06/06~06/12 資安弱點威脅彙整週報

風險等級: 高度威脅
摘要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
google android 1 在 SMR Jun-2022 Release 1 之前,RemoteViews
中的不正確驗證弱點允許攻擊者啟動某些活動。
CVE-2022-30710

google android 1 SMR Jun-2022 Release 1 之前的 FeedsInfo
中的不正確驗證弱點允許攻擊者啟動某些活動。
CVE-2022-30711

google android 1 SMR Jun-2022 Release 1 之前的 LSOItemData中的不正確驗證弱點允許攻擊者啟動某些活動。 CVE-2022-30713

google android 1 SMR Jun-2022 Release 1之前的三星帳號中的隱式意圖劫持弱點,允許攻擊者繞過三星帳號的用戶確認。 CVE-2022-30722

logicoycreativo logico_y_creativo 1 在 L?gico y Creativo 1.0 中發現了一個弱點並歸類為嚴重弱點。
這個問題會影響一些未知的處理。 對參數 id 的操作會導致 sql  Injection。 攻擊可以遠端發起。
CVE-2020-36539

neetai neetai_tech 1 在 Neetai Tech 中發現了一個被歸類為嚴重的弱點。 受影響的是文件/product.php的未知功能。 操作導致 sql  Injection。 可以遠端發起攻擊。 該弱點利用已向公眾披露並可能被使用。 CVE-2020-36540

realnetworks realplayer 1 在 Real Player  20.0.8.310 中,G2 控件允許在本地 HTTP 錯誤頁面(由Internet Explorer 核心顯示)中註入不安全的 javascript:URI。 這會導致任意程式碼執行。 CVE-2022-32269

realnetworks realplayer 1 在 Real Player 20.0.7.309 和 20.0.8.310
中,external::Import() 允許下載任意文件類型和目錄遍歷,從而導致遠端程式碼執行。
發生這種情況是因為可以在啟動文件夾中植入可執行文件(也可能發生 DLL 植入)。
CVE-2022-32270

starwindsoftware starwind_san_\&_nas 1 StarWind SAN 和 NAS v0.2 build 1914 允許遠端程式碼執行。 CVE-2022-32268

影響系統:
    • 受影響廠牌如下:
  • android
  • logico_y_creativo
  • neetai
  • realplayer
  • starwindsoftware
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-164 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-164 )
參考資訊: US-CERT