物联网漏洞预警周报7.4~7.10

来源:银弹实验室 2022-07-12 18:36:49

声  明

以下内容均摘自互联网,由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,银弹实验室以及文章作者不承担任何责任。

目  录

1. Totolink A830R/A3100R/A950RG等路由器命令注入漏洞

2. Tenda AC23路由器授权栈溢出漏洞

3. Wavlink WL-WN575A3 RPT75A3.V4300.201217扩展器命令注入漏洞

漏洞详情

1. Totolink A830R/A3100R/A950RG等路由器命令注入漏洞

漏洞编号:

CVE-2022-28935

漏洞介绍:

Totolink A830R V5.9c.4729_B20191112, Totolink A3100R V4.1.2cu.5050_B20200504, Totolink A950RG V4.1.2cu.5161_B20200903, Totolink A800R V4.1.2cu.5137_B20200730, Totolink A3000RU V5.9c.5185_B20201128, Totolink A810R V4.1.2cu.5182_B20201026被发现存在命令注入漏洞。

Totolink A830R V5.9c.4729_B20191112, Totolink A3100R V4.1.2cu.5050_B20200504, Totolink A950RG V4.1.2cu.5161_B20200903, Totolink A800R V4.1.2cu.5137_B20200730, Totolink A3000RU V5.9c.5185_B20201128, Totolink A810R V4.1.2cu.5182_B20201026 were discovered to contain a command injection vulnerability.

影响范围:

  • Totolink A830R V5.9c.4729_B20191112

  • Totolink A3100R V4.1.2cu.5050_B20200504

  • Totolink A950RG V4.1.2cu.5161_B20200903

  • Totolink A800R V4.1.2cu.5137_B20200730

  • Totolink A3000RU V5.9c.5185_B20201128

  • Totolink A810R V4.1.2cu.5182_B20201026

厂商修复状态:

暂无

漏洞类型:

命令注入漏洞

漏洞危害:

攻击者可以远程执行shell命令

漏洞数据来源:

MITRE

漏洞详情链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28935

CVE 编号分配日期: 2022-04-11

漏洞发布日期:  2022-07-06

漏洞信息更新日期:  2022-07-06

2. Tenda AC23路由器授权栈溢出漏洞

漏洞编号:

CVE-2022-32383

漏洞介绍:

在Tenda AC23 v16.03.07.44固件版本中的“AdvSetMacMtuWan”函数发现栈溢出漏洞。

Tenda AC23 v16.03.07.44 was discovered to contain a stack overflow via the AdvSetMacMtuWan function.

影响范围:

  • Tenda AC23 v16.03.07.44

厂商修复状态:

暂无

漏洞类型:

栈溢出漏洞

漏洞危害:

授权的攻击者可以远程导致设备拒绝服务,甚至执行任意shell命令

漏洞数据来源:

MITRE

漏洞详情链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41506

CVE 编号分配日期: 2022-06-05

漏洞发布日期: 2022-07-06

漏洞信息更新日期:   2022-07-06

3. Wavlink WL-WN575A3 RPT75A3.V4300.201217扩展器命令注入漏洞

漏洞编号:

CVE-2022-34592

漏洞介绍:

Wavlink WL-WN575A3 RPT75A3.V4300.201217固件版本中发现函数“obtw”中存在命令注入漏洞。此漏洞允许攻击者通过精心设计的 POST 请求执行任意命令。

Wavlink WL-WN575A3 RPT75A3.V4300.201217 was discovered to contain a command injection vulnerability via the function obtw. This vulnerability allows attackers to execute arbitrary commands via a crafted POST request.

影响范围:

  • Wavlink WL-WN575A3 RPT75A3.V4300.

  • 201217

厂商修复状态:

暂无

漏洞类型:

命令注入漏洞

漏洞危害:

攻击者可以远程执行任意shell命令

漏洞数据来源:

MITRE

漏洞详情链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34592

CVE 编号分配日期: 2022-06-26

漏洞发布日期: 2022-07-07

漏洞信息更新日期: 2022-07-07


返回列表