11 High Vulnerabilities (Week of July 4)

「出典」の11個の High Vulnerabilities について、以下に記す。

 

◆gitlab -- gitlab

A critical issue has been discovered in GitLab affecting all versions starting from 14.0 prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1 where it was possible for an unauthorized user to execute arbitrary code on the server using the project import feature.

GitLab には、14.0 から 14.10.5 まで、15.0 から 15.0.4 まで、および 15.1 から 15.1.1 までのすべてのバージョンで、無許可のユーザーがプロジェクトの読み込み機能を使用してサーバー上で任意のコードを実行できる可能性がある、重大な問題が発見されました。

Published: 2022-07-01  

CVSS Score: 7.5             CVE-2022-2185 CONFIRM MISC MISC

 

◆hospital_management_system_project -- hospital_management_system   

Hospital Management System v1.0 was discovered to contain a SQL injection vulnerability via the loginid parameter at adminlogin.php.              

病院管理システム v1.0 には、adminlogin.php の loginid パラメータを経由した SQL インジェクションの脆弱性があることが発見されました。         

Published: 2022-07-01

CVSS Score: 7.5             CVE-2022-32093 MISC

 

◆hospital_management_system_project -- hospital_management_system   

Hospital Management System v1.0 was discovered to contain a SQL injection vulnerability via the loginid parameter at doctorlogin.php.

病院管理システム v1.0 には、doctorlogin.php の loginid パラメータを経由した SQL インジェクションの脆弱性があることが発見されました。         

Published: 2022-07-01

CVSS Score: 7.5              CVE-2022-32094 MISC

 

◆hospital_management_system_project -- hospital_management_system   

Hospital Management System v1.0 was discovered to contain a SQL injection vulnerability via the editid parameter at orders.php.

病院管理システム v1.0 には、orders.php の editid パラメータを経由した SQL インジェクションの脆弱性があることが発見されました。

Published: 2022-07-01

CVSS Score: 7.5              CVE-2022-32095 MISC

 

◆tenda -- ax1806_firmware       

Tenda AX1806 v1.0.0.1 was discovered to contain a stack overflow via the deviceList parameter in the function formAddMacfilterRule.              

Tenda AX1806 v1.0.0.1 には、関数 formAddMacfilterRule の deviceList パラメータを経由したスタックオーバーフローがあることが発見されました。

・訳者注. Tenda AX1806はWi-Fiルータ。CVSS Scoreのリンク先のNISTによると、アタックベクターはネットワーク。既に PoCが公開されている。

Published: 2022-07-01

CVSS Score: 10               CVE-2022-32032 MISC

 

◆tenda -- ax1806_firmware       

Tenda AX1806 v1.0.0.1 was discovered to contain a stack overflow via the list parameter in the function formSetQosBand.    

Published: 2022-07-01

CVSS Score: 7.8              CVE-2022-32030 MISC

 

◆tenda -- ax1806_firmware

Tenda AX1806 v1.0.0.1 was discovered to contain a stack overflow via the list parameter in the function fromSetRouteStatic.              

Published: 2022-07-01

CVSS Score: 7.8              CVE-2022-32031 MISC

 

◆tenda -- ax1806_firmware       

Tenda AX1806 v1.0.0.1 was discovered to contain a stack overflow via the function formSetVirtualSer.          

Published: 2022-07-01

CVSS Score: 7.8              CVE-2022-32033 MISC

 

◆tendacn -- m3_firmware

Tenda M3 V1.0.0.12 was discovered to contain a stack overflow via the items parameter in the function formdelMasteraclist.

Published: 2022-07-01

CVSS Score: 7.8              CVE-2022-32034 MISC

 

◆tendacn -- m3_firmware

Tenda M3 V1.0.0.12 was discovered to contain a stack overflow via the function formMasterMng.

Published: 2022-07-01

CVSS Score: 7.8              CVE-2022-32035 MISC

 

◆tendacn -- m3_firmware

Tenda M3 V1.0.0.12 was discovered to contain multiple stack overflow vulnerabilities via the ssidList, storeName, and trademark parameters in the function formSetStoreWeb.

Published: 2022-07-01

CVSS Score: 7.8              CVE-2022-32036 MISC

 

出典

Bulletin (SB22-192)

Vulnerability Summary for the Week of July 4, 2022

Original release date: July 11, 2022 | Last revised: July 12, 2022