以下内容均摘自互联网,由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,银弹实验室以及文章作者不承担任何责任。
1. Tenda AX12 路由器CSRF漏洞
2. Linksys MR9600 目录遍历漏洞
3. DJI 无人机信息泄露漏洞
1. Tenda AX12 路由器CSRF漏洞
漏洞编号:
CVE-2022-27374
漏洞介绍:
腾达AX12 V22.03.01.21_CN在/goform/
SysToolReboot接口的sub_42E328函数中包含跨站点请求伪造(CSRF)。
Tenda AX12 V22.03.01.21_CN was discovered to contain a Cross-Site Request Forgery (CSRF) via the function sub_42E328 at /goform/SysToolReboot.
影响范围:
Tenda AX12 V22.03.01.21_CN
厂商修复状态:
厂商暂没有发布修复方案
漏洞类型:
CSRF漏洞
漏洞危害:
远程攻击者可以使受害者访问攻击者控制的网页
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-7374
CVE 编号分配日期: 2022-03-21
漏洞发布日期: 2022-04-25
漏洞信息更新日期: 2022-04-25
2. Linksys MR9600 目录遍历漏洞
漏洞编号:
CVE-2022-24372
漏洞介绍:
Linksys MR9600 2.0.5之前的设备允许攻击者通过指向NAS SMB共享根目录的符号链接读取任意文件。
Linksys MR9600 devices before 2.0.5 allow attackers to read arbitrary files via a symbolic link to the root directory of a NAS SMB share.
影响范围:
Linksys MR9600 <2.0.5
厂商修复状态:
厂商暂没有发布修复方案
漏洞类型:
授权目录遍历漏洞
漏洞危害:
授权攻击者可以访问smb共享文件夹下的任意文件
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24372
CVE 编号分配日期:2022-02-02
漏洞发布日期:2022-04-28
漏洞信息更新日期:2022-04-29
3. DJI 无人机信息泄露漏洞
漏洞编号:
CVE-2022-29945
漏洞介绍:
2017到2022年售出的DJI无人机设备被发现在AeroScope协议中泄露无人机操作员的真实地理位置信息。
DJI drone devices sold in 2017 through 2022 broadcast unencrypted information about the drone operator's physical location via the AeroScope protocol.
影响范围:
DJI Drone sold between2017 and 2022
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
信息泄露漏洞
漏洞危害:
攻击者可以得到无人机操作员的地理位置信息
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-CVE-2022-29945
CVE 编号分配日期: 2022-04-29
漏洞发布日期:2022-04-29
漏洞信息更新日期: 2022-04-30
