物联网漏洞预警周报11.14-11.20

来源: 2022-11-22 11:57:44

声明

以下内容均摘自互联网,由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,银弹   实验室以及文章作者不承担任何责任。

目录

  1. MSNSwitch MNT.2408认证绕过漏洞

  1. XM-JPR2-LX认证绕过漏洞

  1. Tenda AC1200 多重漏洞

  1. Hitachi Kokusai Electric 网络监控系统目录遍历漏洞

  1. D-Link DIR3060缓冲区溢出漏洞

  1. D-Link G IAD 认证绕过漏洞

  1. D-Link DSL-224 命令执行漏洞

漏洞详情

  1. MSNSwitch MNT.2408认证绕过漏洞

漏洞编号

CVE-2022-32429

漏洞介绍

Mega System Technologies Inc MSNSwitch MNT.2408 组件 http://MYDEVICEIP/cgi-bin-sdb/ExportSettings.sh 中存在身份验证绕过问题,允许未经身份验证的攻击者在应用程序中设置,从而导致远程代码执行。

影响范围

  • MSNSwitch MNT.2408

厂商修复状态

未知

漏洞类型

认证绕过漏洞

漏洞危害

攻击者可利用漏洞进行登录认证绕过和命令执行

漏洞数据来源

MITRE

漏洞详情链接

https://elifulkerson.com/CVE-2022-32429/

编号分配日期

2022.06.05

  1. XM-JPR2-LX认证绕过漏洞

漏洞编号

CVE-2021-38827、CVE-2021-38828

漏洞介绍

雄迈相机XM-JPR2-LX V4.02.R12.A6420987.10002.147502.00000存在身份验证绕过漏洞,容易受到帐户接管。

影响范围

  • Xiongmai Camera XM-JPR2-LX V4.02.R12.A6420987.10002.147502.00000

厂商修复状态

未知

漏洞类型

认证绕过

漏洞危害

攻击者可利用漏洞登录认证绕过

漏洞数据来源

MITRE

漏洞详情链接

https://github.com/ChandlerChin/XiongmaiCamera/blob/main/Account%20takeover%20with%20traffic%20monitoring%20exploitation%20in%20XM-JPR2-LX%20device.pdf

编号分配日期

2021.08.16

  1. Tenda AC1200 多重漏洞

漏洞编号

CVE-2022-40843~CVE-2022-40847

CVE-2022-41395~CVE-2022-41396

CVE-2022-42053、CVE-2022-42058、CVE-2022-42060

漏洞介绍

固件版本为 Tenda AC1200 V-W15Ev2 V15.11.0.10(1576) 存在身份验证绕过、XSS、命令注入、缓冲区溢出的多重漏洞。

影响范围

  • Tenda AC1200 V-W15Ev2 V15.11.0.10(1576)

厂商修复状态

未知

漏洞类型

认证绕过、XSS、命令注入、缓冲区溢出漏洞

漏洞危害

攻击者可利用漏洞进行登录认证绕过、XSS、命令注入、缓冲区溢出导致DOS

漏洞数据来源

MITRE

漏洞详情链接

https://boschko.ca/tenda_ac1200_router/

编号分配日期

2022.09.19

  1. Hitachi Kokusai Electric 网络监控系统 目录遍历漏洞

漏洞编号

CVE-2022-37681

漏洞介绍

日立国际电气网络监控系统(摄像机、解码器和编码器)允许攻击者通过对/ptippage.cgi的GET请求执行目录遍历。

影响范围

  • 日立Kokusai Electric 网络监控系统

厂商修复状态

未知

漏洞类型

目录遍历漏洞

漏洞危害

攻击者可利用漏洞造成目录遍历,导致信息泄露

漏洞数据来源

MITRE

漏洞详情链接

https://www.hitachi-kokusai.co.jp/global/en/products/info/vulnerable/hitachi-sec-2022-001/index.html

编号分配日期

2022.08.08

  1. D-Link DIR3060缓冲区溢出漏洞

漏洞编号

CVE-2022-44204

漏洞介绍

D-Link DIR3060 DIR3060A1_FW111B04.bin存在缓冲区溢出漏洞。

影响范围

  • RD-Link DIR3060

厂商修复状态

未知

漏洞类型

缓冲区漏洞

漏洞危害

攻击者可利用漏洞造成命令执行

漏洞数据来源

MITRE

漏洞详情链接

https://github.com/flamingo1616/iot_vuln/blob/main/D-Link/DIR-3060/5.md

编号分配日期

2022.10.30

  1. D-Link G IAD 认证绕过漏洞

漏洞编号

CVE-2022-36785

漏洞介绍

D-Link  IAD4 存在认证绕过漏洞 ,"http://192.168.1.1/setupWizard.asp"包含默认用户名。

影响范围

  • D-Link – G integrated Access Device4

厂商修复状态

未知

漏洞类型

认证绕过漏洞

漏洞危害

攻击者可利用漏洞造成认证绕过

漏洞数据来源

MITRE

漏洞详情链接

https://www.gov.il/en/Departments/faq/cve_advisories

编号分配日期

2022.07.26

  1. D-Link DSL-224 命令执行漏洞

漏洞编号

CVE-2022-36786

漏洞介绍

D-Link  DSL-224 Post-auth PCE. D-Link路由器有一个接口,可以在其中通过jsonrpc API配置NTP服务器(网络时间协议)。可以通过此接口注入命令,该命令将在路由器上以 ROOT 权限运行。

影响范围

  • D-Link DSL-224

厂商修复状态

未知

漏洞类型

命令执行

漏洞危害

攻击者可利用漏洞造成命令执行

漏洞数据来源

MITRE

漏洞详情链接

https://www.gov.il/en/Departments/faq/cve_advisories

编号分配日期

2022.07.26


返回列表