cnvd发布关注度较高的产品安全漏洞(20220117-20220123)

一、境外厂商产品漏洞

1、Adobe InDesign资源管理错误漏洞

Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe InDesign存在资源管理错误漏洞，攻击者可利用该漏洞绕过缓解措施，导致敏感内存泄露。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04524

2、Cisco Security Manager跨站脚本漏洞（CNVD-2022-04814）

Cisco Security Manager（CSM）是美国思科（Cisco）公司的一套企业级的管理应用，它主要用于在Cisco网络和安全设备上配置防火墙、VPN和入侵保护安全服务。Cisco Security Manager中存在跨站脚本漏洞，该漏洞源于产品基于Web的管理界面未对用户输入数据的特殊字符做有效处理。攻击者可通过该漏洞在接口上下文中执行任意脚本代码或访问敏感的、基于浏览器的信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04814

3、Cisco Security Manager跨站脚本漏洞（CNVD-2022-04813）

Cisco Security Manager（CSM）是美国思科（Cisco）公司的一套企业级的管理应用，它主要用于在Cisco网络和安全设备上配置防火墙、VPN和入侵保护安全服务。Cisco Security Manager中存在跨站脚本漏洞，该漏洞源于产品基于Web的管理界面未对用户输入数据的特殊字符做有效处理。攻击者可通过该漏洞在接口上下文中执行任意脚本代码或访问敏感的、基于浏览器的信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04813

4、IBM Spectrum Protect Plus访问控制错误漏洞

IBM Spectrum Protect Plus是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。IBM Spectrum Protect Plus存在安全漏洞，该漏洞源于IBM Spectrum Protect Plus使用跨源资源共享(CORS)，但在访问控制头中存在错误配置，攻击者可利用该漏洞执行特权操作并检索敏感信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-05085

5、Lantronix PremierWave 2050操作系统命令注入漏洞（CNVD-2022-04976）

Lantronix PremierWave 2050是美国Lantronix公司的一个嵌入式企业Wi-Fi模块。用于提供可靠且始终在线的5G Wi-Fi连接。Lantronix PremierWave 2050 8.9.0.0R4版本存在操作系统命令注入漏洞，攻击者可利用该漏洞通过特制的HTTP请求导致任意命令执行。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04976

二、境内厂商产品漏洞

1、Huawei HarmonyOS拒绝服务漏洞（CNVD-2022-04709）

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS某个组件存在安全漏洞。攻击者可利用该漏洞导致WLAN拒绝服务。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04709

2、深信服科技股份有限公司日志审计系统存在逻辑缺陷漏洞

深信服科技股份有限公司是专注于企业级安全、云计算、IT基础设施与物联网的产品和服务供应商。深信服科技股份有限公司日志审计系统存在逻辑缺陷漏洞，攻击者可利用漏洞任意重置密码，获取管理员权限。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2021-89925

3、ASUS RT-AX86U缓冲区溢出漏洞

ASUS RT-AX86U是中国华硕（ASUS）公司的一款无线路由器。ASUS RT-AX86U router firmware存在安全漏洞，该漏洞源于httpd模块的blocking request.cgi函数中出现缓冲区溢出，攻击者可利用该漏洞构造恶意数据导致代码执行。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04717

4、Huawei CloudEngine 1800V拒绝服务漏洞

Huawei CloudEngine 1800V是中国华为公司的一款1800V系列数据中心交换机。Huawei CloudEngine 1800V拒绝服务漏洞，远程攻击者可利用该漏洞提交特殊的请求，可使系统接收到的消息无法正常转发，进行拒绝服务攻击。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-04720

5、Huawei Emui和Magic UI双重释放漏洞

Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei Emui和Magic UI存在安全漏洞，攻击者可利用漏洞导致内核崩溃或权限提升。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-05167

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

https://www.cnvd.org.cn/webinfo/show/7321