登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190729-20190804)

2019-08-05 11:12:21

一、境外厂商产品漏洞

1、WordPress Simple Membership插件跨站请求伪造漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Simple Membership plugin是使用在其中的一个网站会员插件。WordPress SimpleMembership插件3.8.5之前版本中的Bulk Operation部分存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-24794

2、Adobe Animator存在dll劫持漏洞

Adobe Animator是一款二维矢量动画创作软件。Adobe Animator在处理xfl工程文件时存在dll劫持漏洞,攻击者可利用该漏洞加载恶意dll,执行恶意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21105

3、Linux kernel缓冲区溢出漏洞(CNVD-2019-25065)

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Linux kernel 2.6.37之前版本中的drivers/net/mlx4/port.c文件存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-25065

4、Wind River Systems VxWorks参数拒绝服务漏洞

Wind River Systems VxWorks是美国风河系统(Wind River Systems)公司的一套嵌入式实时操作系统(RTOS)。Wind River Systems VxWorks中存在参数注入漏洞。攻击者可利用该漏洞借助畸形的TCP选项造成拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-25703

5、WordPress Advanced CF7 DB SQL注入漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Advanced CF7 DB是使用在其中的一个联系表单插件。WordPress Vsourz DigitalAdvanced CF7 DB 1.6.1及之前版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。远程攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-25060

 

二、境内厂商产品漏洞

1、齐治运维堡垒机服务端存在命令执行漏洞(CNVD-2019-21086)

浙江齐治科技股份有限公司是一家主要经营计算机软硬件、网络产品的技术开发等项目的公司。齐治运维堡垒机服务端存在命令执行漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21086

2、CSCMS Pl***.php文件存在SQL注入漏洞

CSCMS是一款由崇胜网络科技研制开发的一款多功能网络信息管理系统。CSCMS Pl***.php文件存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21094

3、杭州远思科技有限公司水雨情数据发布系统存在万能密码登录漏洞

水雨情数据发布系统是由杭州远思科技有限公司研发和提供技术支持,该系统是水利部门公布水雨信息的平台。杭州远思科技有限公司水雨情数据发布系统存在万能密码登录漏洞。攻击者可利用该漏洞登录后台,获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21276

4、360安全卫士、深信服webshellkill,D盾存在WebShell绕过漏洞

360安全卫士是一款安全杀毒软件。WebShellKill是一款由EDR安全软件中心开发的网站后门怜惜速检测软件。D盾是一个主动防御的保护软件。360安全卫士、深信服webshellkill,D盾存在WebShell绕过漏洞。攻击者可利用漏洞获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21289

5、广州力洋网络科技有限公司建站系统存在SQL注入漏洞

广州力洋网络科技有限公司是一家为企事业单位提供网站建设、网站优化网页设计、域名注册、虚拟空间租用等服务的互联网公司。广州力洋网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21089

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论