以下内容均摘自互联网,由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,银弹实验室以及文章作者不承担任何责任。
1. ShenZhen Ejoin 设备命令注入漏洞
2. TP-Link、Mercury和Fast路由器远程代码执行漏洞
3. D-Link DIR882 路由器命令注入漏洞
4. Tenda TX9 Pro 路由器缓冲区溢出漏洞
5. TOTOLINK N600R 路由器缓冲区溢出漏洞
6. Zyxel USG FLEX 防火墙未授权远程命令执行漏洞
1. ShenZhen Ejoin 设备命令注入漏洞
漏洞编号:
CVE-2022-23332
漏洞介绍:
深圳一正科技ACOM508/ACOM516/ACOM532 609-915-041-100-020的Manual Ping表单中存在命令注入,允许远程攻击者注入任意代码。
Command injection vulnerability in Manual Ping Form (Web UI) in Shenzhen Ejoin Information Technology Co., Ltd. ACOM508/ACOM516/ACOM532 609-915-041-100-020 allows a remote attacker to inject arbitrary code via the field.
影响范围:
ACOM508
ACOM516
ACOM532 609-915-041-100-020
厂商修复状态:
厂商暂没有发布修复方案
漏洞类型:
命令注入漏洞
漏洞危害:
攻击者可以注入任意命令
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23332
CVE 编号分配日期: 2022-01-18
漏洞发布日期: 2022-05-09
漏洞信息更新日期: 2022-05-09
2. TP-Link、Mercury和Fast路由器远程代码执行漏洞
漏洞编号:
CVE-2022-26988
漏洞介绍:
TP-Link TL-WDR7660 2.0.30、Mercury D196G 20200109_2.0.4和Fast FAC1900R 20190827_2.0.2路由器在“MntAte”功能中存在堆栈溢出问题。本地用户可以实施RCE攻击。
TP-Link TL-WDR7660 2.0.30, Mercury D196G 20200109_2.0.4, and Fast FAC1900R 20190827_2.0.2 routers have a stack overflow issue in `MntAte` function. Local users could get remote code execution.
影响范围:
TP-Link TL-WDR7660 2.0.30
Mercury D196G 20200109_2.0.4
Fast FAC1900R 20190827_2.0.2
厂商修复状态:
厂商暂没有发布修复方案
漏洞类型:
远程代码执行漏洞
漏洞危害:
攻击者可以执行任意命令
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26988
CVE 编号分配日期:2022-03-14
漏洞发布日期:2022-05-10
漏洞信息更新日期:2022-05-11
3. D-Link DIR882 路由器命令注入漏洞
漏洞编号:
CVE-2022-28895
漏洞介绍:
D-Link DIR882 DIR882A1_FW130B06的组件/setnetworksettings/IPAddress中存在一个命令注入漏洞,使得攻击者可以通过特制的负载将权限升级到root。
A command injection vulnerability in the component /setnetworksettings/IPAddress of D-Link DIR882 DIR882A1_FW130B06 allows attackers to escalate privileges to root via a crafted payload.
影响范围:
D-Link DIR882 DIR882A1_FW130B06
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
命令注入漏洞
漏洞危害:
攻击者可以注入任意命令并获得root权限
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-CVE-2022-28895
CVE 编号分配日期: 2022-04-11
漏洞发布日期:2022-05-10
漏洞信息更新日期: 2022-05-10
4. Tenda TX9 Pro 路由器缓冲区溢出漏洞
漏洞编号:
CVE-2022-29591
漏洞介绍:
Tenda TX9 Pro 22.03.02.10设备存在SetNetControlList缓冲区溢出。
Tenda TX9 Pro 22.03.02.10 devices have a SetNetControlList buffer overflow.
影响范围:
Tenda TX9 Pro 22.03.02.10
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
缓冲区溢出漏洞
漏洞危害:
攻击者可以造成缓冲区溢出
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-CVE-2022-29591
CVE 编号分配日期: 2022-04-22
漏洞发布日期:2022-05-10
漏洞信息更新日期: 2022-05-10
5. TOTOLINK N600R 路由器缓冲区溢出漏洞
漏洞编号:
CVE-2022-29391
漏洞介绍:
TOTOLINK N600R V4.3.0cu.7647_B20210106被发现通过函数FUN_004200c8中的comment参数存在堆栈溢出问题。
TOTOLINK N600R V4.3.0cu.7647_B20210106 was discovered to contain a stack overflow via the comment parameter in the function FUN_004200c8.
影响范围:
TOTOLINK N600R V4.3.0cu.7647_B
20210106
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
缓冲区溢出漏洞
漏洞危害:
攻击者可以造成缓冲区溢出
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-CVE-2022-29391
CVE 编号分配日期: 2022-04-16
漏洞发布日期:2022-05-11
漏洞信息更新日期: 2022-05-12
6. Zyxel USG FLEX 防火墙未授权远程命令执行漏洞
漏洞编号:
CVE-2022-30525
漏洞介绍:
Zyxel USG FLEX 100(W)固件版本5.00至5.21补丁1、USG FLEX 200固件版本5.00至5.21补丁1、USG FLEX 500固件版本5.00至5.21补丁1、USG FLEX 700固件版本5.00至5.21补丁1、USG FLEX 50(W)固件版本5.10至5.21补丁1、,USG20(W)-VPN固件版本5.10至5.21补丁1、ATP系列固件版本5.10至5.21补丁1、VPN系列固件版本4.60至5.21补丁1,以上固件可能允许攻击者修改特定文件,然后在易受攻击的设备上执行一些操作系统命令。
A OS command injection vulnerability in the CGI program of Zyxel USG FLEX 100(W) firmware versions 5.00 through 5.21 Patch 1, USG FLEX 200 firmware versions 5.00 through 5.21 Patch 1, USG FLEX 500 firmware versions 5.00 through 5.21 Patch 1, USG FLEX 700 firmware versions 5.00 through 5.21 Patch 1, USG FLEX 50(W) firmware versions 5.10 through 5.21 Patch 1, USG20(W)-VPN firmware versions 5.10 through 5.21 Patch 1, ATP series firmware versions 5.10 through 5.21 Patch 1, VPN series firmware versions 4.60 through 5.21 Patch 1, which could allow an attacker to modify specific files and then execute some OS commands on a vulnerable device.
影响范围:
ZLD 5.10 <= ATP系列固件 <= ZLD 5.21 Patch 1
ZLD 4.60 <= VPN系列固件 <= ZLD 5.21 Patch 1
ZLD 5.00 <= USG FLEX 100(W)、200、500、700 <= ZLD 5.21 Patch 1
ZLD 5.10 <= USG FLEX 50(W)/USG20(W)-VPN <= ZLD 5.21 Patch 1
厂商修复状态:
厂商已修复该漏洞,请升级到ZLD V5.30版本
漏洞类型:
未授权远程命令执行漏洞
漏洞危害:
攻击者可以执行系统命令并实现横向移动到内部系统
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-CVE-2022-30525
CVE 编号分配日期: 2022-05-10
漏洞发布日期:2022-05-12
漏洞信息更新日期: 2022-05-12
