(20220718-20220724)

一、境外廠商產(chǎn)品漏洞

1、Google Android資源管理錯誤漏洞(CNVD-2022-52279)

Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在資源管理錯誤漏洞，攻擊者可利用該漏洞導(dǎo)致需要系統(tǒng)執(zhí)行權(quán)限的本地權(quán)限升級。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-52279

2、Adobe Photoshop越界寫入漏洞(CNVD-2022-52087)

Adobe Photoshop是美國奧多比(Adobe)公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Photoshop存在越界寫入漏洞。攻擊者可以利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-52087

3、Google Android任意代碼執(zhí)行漏洞

Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在任意代碼執(zhí)行漏洞，該漏洞源于在mali_kbase_mem_linux.c的 kbase_mem_alias中，由于輸入驗證錯誤，可能存在任意代碼執(zhí)行，攻擊者可利用該漏洞導(dǎo)致本地權(quán)限提升。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-52278

4、Oracle WebLogic Server輸入驗證錯誤漏洞(CNVD-2022-52566)

Oracle WebLogic Server是美國甲骨文(Oracle)公司的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件，它提供了一個現(xiàn)代輕型開發(fā)平臺，支持應(yīng)用從開發(fā)到生產(chǎn)的整個生命周期管理，并簡化了應(yīng)用的部署和管理。Oracle WebLogic Server存在輸入驗證錯誤漏洞，該漏洞源于Core組件中錯誤的輸入驗證。攻擊者可利用該漏洞執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-52566

5、Atlassian Confluence Server and Data Center存在命令執(zhí)行漏洞

Atlassian Confluence Server是澳大利亞Atlassian公司的一套具有企業(yè)知識管理功能，并支持用于構(gòu)建企業(yè)WiKi的協(xié)同軟件的服務(wù)器版本。Atlassian Confluence Server and Data Center存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-50013

二、境內(nèi)廠商產(chǎn)品漏洞

1、Tenda M3 formSetStoreWeb函數(shù)緩沖區(qū)溢出漏洞

Tenda M3是中國騰達(dá)(Tenda)公司的一款門禁控制器。Tenda M3 V1.0.0.12版本存在緩沖區(qū)溢出漏洞，該漏洞源于formSetStoreWeb函數(shù)的 ssidList, storeName, trademark參數(shù)對輸入數(shù)據(jù)不檢查其長度。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-52124

2、HUAWEI HarmonyOS絕服務(wù)漏洞

HUAWEI HarmonyOS是中國華為(HUAWEI)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS 2.0版本幀調(diào)度模塊存在拒絕服務(wù)漏洞，該漏洞源于幀調(diào)度模塊存在空指針漏洞，攻擊者可利用該漏洞會導(dǎo)致設(shè)備崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-52822

3、吉翁電子(深圳)有限公司EX300_V2存在二進(jìn)制漏洞

EX300_V2是吉翁電子(深圳)有限公司的一款中繼器。吉翁電子(深圳)有限公司EX300_V2存在二進(jìn)制漏洞，攻擊者可利用該漏洞獲得服務(wù)器的控制權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-49995

4、Huawei MindSpore Community Transpose信息泄露漏洞

Huawei MindSpore Community是中國華為(Huawei)公司的開源深度學(xué)習(xí)框架。Huawei MindSpore Community Transpose存在信息泄露漏洞，該漏洞源于當(dāng) perm 元素中的值大于或等于 input_shape 的大小時將訪問敏感數(shù)據(jù)。攻擊者可利用此漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-52100

5、心通達(dá)OA 2022初夏端午版存在任意文件下載漏洞

心通達(dá)OA是一款搭載了AI人工智能的辦公軟件。心通達(dá)OA 2022初夏端午版存在任意文件下載漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-50009

說明：關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

來源：國家信息安全漏洞共享平臺