跳到主要內容區塊
:::
公布欄

資通安全專區

資安通告:03/28~04/03 資安弱點威脅彙整週報
資安通告:03/28~04/03 資安弱點威脅彙整週報  
   
2022-04-08
  
  風險等級: 高度威脅    
  摘  要:
各大廠牌軟硬體高風險弱點摘要
廠牌 軟硬體型號 弱點數量 說明 CVE ID
dlink dap-1360f1_firmware 1 DLink DAP-1360 F1硬體版本<=v6.10中的“webupg”二進製文件裡,攻擊者在“name=deletefile”參數為“name=deletefile”的情況下,經過授權後,攻擊者可以使用“file”參數執行任意系統命令。< td> CVE-2021-44127
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_hierarchyHandler.ashx 中存在 SQL Injection弱點。 這允許攻擊者輸入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-25880
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 HandlerCommon.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-25980
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_dmdsetHandler.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26013
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 GetQueryData 中存在 SQL 盲注漏洞。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26059
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 GetLatestDemandNode 和 GetDemandAnalysisData 中存在 SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26065
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 HandlerPage_KID.ashx 中存在 SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26069
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_hierarchyHandler.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26338
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_eccoefficientHandler.ashx 中存在 SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26349
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 DIAE_tagHandler.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26514
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 HandlerDialogECC.ashx 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26666
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 GetDemandAnalysisData 中存在 SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26667
deltaww diaenergie 1 Delta Electronics DIAEnergie(1.8.02.004 之前的所有版本)在 HandlerExport.ashx/Calendar 中存在SQL Injection弱點。 這允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26836
deltaww diaenergie 1 Delta Electronics DIAEnergie 1.8.02.004 (含)之前版本的 DIAE_HandlerTag_KID.ashx 中存在 SQL 注入弱點。該弱點允許攻擊者註入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-26887
deltaww diaenergie 1 Delta Electronics DIAEnergie 1.8.02.004 (含)之前版本的 GetCalcTagList 中存在 SQL 注入弱點。該弱點允許攻擊者注入任意 SQL 查詢、檢索和修改資料庫內容以及執行系統命令。 CVE-2022-27175
netgear r8500_firmware 1 NETGEAR 產品設備 R8500 1.0.2.158 版本組件 (.cgi) 的 sysNewPasswd 和 sysConfirmPasswd 參數存在遠端執行程式碼弱點。該弱點允許攻擊者由 shell 元字符執行任意命令。 CVE-2022-27945
netgear r8500_firmware 1 NETGEAR 產品設備 R8500 1.0.2.158 版本組件 sysNewPasswd 和 sysConfirmPasswd 參數存在遠端執行程式碼弱點。該弱點允許攻擊者由 shell 元字符執行任意命令。 CVE-2022-27946
netgear r8500_firmware 1 NETGEAR 產品設備 R8500 1.0.2.158 版本組件 ipv6_fix.cgi ipv6_wan_ipaddr、ipv6_lan_ipaddr、ipv6_wan_length 或 ipv6_lan_length 參數存在遠端執行程式碼弱點。該弱點允許攻擊者由 shell 元字符執行任意命令。 CVE-2022-27947
cef fortessa_ftbtld_firmware 1 Fortessa 產品 FTBTLD 智能鎖中的藍牙服務存在權限驗證弱點。該弱點允許遠端攻擊者通過對稱鎖名稱進行未經身份驗證的編輯來禁用鎖定權限。 CVE-2021-44905
impresscms impresscms 1 ImpressCMS 1.4.3 (含)之前版本的 include/findusers.php 存在 SQL注入弱點。 CVE-2021-26599
impresscms impresscms 1 ImpressCMS 1.4.3 (含)之前版本的 plugins/preloads/autologin.php 存在驗證弱點。可能造成系統驗證的輸入類型混淆,導致繞過身份驗證。 CVE-2021-26600
totolink t10_v2_firmware 1 Totolink 產品 T10 V2 韌體版本 V4.1.8cu.5207_B20210320 存在 緩衝區溢出弱點。該弱點可能在 HTTP 請求過程中處理 http_request_parse 函數的主機資訊造成 Buffer Overflow 情況。 CVE-2021-43636
sophos sfos 1 Sophos Firewall v18.5 MR3 (含)之前版本存在驗證弱點。該弱點允許遠端攻擊者藉由用戶名稱和 Webadmin 中繞過身份驗證。 CVE-2022-1040
sonicwall sonicos 1 Sonicwall 產品 SonicOS 存在阻斷服務弱點。該弱點允許攻擊者藉由 HTTP 請求的基於堆棧的緩衝區溢出,導致服務阻斷情況或執行任意程式碼。 CVE-2022-22274
dlink dir-820l_firmware 1 D-Link 產品 DIR-820L 1.05B03 版本存在 RCE 弱點。該弱點藉由 /lan.asp 的名稱參數可能導致遠端執行任意程式碼。 CVE-2022-26258
xiaohuanxiong_project xiaohuanxiong 1 Xiaohuanxiong 產品組件 (/app/controller/Books.php) 存在 SQL 注入弱點。該弱點藉由 id 參數導致 SQL 注入情況。 CVE-2022-26268

 

  
       
  影響系統:

受影響廠牌如下:

  • dlink
  • deltaww
  • netgear
  • impresscms
  • totolink
  • sophos
  • sonicwall
  • xiaohuanxiong_project

 

  
       
  解決辦法: 詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb22-094 )  
       
  細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-094 )		  
       
  參考資訊:

US-CERT
最後異動時間:2022-04-12 下午 02:05:59
TOP