登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190114-20190120)

2019-01-21 15:16:06

一、境外厂商产品漏洞

1、IBM Security Identity Manager文件上传漏洞

BMSecurity Identity Manager(ISIM)是美国IBM公司的一套身份管理和治理解决方案。攻击者可利用该漏洞上传或传递带有危险文件类型的文件。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-01331

2、Apple macOS High Sierra Security逻辑缺陷漏洞

ApplemacOS High Sierra是美国苹果(Apple)公司的一套专为Mac计算机所开发的专用操作系统。攻击者可利用该漏洞绕过管理员身份验证(无需管理员密码)。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-01541

3、Google Chrome WebAssembly代码执行漏洞

GoogleChrome是美国谷歌(Google)公司开发的一款Web浏览器。远程攻击者可借助特制的HTML页面利用该漏洞在沙盒内中任意代码(越界读取和写入)。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-01112

4、Symantec Reporter CLI操作系统命令注入漏洞

SymantecReporter CLI是美国赛门铁克(Symantec)公司的一款命令行工具。远程攻击者可利用该漏洞以提升的系统权限执行任意的操作系统命令。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-01680

5、Cisco IOS和IOS XE Software拒绝服务漏洞(CNVD-2019-01903)

CiscoIOS Software和IOS XE Software都是美国思科(Cisco)公司为其网络设备开发的操作系统。远程攻击者可通过向受影响设备和TACACS+服务器之间已存在的TACACS+会话注入特制的TACACS+数据包或伪造已知有效的TACACS+服务器并向受影响的系统发送特制的TACACS+数据包利用该漏洞造成受影响的设备重载,导致拒绝服务。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-01903

 

二、境内厂商产品漏洞

1、NA300 PLC存在命令注入漏洞

NA300PLC是一款中型可编程控制器。攻击者可通过构造参数绕过检查,注入命令,获取服务器权限。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-26204

2、Huawei PCManager代码执行漏洞

HuaweiPCManager是中国华为(Huawei)公司的一套电脑管理软件。攻击者可通过诱使用户安装并运行一个恶意应用程序利用该漏洞执行恶意代码,并读写内存。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-01684

3、多款Tenda产品httpd缓冲区溢出漏洞(CNVD-2019-01888)

TendaAC7等都是中国腾达(Tenda)公司的无线路由器产品。攻击者可利用该漏洞造成拒绝服务(覆盖函数的返回值)。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-01888

4、S-CMS企业建站系统存在SQL注入漏洞

S-CMS企业建站系统是淄博闪灵网络科技有限公司开发的一款专门为企业建站提供解决方案的产品。攻击者可利用漏洞获取数据库敏感信息。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-26235

5、PHPCMS 2008 sp4系统存在代码执行漏洞

PHPCMS是一套基于PHP和Mysql架构的网站内容管理系统。攻击者可利用该漏洞执行任意代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-26714

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有1条评论

评论

2019-01-26 15255617928 15255617928
666
登录 后才能发表评论
已有1条评论