登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190715-20190721)

2019-07-22 15:07:02

一、境外厂商产品漏洞

1、Joomla! AppsConda组件ap***.php页面存在SQL注入漏洞

Joomla!是一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。Joomla! AppsConda组件ap***.php页面存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-19434

2、WordPress Everest Forms SQL注入漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Everest Forms是使用在其中的一个表单生成插件。WordPress Everest Forms中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-23140

3、Palo Alto Networks PAN-OS命令注入漏洞(CNVD-2019-23071)

Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。Palo Alto Networks PAN-OS9.0.2及之前版本中存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-23071

4、多款F5产品安全绕过漏洞

F5 BIG-IP APM等都是美国F5公司的产品。F5 BIG-IP APM是一套访问和安全解决方案。F5 BIG-IP是一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP Edge Gateway是一套远程接入解决方案。多款F5产品中存在安全漏洞。攻击者可利用该漏洞绕过Advanced Shell直接访问保护。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-22837

5、Atlassian JIRA模板注入漏洞

Atlassian JIRA是Atlassian公司出品的项目与事务跟踪工具。Atlassian JIRA存在模板注入漏洞,攻击者可利用该漏洞在运行易受攻击版本的Jira Server或数据中心的系统上远程执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-22482

 

二、境内厂商产品漏洞

1、Dedecms存在命令执行漏洞

织梦内容管理系统(DedeCMS)是一款PHP开源网站管理系统。Dedecms存在命令执行漏洞。允许攻击者远程执行命令,获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-20853

2、Tpshop v3.5 Ue***.php页面存在文件上传漏洞

Tpshop是深圳搜豹网络有限公司开发的一套多商家模式的商城系统。Tpshop v3.5 Ue***.php页面存在文件上传漏洞。允许攻击者上传webshell,获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-17511

3、合肥拓野网络科技有限公司建站系统存在SQL注入漏洞

合肥拓野网络科技有限公司是一家主营网站建设、网站推广、网站设计、网站优化、网站营销等业务的公司。合肥拓野网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-20832

4、S-CMS企业建站系统mi***.php文件存在命令执行漏洞

S-CMS企业建站系统是淄博闪灵网络科技有限公司开发的一款专门为企业建站提供解决方案的产品。S-CMS企业建站系统mi***.php文件存在命令执行漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-18884

5、浪潮政务服务云平台ECGAP2.0存在Shiro反序列化漏洞

浪潮集团有限公司(即浪潮集团),旗下拥有浪潮信息、浪潮软件、浪潮国际、华光光电四家上市公司,业务涵盖云数据中心、云服务大数据、智慧城市、智慧企业四大产业群组,提供IT产品和服务。浪潮政务服务云平台ECGAP2.0存在Shiro反序列化漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-20829


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论