登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20180521-20180527)

2018-05-28 13:48:59

一、境外厂商产品漏洞

1、Phoenix Contact managed FL SWITCH缓冲区溢出漏洞

PhoenixContact是德国工业自动化、连接性和接口解决方案提供商。攻击者可通过精心设计的cookie插入到GET请求中,以导致缓冲区溢出,从而启动拒绝服务攻击并执行任意代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-10149

2、Siemens Milestone XProtect Video ManagementSoftware反序列化权限提升漏洞

SiemensMilestone XProtect Video Management Software是一套用于管理监控视频等内容的视频管理软件。远程攻击者可利用该漏洞执行代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-10185

3、Apache Solr XML外部实体注入漏洞(CNVD-2018-10076)

ApacheSolr是美国阿帕奇(Apache)软件基金会的一款基于Lucene的搜索服务器。攻击者可利用该漏洞读取Solr服务器及内部网络上的任意本地文件。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-10076

4、VMware Workstation和Fusion提权漏洞

VMwareFusion是美国威睿(VMware)公司的一套专用于在苹果机(Mac)上运行Windows应用程序的的虚拟机软件。本地攻击者可利用该漏洞绕过签名检测,从而提升权限。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-10312

5、NVIDIA Tegra移动处理器BootROM Recovery Mode缓冲区溢出漏洞

NVIDIATegra mobile processors是美国英伟达(NVIDIA)公司的一款中央处理器产品。攻击者可利用该漏洞执行未验证的代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-10171

 

二、境内厂商产品漏洞

1、网站安全狗(IIS版)V4.0存在SQL注入漏洞

网站安全狗IIS版是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。攻击者可利用该漏洞获取数据库敏感信息。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-07628

2、Gxlcms新闻系统DataAction.class.php存在代码执行漏洞

Gxlcms新闻系统是一个以php+mysql进行开发的新闻类cms内容管理系统。攻击者可利用漏洞获取webshell。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-08143

3、ShopsN v2.2.6正式版后台存在代码执行漏洞

ShopsN商城系统是上海亿速网络科技有限公司旗下产品,一款企业级商用标准全功能的允许免费商业用途的开源网店全网系统。攻击者可利用漏洞在后台注入SQL语句,获取数据库敏感信息,执行任意代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-07626

4、思途CMS destination处存在SQL注入漏洞

思途CMS是是一款自主研发的适用于旅游网站建设的网站管理系统。攻击者可利用该漏洞获取数据库敏感信息。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-08159

5、广州市顺天计算机科技有限公司网站建设系统存在SQL注入漏洞

顺天科技是网络技术服务提供商,拥有国际领先的网站开发技术、电子商务技术、网站全方位推广技术及贴心的售后客户服务团队。攻击者可利用漏洞访问或修改数据库敏感信息。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-07701

 

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论