(20220509-20220515)

一、境外廠商產(chǎn)品漏洞

1、Siemens JT2Go和Teamcenter Visualization雙重釋放漏洞(CNVD-2022-36381)

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個可為設(shè)計2D、3D場景提供團(tuán)隊協(xié)作功能的軟件。Siemens JT2Go和Teamcenter Visualization存在安全漏洞，攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-36381

2、Dell Wyse Management Suite文件上傳漏洞

Dell Wyse Management Suite是美國戴爾(DELL)公司的一套用于管理和優(yōu)化Wyse端點的、可擴(kuò)展的解決方案。該產(chǎn)品包括Wyse端點集中管理、資產(chǎn)追蹤和自動設(shè)備發(fā)現(xiàn)等功能。Dell Wyse Management Suite存在安全漏洞，該漏洞源于不受限制的文件上傳。具有管理員權(quán)限的攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-36037

3、Siemens JT2Go和Teamcenter Visualization文件解析漏洞

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個可為設(shè)計2D、3D場景提供團(tuán)隊協(xié)作功能的軟件。Siemens JT2Go和Teamcenter Visualization存在安全漏洞，攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-36380

4、IBM MQ Appliance拒絕服務(wù)漏洞(CNVD-2022-36974)

IBM MQ Appliance是美國IBM公司的一款用于快速部署企業(yè)級消息中間件的一體機(jī)設(shè)備。IBM MQ Appliance存在拒絕服務(wù)漏洞，攻擊者可利用該漏洞通過應(yīng)用程序登錄組件進(jìn)行拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-36974

5、Dell Vnx2 Oe For File遠(yuǎn)程代碼執(zhí)行漏洞

Dell Vnx2 Oe For File是美國戴爾(Dell)公司的一個操作環(huán)境。Dell Vnx2 Oe For File存在安全漏洞，攻擊者可利用漏洞在系統(tǒng)上執(zhí)行命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-36042

二、境內(nèi)廠商產(chǎn)品漏洞

1、Delta Electronics DIAEnergie ReadRegIND SQL注入漏洞(CNVD-2022-36021)

Delta Electronics DIAEnergie是一個工業(yè)能源管理系統(tǒng)，用于實時監(jiān)控和分析能源消耗、計算能源消耗和負(fù)載特性、優(yōu)化設(shè)備性能、改進(jìn)生產(chǎn)流程并最大限度地提高能源效率。Delta ElectronicsDIAEnergie存在SQL注入漏洞，該漏洞源于ReadRegIND缺少對外部輸入SQL語句的驗證。攻擊者可利用該漏洞注入任意 SQL 查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-36021

2、長沙德尚網(wǎng)絡(luò)科技有限公司DSCMS存在任意文件刪除漏洞

Dscms是一套基于Thinkphp3.1+Bootstrap的開源項目。長沙德尚網(wǎng)絡(luò)科技有限公司DSCMS存在任意文件刪除漏洞，攻擊者可利用該漏洞刪除任意文件。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-31128

3、EmpireCMS SQL注入漏洞

EmpireCMS(帝國內(nèi)容管理系統(tǒng))是一套開源內(nèi)容管理系統(tǒng)(CMS)。EmpireCMS 7.5版本存在SQL注入漏洞，該漏洞源于在AdClass.php中缺少對外部輸入SQL語句的驗證，攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-36984

4、WUZHI CMS SQL注入漏洞(CNVD-2022-36985)

Wuzhi WUZHI CMS是五指(Wuzhi)公司的一套基于PHP和MySQL的開源內(nèi)容管理系統(tǒng)(CMS)。WUZHI CMS 4.1.0版本存在SQL注入漏洞，該漏洞源于/coreframe/app/member/admin/group.php的groupid參數(shù)缺少對外部輸入SQL語句的驗證，攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-36985

5、Delta Electronics DIAEnergie SQL注入漏洞(CNVD-2022-36031)

Delta Electronics DIAEnergie是一個工業(yè)能源管理系統(tǒng)，用于實時監(jiān)控和分析能源消耗、計算能源消耗和負(fù)載特性、優(yōu)化設(shè)備性能、改進(jìn)生產(chǎn)流程并最大限度地提高能源效率。Delta ElectronicsDIAEnergie 1.8.02.004之前版本存在SQL注入漏洞，該漏洞源于 HandlerChart.ashx中存在盲SQ 注入。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-36031

說明：關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

來源： CNVD漏洞平臺