(20220418-20220424)

一、境外廠商產(chǎn)品漏洞

1、Zoho ManageEngine ADAudit Plus遠(yuǎn)程代碼執(zhí)行漏洞

Zoho ManageEngine Adaudit Plus是美國(guó)Zoho Corporation公司的用于簡(jiǎn)化審計(jì)、證明合規(guī)性和檢測(cè)威脅。Zoho ManageEngine ADAudit Plus7060之前版本存在遠(yuǎn)程代碼執(zhí)行漏洞，未經(jīng)身份驗(yàn)證的攻擊者可利用該漏洞進(jìn)行遠(yuǎn)程代碼執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-29866

2、Bentley MicroStation CONNECT越界讀取漏洞

Bentley MicroStation CONNECT是美國(guó)Bentley Systems公司的一個(gè)用于二維和三維設(shè)計(jì)和繪圖的Cad軟件平臺(tái)。Bentley MicroStation CONNECT 10.16.0.80在解析DGN文件時(shí)存在越界讀取漏洞，遠(yuǎn)程攻擊者可利用該漏洞導(dǎo)致讀取超出分配的緩沖區(qū)的末尾，在當(dāng)前進(jìn)程的上下文中執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-30764

3、WordPress Simple Ajax Chat plugin跨站腳本漏洞

WordPress是Wordpress基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress Simple Ajax Chat plugin 20220115版本及之前版本存在跨站腳本漏洞，該漏洞源于程序缺少對(duì)用戶(hù)提供的數(shù)據(jù)和輸出的數(shù)據(jù)校驗(yàn)過(guò)濾，攻擊者可利用該漏洞注入JavaScript并執(zhí)行存儲(chǔ)的XSS攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-30453

4、Snapt Aria命令注入漏洞

Snapt Aria是美國(guó)Snapt公司的一個(gè)面向企業(yè)的ADC解決方案，提供負(fù)載均衡器、Web加速器、Web應(yīng)用防火墻 (WAF)、全局服務(wù)器負(fù)載均衡器 (GSLB) 等。Snapt Aria v12.8的snaptPowered2組件存在命令注入漏洞，經(jīng)過(guò)身份驗(yàn)證的攻擊者可利用該漏洞執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-30445

5、radare2資源管理錯(cuò)誤漏洞(CNVD-2022-30437)

radare2是一套用于處理二進(jìn)制文件的庫(kù)和工具。radare2存在資源管理錯(cuò)誤漏洞，攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-30437

二、境內(nèi)廠商產(chǎn)品漏洞

1、四創(chuàng)科技有限公司建站系統(tǒng)存在SQL注入漏洞(CNVD-2022-25679)

四創(chuàng)科技有限公司是一家致力于中國(guó)防災(zāi)減災(zāi)事業(yè)，為政府提供防災(zāi)減災(zāi)信息化全面解決方案的公司。四創(chuàng)科技有限公司建站系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-25679

2、TOTOLINK N600R路由器存在命令執(zhí)行漏洞

TOTOLINK N600R是一款無(wú)線路由器。TOTOLINK N600R路由器存在命令執(zhí)行漏洞，攻擊者可利用該漏洞實(shí)現(xiàn)任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-25677

3、BossCMS存在任意文件上傳漏洞(CNVD-2022-25692)

BossCMS是一款安全、穩(wěn)定、好用、永久免費(fèi)開(kāi)源、自主研發(fā)PHP框架的企業(yè)建站系統(tǒng)。BossCMS存在任意文件上傳漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-25692

4、zbzcms任意文件上傳漏洞

zbzcms(站幫主CMS)是中國(guó)站幫主CMS(zbzcms)公司的一個(gè)內(nèi)容管理網(wǎng)站。zbzcms 1.0版本存在任意文件上傳漏洞，攻擊者可利用該漏洞通過(guò)特制的PHP文件執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-30435

5、Maccms任意文件刪除漏洞

Maccms是一套基于PHP的影視內(nèi)容管理系統(tǒng)(CMS)。Maccms在10版本中存在任意文件刪除漏洞，該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未對(duì)輸入的數(shù)據(jù)進(jìn)行正確的驗(yàn)證，攻擊者可利用該漏洞刪除服務(wù)上的任意文件。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-30797

說(shuō)明：關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶(hù)對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來(lái)源：CNVD漏洞平臺(tái)