您好！

永信至诚报送1个漏洞预警中兴通讯ZAIP-AIE 存在SQL注入漏洞-CVE-2022-39069（CNNVD-202211-2336）。

1、产品描述

ZTE ZAIP-AIE是中国中兴通讯（ZTE）公司的一款产品。

2、影响产品或组件及版本

ZAIP-AIE <= V8.22.01

3、受影响资产情况

根据资产测绘系统fofa发现，第一名美国，第二名中国香港特别行政区，第三名中国。

4、危害等级

高危

5、技术细节表述

中兴通讯ZAIP-AIE存在一个SQL注入漏洞。由于服务器缺乏输入验证，攻击者可以通过建立恶意的请求来触发攻击。利用该漏洞可能导致当前表内容的泄露。攻击者可以利用该漏洞执行任意 SQL 语句，如查询数据、下载数据、写入 webshell、执行系统命令以及绕过登录限制等, SQL 注入漏洞允许攻击者通过操纵用户输入来更改后端 SQL 语句。当 web 应用程序接受直接放入 SQL 语句的用户输入，并且没有正确过滤掉危险字符时，就会发生 SQL 注入。

6、修补措施

官方已经发布安全补丁，请受影响的用户尽快参考 ZAIP-AIE 升级手册进行升级安装： https://www.zte.com.cn/global/cybersecurity/ztepsirt.HTML

7、漏洞来源

https://nvd.nist.gov/vuln/detail/CVE-2022-39069