以下内容均摘自互联网,由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,银弹实验室以及文章作者不承担任何责任。
1. Zyxel VMG3312-T20A本地验证命令注入漏洞
2. InHand Networks InRouter 900 工业4G路由器远程代码执行漏洞
3. FANTEC WIFI TRAVEL 路由器文件上传漏洞
1. Zyxel VMG3312-T20A本地验证命令注入漏洞
漏洞编号:
CVE-2022-26413
漏洞介绍:
固件版本为5.30(ABFX.5)C0的Zyxel VMG3312-T20A设备中的CGI程序存在命令注入漏洞,本地经过身份验证的攻击者可以通过LAN接口在易受攻击的设备上执行任意OS命令。
A command injection vulnerability in the CGI program of Zyxel VMG3312-T20A firmware version 5.30(ABFX.5)C0 could allow a local authenticated attacker to execute arbitrary OS commands on a vulnerable device via a LAN interface.
影响范围:
Zyxel VMG3312-T20A firmware version 5.30(ABFX.5)C0
厂商修复状态:
Zyxel 建议用户保持固件在最新状态
漏洞类型:
本地授权命令注入
漏洞危害:
本地攻击者可以在验证后执行任意命令
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26413
CVE 编号分配日期: 2022-03-04
漏洞发布日期: 2022-04-11
漏洞信息更新日期: 2022-04-15
2. InHand Networks InRouter 900 工业4G路由器远程代码执行漏洞
漏洞编号:
CVE-2022-27268
漏洞介绍:
InHand Networks InRouter 900 工业4G路由器(<v1.0.0.r11700)在get_cgi_from_memory组件中存在远程代码执行(rce)漏洞。此漏洞是通过特制的数据包触发的。
InHand Networks InRouter 900 Industrial 4G Router before v1.0.0.r11700 was discovered to contain a remote code execution (RCE) vulnerability via the component get_cgi_from_memory. This vulnerability is triggered via a crafted packet.
影响范围:
InHand Networks InRouter 900 Industrial 4G Router before v1.0.0.r11700
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
远程代码执行漏洞
漏洞危害:
攻击者可以远程执行任意代码
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27268
CVE 编号分配日期:2022-03-21
漏洞发布日期:2022-04-10
漏洞信息更新日期:2022-04-11
3. FANTEC WIFI TRAVEL 路由器文件上传漏洞
漏洞编号:
CVE-2022-28113
漏洞介绍:
FANTEC GmbH MWiD25-DS v2.000.030中的upload.csp存在问题,导致攻击者在没有正确的session cookie时上传任意文件和重置用户密码。
An issue in upload.csp of FANTEC GmbH MWiD25-DS Firmware v2.000.030 allows attackers to write files and reset the user passwords without having a valid session cookie.
影响范围:
FANTEC GmbH MWiD25-DS Firmware v2.000.030
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
文件上传漏洞
漏洞危害:
攻击者可以通过上传文件来修改密码得到root权限
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-CVE-2022-28113
CVE 编号分配日期: 2022-03-28
漏洞发布日期:2022-04-15
漏洞信息更新日期: 2022-04-15
