登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20181210-20181216)

2018-12-17 16:01:01

一、境外厂商产品漏洞

1、SQLite及Chrome SQLite组件远程执行代码漏洞

SQLite是一套基于C语言的开源嵌入式关系数据库管理系统。Google Chromium是美国谷歌(Google)公司开发的一款Web浏览器。攻击者可利用漏洞远程执行代码、泄露程序内存或导致程序崩溃。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-24855

2、Apple iTunes for Windows、iCloud for Windows和tvOS CoreFoundation权限提升漏洞

AppleiTunes for Windows、iCloud for Windows和tvOS都是美国苹果(Apple)公司的产品。攻击者可利用该漏洞获取提升的权限(内存破坏)。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-25383

3、Linux kernel内存泄露漏洞(CNVD-2018-25184)

Linuxkernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。攻击者可利用该漏洞泄露敏感的内存。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-25184

4、多款Siemens产品保护机制失效漏洞

SiemensSINUMERIK 808D等都是德国西门子(Siemens)公司的数控机床系统控制器。本地攻击者可通过修改用户可写的配置文件利用该漏洞在系统重启后或手动启动后以提升的权限执行代码。。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-25416

5、Microsoft SharePoint权限访问控制漏洞

MicrosoftSharePoint是美国微软(Microsoft)公司的一套企业业务协作平台。攻击者可通过向受影响的服务器发送特制的请求利用该漏洞获取提升的权限。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-25310

 

二、境内厂商产品漏洞

1、ThinkPHP5远程代码执行漏洞

ThinkPHP是由上海顶想信息科技有限公司开发维护的MVC结构的开源PHP框架。攻击者利用该漏洞对目标网站进行远程命令执行攻击。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-24942

2、PHP7CMS前台存在代码执行漏洞

PHP7内容管理系统(简称PHP7CMS)由春杰工作室采用PHP7技术全新研发的内容管理程序。攻击者可利用漏洞无需权限即可调用函数写入任意内容到php文件,获得服务器权限。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-23367

3、Foxit Reader和Foxit PhantomPDF for Windows内存错误引用漏洞(CNVD-2018-25203)

FoxitReader for Windows是中国福昕(Foxit)软件公司的一款基于Windows平台的PDF文档阅读器。远程攻击者可借助特制的页面或文件利用该漏洞在当前进程的上下文中执行代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-25203

4、Lenovo XClarity Integrator forVmware文件写入漏洞

LenovoXClarity Integrator(LXCI)for Vmware是中国联想(Lenovo)公司的一款适用于Vmware的应用程序。攻击者可利用该漏洞写入任意的系统文件。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-25295

5、Ctcms影视系统后台存在代码执行漏洞

Ctcms是一套采用PHP+MYSQL环境下运行的快速建站系统。允许攻击者上传exp文件,执行命令,获得服务器权限。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-23371

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论