CNVD-2022-44332

危害级别:高危

影响范围:南京中卫信软件科技股份有限公司体检档案管理系统

漏洞时间:2022-06-27

漏洞描述:南京中卫信软件科技股份有限公司是一家依靠自主研发和技术创新形成的核心技术开展生产经营的国家高新技术企业。

南京中卫信软件科技股份有限公司体检档案管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

漏洞类型:通用型漏洞

修复建议:厂商已发布了漏洞修复程序,请及时关注更新:

https://www.chiscdc.com/

(六)Google Android权限许可和访问控制问题漏洞

CVE编号:CNVD-2022-47676

危害级别:高危

影响范围:Google Android 12

漏洞时间:2022-06-27

漏洞描述:Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限许可和访问控制问题漏洞,攻击者可利用该漏洞导致本地权限升级。

漏洞类型:通用型漏洞

修复建议:厂商已发布了漏洞修复程序,请及时关注更新:

https://source.android.com/security/bulletin/2022-03-01

上一条:2022年第23期网络安全风险预警通报
下一条:网络安全风险预警

相关链接:

Copyright © 2021 四川水利职业技术学院        信息技术中心            地址:崇州市羊马新城永和大道366号        电话:028-60489307