各大廠牌軟硬體高風險弱點摘要 |
廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
dlink |
dap-1360f1_firmware |
1 |
DLink DAP-1360 F1硬體版本<=v6.10中的“webupg”二進製文件裡,攻擊者在“name=deletefile”參數為“name=deletefile”的情況下,經過授權後,攻擊者可以使用“file”參數執行任意系統命令。< td> |
CVE-2021-44127 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_hierarchyHandler.ashx 中存在 SQL Injection弱點。 這允許攻擊者輸入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-25880 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 HandlerCommon.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-25980 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_dmdsetHandler.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26013 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 GetQueryData 中存在 SQL 盲注漏洞。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26059 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 GetLatestDemandNode 和 GetDemandAnalysisData 中存在 SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26065 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 HandlerPage_KID.ashx 中存在 SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26069 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_hierarchyHandler.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26338 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_eccoefficientHandler.ashx 中存在 SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26349 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_tagHandler.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26514 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 HandlerDialogECC.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26666 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 GetDemandAnalysisData 中存在 SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26667 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 HandlerExport.ashx/Calendar 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26836 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie 1.8.02.004 (含)之前版本的 DIAE_HandlerTag_KID.ashx 中存在 SQL 注入弱點。該弱點允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-26887 |
deltaww |
diaenergie |
1 |
Delta Electronics DIAEnergie 1.8.02.004 (含)之前版本的 GetCalcTagList 中存在 SQL 注入弱點。該弱點允許攻擊者注入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 |
CVE-2022-27175 |
netgear |
r8500_firmware |
1 |
NETGEAR 產品設備 R8500 1.0.2.158 版本組件 (.cgi) 的 sysNewPasswd 和 sysConfirmPasswd 參數存在遠端執行程式碼弱點。該弱點允許攻擊者由 shell 元字符執行任意命令。 |
CVE-2022-27945 |
netgear |
r8500_firmware |
1 |
NETGEAR 產品設備 R8500 1.0.2.158 版本組件 sysNewPasswd 和 sysConfirmPasswd 參數存在遠端執行程式碼弱點。該弱點允許攻擊者由 shell 元字符執行任意命令。 |
CVE-2022-27946 |
netgear |
r8500_firmware |
1 |
NETGEAR 產品設備 R8500 1.0.2.158 版本組件 ipv6_fix.cgi ipv6_wan_ipaddr、ipv6_lan_ipaddr、ipv6_wan_length 或 ipv6_lan_length 參數存在遠端執行程式碼弱點。該弱點允許攻擊者由 shell 元字符執行任意命令。 |
CVE-2022-27947 |
cef |
fortessa_ftbtld_firmware |
1 |
Fortessa 產品 FTBTLD 智能鎖中的藍牙服務存在權限驗證弱點。該弱點允許遠端攻擊者通過對稱鎖名稱進行未經身份驗證的編輯來禁用鎖定權限。 |
CVE-2021-44905 |
impresscms |
impresscms |
1 |
ImpressCMS 1.4.3 (含)之前版本的 include/findusers.php 存在 SQL注入弱點。 |
CVE-2021-26599 |
impresscms |
impresscms |
1 |
ImpressCMS 1.4.3 (含)之前版本的 plugins/preloads/autologin.php 存在驗證弱點。可能造成系統驗證的輸入類型混淆,導致繞過身份驗證。 |
CVE-2021-26600 |
totolink |
t10_v2_firmware |
1 |
Totolink 產品 T10 V2 韌體版本 V4.1.8cu.5207_B20210320 存在 緩衝區溢出弱點。該弱點可能在 HTTP 請求過程中處理 http_request_parse 函數的主機資訊造成 Buffer Overflow 情況。 |
CVE-2021-43636 |
sophos |
sfos |
1 |
Sophos Firewall v18.5 MR3 (含)之前版本存在驗證弱點。該弱點允許遠端攻擊者藉由用戶名稱和 Webadmin 中繞過身份驗證。 |
CVE-2022-1040 |
sonicwall |
sonicos |
1 |
Sonicwall 產品 SonicOS 存在阻斷服務弱點。該弱點允許攻擊者藉由 HTTP 請求的基於堆棧的緩衝區溢出,導致服務阻斷情況或執行任意程式碼。 |
CVE-2022-22274 |
dlink |
dir-820l_firmware |
1 |
D-Link 產品 DIR-820L 1.05B03 版本存在 RCE 弱點。該弱點藉由 /lan.asp 的名稱參數可能導致遠端執行任意程式碼。 |
CVE-2022-26258 |
xiaohuanxiong_project |
xiaohuanxiong |
1 |
Xiaohuanxiong 產品組件 (/app/controller/Books.php) 存在 SQL 注入弱點。該弱點藉由 id 參數導致 SQL 注入情況。 |
CVE-2022-26268 |