&

1、GNU Emacs命令注入漏洞（CNVD-2022-85329）

風(fēng)險(xiǎn)等級(jí)：高

影響產(chǎn)品：

GNU Emacs <=28.2

漏洞描述：

GNU Emacs 28.2版本及之前版本存在命令注入漏洞，該漏洞源于lib-src/etags.c在實(shí)現(xiàn)ctags程序時(shí)使用了系統(tǒng)C庫(kù)函數(shù)。攻擊者可利用漏洞執(zhí)行任意命令。

加固方法：

廠商已發(fā)布了漏洞修復(fù)程序，請(qǐng)及時(shí)關(guān)注更新：

https://git.savannah.gnu.org/cgit/emacs.git/commit/?id=d48bb4874bc6cd3e69c7a15fc3c91cc141025c51

2、D-Link DIR-882 webGetVarString函數(shù)緩沖區(qū)溢出漏洞（CNVD-2022-85551）

風(fēng)險(xiǎn)等級(jí)：高

影響產(chǎn)品：

D-Link DIR-882 1.20B06
D-Link DIR-882 1.10B02

漏洞描述：

D-Link DIR-882固件1.10B02和1.20B06版本存在緩沖區(qū)溢出漏洞，該漏洞源于其webGetVarString函數(shù)對(duì)輸入數(shù)據(jù)缺乏長(zhǎng)度驗(yàn)證，攻擊者可利用漏洞導(dǎo)致拒絕服務(wù)或者遠(yuǎn)程代碼執(zhí)行。

加固方法：

廠商尚未提供漏洞修復(fù)方案，請(qǐng)關(guān)注廠商主頁(yè)更新：

https://www.dlink.com/en/security-bulletin

3、TCL LinkHub Mesh Wi-Fi信息泄露漏洞（CNVD-2022-82015）

風(fēng)險(xiǎn)等級(jí)：高

影響產(chǎn)品：

Tcl LinkHub Mesh Wi-Fi MS1G_00_01.00_14

漏洞描述：

TCL LinkHub Mesh Wi-Fi存在信息泄露漏洞，該漏洞源于confctl_get_guest_wlan功能中，攻擊者可利用該漏洞導(dǎo)致信息泄露。

加固方法：

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://www.tcl.com/us/en/products/connected-home/linkhub/linkhub-mesh-wifi-system-3-pack

4、Wordpress Plugin Paid Memberships Pro SQL注入漏洞（CNVD-2022-82262）

風(fēng)險(xiǎn)等級(jí)：高

影響產(chǎn)品：

WordPress Paid Memberships Pro Plugin <2.6.7

漏洞描述：

WordPress Plugin Paid Memberships Pro 2.6.7之前版本存在SQL注入漏洞，該漏洞源于插件在SQL語(yǔ)句中使用之前未能在其 REST 路由之一（對(duì)未經(jīng)身份驗(yàn)證的用戶可用）中轉(zhuǎn)義discount_code。攻擊者可利用該漏洞執(zhí)行惡意SQL語(yǔ)句。

加固方法：

廠商已發(fā)布了漏洞修復(fù)程序，請(qǐng)及時(shí)關(guān)注更新：

https://wpscan.com/vulnerability/6c25a5f0-a137-4ea5-9422-8ae393d7b76b

5、Synology Calendar跨站請(qǐng)求偽造漏洞（CNVD-2022-82572）

風(fēng)險(xiǎn)等級(jí)：高

影響產(chǎn)品：

Synology Calendar <2.3.4-0631

漏洞描述：

Synology Calendar 2.3.4-0631之前版本存在跨站請(qǐng)求偽造漏洞，該漏洞源于webapi 組件未充分驗(yàn)證請(qǐng)求是否來(lái)自可信用戶。攻擊者可利用此漏洞偽造惡意請(qǐng)求誘騙受害者點(diǎn)擊執(zhí)行敏感操作。

加固方法：

廠商已發(fā)布了漏洞修復(fù)程序，請(qǐng)及時(shí)關(guān)注更新：

https://www.synology.cn/zh-cn/security/advisory/Synology_SA_20_07

6、Online Reviewer System遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2022-82019）

風(fēng)險(xiǎn)等級(jí)：高

影響產(chǎn)品：

Online Reviewer System 1.0

漏洞描述：

Online Reviewer System 1.0版本存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可利用該漏洞繞過(guò)圖像上傳過(guò)濾器上傳惡意制作的PHP文件。

加固方法：

廠商已發(fā)布了漏洞修復(fù)程序，請(qǐng)及時(shí)關(guān)注更新：

https://www.sourcecodester.com/php/12937/online-reviewer-system-using-phppdo.html

7、華天動(dòng)力協(xié)同辦公系統(tǒng)存在文件上傳漏洞（CNVD-2022-78443）

風(fēng)險(xiǎn)等級(jí)：高

影響產(chǎn)品：

大連華天軟件有限公司華天動(dòng)力協(xié)同辦公系統(tǒng)

漏洞描述：

華天動(dòng)力協(xié)同辦公系統(tǒng)存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

加固方法：

廠商已發(fā)布了漏洞修復(fù)程序，請(qǐng)及時(shí)關(guān)注更新：http://www.oa8000.com

8、IBM Db2信息泄露漏洞（CNVD-2022-85416）

風(fēng)險(xiǎn)等級(jí)：中

影響產(chǎn)品：

IBM DB2 10.1
IBM DB2 10.5
IBM DB2 11.1
IBM DB2 9.7
IBM DB2 11.5

漏洞描述：

IBM DB2 9.7、10.1、10.5、11.1和11.5版本存在信息泄露漏洞，該漏洞源于權(quán)限管理錯(cuò)誤。攻擊者可利用該漏洞獲取敏感信息。

加固方法：

廠商已發(fā)布了漏洞修復(fù)程序，請(qǐng)及時(shí)關(guān)注更新：

https://www.ibm.com/support/pages/node/6618779

9、Amasty Blog Pro for Magento 2跨站腳本漏洞（CNVD-2022-84555）

風(fēng)險(xiǎn)等級(jí)：中

影響產(chǎn)品：

Amasty Blog Pro for Magento 2 <2.10.5

漏洞描述：

Amasty Blog Pro 2.10.5之前版本for Magento 2存在跨站腳本漏洞，該漏洞源于該插件中博客帖子創(chuàng)建功能未能對(duì)short_content和full_content字段進(jìn)行有效過(guò)濾，攻擊者可利用漏洞注入JavaScript代碼，通過(guò)帖子（預(yù)覽）或帖子（保存）對(duì)管理面板用戶發(fā)起XSS攻擊。

加固方法：

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://amasty.com/blog-pro-for-magento-2.html

10、IBM Engineering Requirements Quality Assistant跨站腳本漏洞（CNVD-2022-85423）

風(fēng)險(xiǎn)等級(jí)：中

影響產(chǎn)品：

IBM Engineering Requirements Quality Assistant

漏洞描述：

IBM Engineering Requirements Quality Assistant所有版本存在跨站腳本漏洞，攻擊者可以利用該漏洞注入惡意的web腳本。

加固方法：

目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，請(qǐng)到廠商的主頁(yè)下載:

https://www.ibm.com/support/pages/node/6604005