登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190722-20190728)

2019-07-29 16:11:17

一、境外厂商产品漏洞

1、WordPress FV Flowplayer Video Player SQL注入漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。FV Flowplayer Video Player是使用在其中的一个视频播放器插件。WordPress FolioVision FVFlowplayer Video Player插件7.3.19.727之前版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-23835

2、Notepad++7.6.3存在命令执行漏洞

Notepad++是一款自由的纯文本编辑器。Notepad++7.6.3存在命令执行漏洞,攻击者可利用该漏洞获取数服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-20844

3、CentOS Control Web Panel权限提升漏洞

CentOS Web Panel(CWP)是一款免费的虚拟主机控制面板。CWP 0.9.8.836版本中存在安全漏洞。攻击者可借助cwpsrv-xxx cookie利用该漏洞向/tmp目录上传特制的会话文件,进而获取root权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-23757

4、ProFTPd任意文件拷贝漏洞

ProFTPD是ProFTPD团队的一套安全云打印解决方案。该方案支持从笔记本电脑、台式机和移动设备连接打印机进行打印。ProFTPD 1.3.5b及之前版本中存在安全漏洞。远程攻击者可利用该漏洞未经身份验证便可执行代码并泄露信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-24009

5、xstream代码注入漏洞

xstream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。xstream中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-24004

 

二、境内厂商产品漏洞

1、OECMS跨站请求伪造漏洞

OECMS是一套企业网站内容管理系统(CMS)。OECMS中的admincp.php文件存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-23754

2、北京夜猫天诚网络科技有限公司建站系统存在SQL注入漏洞

北京夜猫天诚网络科技有限公司是国内专业的网站设计及网站建设服务商。北京夜猫天诚网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-20841

3、Hillstone Firewall StoneOS 5.5R7远程代码执行漏洞

Hillstone是致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。Hillstone Firewall StoneOS5.5R7存在远程代码执行漏洞。允许攻击向量可通过端口443访问的Web管理接口。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-24001

4、正方教务管理系统存在任意文件读取漏洞

正方软件股份有限公司是一家专业从事高校教育信息化领域咨询、规划、建设和服务的软件企业和高新技术企业。正方教务管理系统存在任意文件读取漏洞,攻击者可利用该漏洞读取任意文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-20839

5、青岛品赢网络技术有限公司建站系统存在SQL注入漏洞

青岛品赢网络技术有限公司是一家主要经营计算机软硬件开发、网页制作等业务的公司。青岛品赢网络技术有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-20840

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论