上周关注度较高的产品安全漏洞(20220411-20220417)

一、境外厂商产品漏洞

1、Oracle MySQL存在逻辑缺陷漏洞

MySQL是一个关系型数据库管理系统。Oracle MySQL存在逻辑缺陷漏洞，攻击者可利用该漏洞获取明文密码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-03670

2、Google Android权限提升漏洞（CNVD-2022-28927）

Google Android是美国谷歌（Google）公司的的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，该漏洞源于NFC中缺少边界检查，可能会出现越界写入。攻击者可利用此漏洞导致本地权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-28927

3、Siemens Mendix信息泄露漏洞（CNVD-2022-28497）

Mendix是一个高生产力的应用程序平台。Siemens Mendix存在信息泄露漏洞，攻击者可利用该漏洞读取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-28497

4、Google Android权限提升漏洞（CNVD-2022-28911）

Google Android是美国谷歌（Google）公司的的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用漏洞提交特殊的请求，可以应用程序上下文执行任意代码，提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-28911

5、Siemens SCALANCE X-300 Switch Family Devices输入验证错误漏洞

SCALANCE X switches用于连接可编程逻辑控制器等工业组件(PLC)或人机界面(HMI)。SIPLUS extreme专为在极端条件下可靠运行而设计。Siemens SCALANCE X-300Switch Family Devices存在输入验证错误漏洞，攻击者可利用该漏洞使受影响的设备崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-28486

二、境内厂商产品漏洞

1、七牛Logkit监控中心存在未授权访问漏洞

上海七牛信息技术有限公司是一家云计算及数据服务提供商。七牛Logkit监控中心存在未授权访问漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-21830

2、Delta Electronics DIAEnergie SQL注入漏洞（CNVD-2022-27556）

Delta Electronics DIAEnergie是一个工业能源管理系统，用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。Delta ElectronicsDIAEnergie存在SQL注入漏洞，该漏洞源于HandlerExport.ashx/Calendar中缺少对外部输入SQL语句的验证。攻击者可利用该漏洞注入任意SQL查询、检索和修改数据库内容以及执行系统命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-27556

3、TOTOLINK N302R Plus存在命令执行漏洞

吉翁电子（深圳）有限公司是一家高新技术外资企业，坐落于深圳宝安沙井。TOTOLINK N302R Plus存在命令执行漏洞，攻击者可利用漏洞执行命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-21892

4、武汉金同方科技有限公司月子护理ERP管理平台存在逻辑缺陷漏洞

武汉金同方科技有限公司是一家为母婴服务行业提供信息化解决方案的公司。武汉金同方科技有限公司月子护理ERP管理平台存在逻辑缺陷漏洞，攻击者可利用漏洞绕过身份认证调用管理接口，接管应用。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-25886

5、普联技术有限公司TL-WDR7660存在栈溢出漏洞（CNVD-2022-21792）

TL-WDR7660是一款路由器。普联技术有限公司TL-WDR7660存在栈溢出漏洞，攻击者可利用该漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-21792

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。