以下内容均摘自互联网,由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,银弹实验室以及文章作者不承担任何责任。
1. DW MEGApix IP摄像机授权命令注入漏洞
2. DW MEGApix IP摄像机会话劫持漏洞
3. Cisco Small Business路由器缓冲区溢出漏洞
1. DW MEGApix IP摄像机授权命令注入漏洞
漏洞编号
CVE-2022-34538
漏洞介绍
发现数字看门狗DW MEGApix IP摄像机A7.2.2_20211029在组件/admin/vca/bia/addacph.cgi中包含命令注入漏洞。可通过精心编制的POST请求利用此漏洞。
Digital Watchdog DW MEGApix IP cameras A7.2.2_20211029 was discovered to contain a command injection vulnerability in the component /admin/vca/bia/addacph.cgi. This vulnerability is exploitable via a crafted POST request.
影响范围
DW MEGApix A7.2.2_20211029
厂商修复状态
暂未修复
漏洞类型
命令注入漏洞
漏洞危害
授权攻击者可以远程执行任意命令
漏洞数据来源
MITRE
漏洞详情链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34538
CVE 编号分配日期
2022-06-26
漏洞发布日期
2022-07-19
漏洞信息更新日期
2022-07-26
2. DW MEGApix IP摄像机会话劫持漏洞
漏洞编号
CVE-2022-34536
漏洞介绍
Digital Watchdog DW MEGApix IP摄像机 A7.2.2_20211029 允许攻击者访问核心日志文件并通过精心制作的会话令牌执行会话劫持。
Digital Watchdog DW MEGApix IP cameras A7.2.2_20211029 allows attackers to access the core log file and perform session hijacking via a crafted session token.
影响范围
DW MEGApix A7.2.2_20211029
厂商修复状态
暂未修复
漏洞类型
会话劫持漏洞
漏洞危害
未授权攻击者可以远程获取用户Session ID,登录管理界面
漏洞数据来源
MITRE
漏洞详情链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34536
CVE 编号分配日期
2022-6-26
漏洞发布日期
2022-07-19
漏洞信息更新日期
2022-07-26
3. Cisco Small Business路由器缓冲区溢出漏洞
漏洞编号
CVE-2022-20893
漏洞介绍
Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器的基于 Web 的管理界面中存在多个漏洞,可能允许经过身份验证的远程攻击者在受影响的设备上执行任意代码或导致设备意外重启,从而导致拒绝服务 (DoS) 条件。这些漏洞是由于传入 HTTP 数据包中的用户字段验证不足所致。攻击者可以通过向基于 Web 的管理界面发送精心设计的请求来利用这些漏洞。成功的利用可能允许攻击者以根级别权限在受影响的设备上执行任意命令,或导致设备意外重启,从而导致 DoS 条件。要利用这些漏洞,攻击者需要在受影响的设备上拥有有效的管理员凭据。
Multiple vulnerabilities in the web-based management interface of Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers could allow an authenticated, remote attacker to execute arbitrary code on an affected device or cause the device to restart unexpectedly, resulting in a denial of service (DoS) condition. These vulnerabilities are due to insufficient validation of user fields within incoming HTTP packets. An attacker could exploit these vulnerabilities by sending a crafted request to the web-based management interface. A successful exploit could allow the attacker to execute arbitrary commands on an affected device with root-level privileges or to cause the device to restart unexpectedly, resulting in a DoS condition. To exploit these vulnerabilities, an attacker would need to have valid Administrator credentials on the affected device. Cisco has not released software updates that address these vulnerabilities.
影响范围
Cisco RV110W 1.0.3.55
Cisco RV130 1.0.3.55
Cisco RV130W 1.0.3.55
Cisco RV215W 1.0.3.55
厂商修复状态
暂未修复
漏洞类型
缓冲区溢出漏洞
漏洞危害
攻击者可以远程使设备拒绝服务,甚至执行任意命令
漏洞数据来源
Cisco Systems, Inc.
漏洞详情链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20893
CVE 编号分配日期
2021-11-02
漏洞发布日期
2022-07-21
漏洞信息更新日期
2022-07-26
