(20220704-20220710)

一、境外廠商產(chǎn)品漏洞

1、IBM App Connect Enterprise Certified Container拒絕服務(wù)漏洞

IBM App Connect Enterprise是美國IBM公司的一個(gè)操作系統(tǒng)。IBM App Connect Enterprise將現(xiàn)有業(yè)界信任的IBM Integration Bus技術(shù)與IBM App Connect Professional以及新的云本機(jī)技術(shù)進(jìn)行了組合，提供一個(gè)可滿足現(xiàn)代數(shù)字企業(yè)全面集成需求的平臺(tái)。IBM App Connect Enterprise Certified Container存在拒絕服務(wù)漏洞，該漏洞源于儀表板界面速率限制過高，攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-48938

2、IBM Security Verify Access輸入驗(yàn)證錯(cuò)誤漏洞

IBM Security Verify Access(ISAM)是美國IBM公司的一款提高用戶訪問安全的服務(wù)。該服務(wù)通過使用基于風(fēng)險(xiǎn)的訪問、單點(diǎn)登錄、集成訪問管理控制、身份聯(lián)合以及移動(dòng)多因子認(rèn)證實(shí)現(xiàn)對(duì)Web、移動(dòng)、IoT 和云技術(shù)等平臺(tái)安全簡單的訪問。IBM Security Verify Access存在輸入驗(yàn)證錯(cuò)誤漏洞，該漏洞源于JWT令牌驗(yàn)證錯(cuò)誤，攻擊者可利用該漏洞獲取敏感信息或可能更改某些信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-48939

3、IBM Sterling Partner Engagement Manager信息泄露漏洞

IBM Sterling Partner Engagement Manager是美國IBM公司的一個(gè)自動(dòng)化管理工具。IBM Sterling Partner Engagement Manager 6.2.0 版本存在信息泄露漏洞，經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者可利用該漏洞獲取敏感信息或修改用戶詳細(xì)信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-48937

4、Apache Commons遠(yuǎn)程代碼執(zhí)行漏洞

Apache Commons是Apache軟件基金會(huì)的項(xiàng)目。Apache Commons存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可利用該漏洞通過注入攻擊執(zhí)行惡意代碼、向網(wǎng)站寫webshell、控制整個(gè)網(wǎng)站甚至服務(wù)器。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-49973

5、IBM UrbanCode Deploy加密問題漏洞

IBM UrbanCode Deploy(UCD)是美國IBM公司的一套應(yīng)用自動(dòng)化部署工具。該工具基于一個(gè)應(yīng)用部署自動(dòng)化管理信息模型，并通過遠(yuǎn)程代理技術(shù)，實(shí)現(xiàn)對(duì)復(fù)雜應(yīng)用在不同環(huán)境下的自動(dòng)化部署等。IBM UrbanCode Deploy存在加密問題漏洞，該漏洞源于軟件使用的加密算法比預(yù)期的要弱，攻擊者可利用該漏洞解密高度敏感的信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-48934

二、境內(nèi)廠商產(chǎn)品漏洞

1、網(wǎng)御星云網(wǎng)頁防篡改系統(tǒng)存在弱口令漏洞

北京網(wǎng)御星云信息技術(shù)公司是國內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè)，專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷售，為用戶信息系統(tǒng)提供等級(jí)化的整體安全解決方案及安全專業(yè)服務(wù)。網(wǎng)御星云網(wǎng)頁防篡改系統(tǒng)存在弱口令漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-47241

2、北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)頁防篡改系統(tǒng)存在邏輯缺陷漏洞

北京網(wǎng)御星云信息技術(shù)公司是國內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè)，專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷售，為用戶信息系統(tǒng)提供等級(jí)化的整體安全解決方案及安全專業(yè)服務(wù)。北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)頁防篡改系統(tǒng)存在邏輯缺陷漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-47237

3、HUAWEI HarmonyOS信息泄露漏洞(CNVD-2022-50634)

HUAWEI HarmonyOS是中國華為(HUAWEI)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場景分布式操作系統(tǒng)。HUAWEI HarmonyOS安全組件存在安全漏洞，該漏洞源于芯片組件存在序列號(hào)被獲取的漏洞，攻擊者利用該漏洞可導(dǎo)致機(jī)密性受影響。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-50634

4、TP-LINK TL-WR840N訪問控制錯(cuò)誤漏洞

TP-LINK TL-WR840N是中國普聯(lián)(TP-LINK)公司的一款無線路由器。TP-Link TL-WR840N EU v6.20版本存在訪問控制錯(cuò)誤漏洞，該漏洞源于UART控制臺(tái)不安全，攻擊者可利用該漏洞以root用戶的身份執(zhí)行命令而無需身份驗(yàn)證。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-50633

5、TP-LINK TL-WR840N緩沖區(qū)溢出漏洞

TP-LINK TL-WR840N是一款 無線路由器。TP-LINK TL-WR840N被發(fā)現(xiàn)包含通過DNS服務(wù)器參數(shù)溢出的緩沖區(qū)溢出。攻擊者可利用該漏洞導(dǎo)致程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重新啟動(dòng)等后果。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-50635

說明：關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來源：CNVD漏洞平臺(tái)