登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190805-20190811)

2019-08-12 13:43:19

一、境外厂商产品漏洞

1、Magento跨站请求伪造漏洞(CNVD-2019-25993)

Magento是美国Magento公司的一套开源的PHP电子商务系统。该系统提供权限管理、搜索引擎和支付网关等功能。Magento 2.1.18之前的2.1版本、2.2.9之前的2.2版本和2.3.2之前的2.3版本中存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-25993

2、Linux kernel缓冲区溢出漏洞(CNVD-2019-26570)

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Linux kernel 4.14之前版本中的drivers/nvme/target/fc.c文件存在缓冲区溢出漏洞,攻击者可利用该漏洞导致缓冲区溢出或堆溢出。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-26570

3、Apache Solr远程代码执行漏洞(CNVD-2019-26390)

Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。Apache Solr存在远程代码执行漏洞,攻击者可通过dataConfig参数构造恶意请求利用该漏洞执行任意代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-26390

4、IBM Intelligent Operations Center XML外部实体注入漏洞

IBM Intelligent Operations Center(IOC)是美国IBM公司的一套城市运营解决方案。该产品具有数据可视化、实时协作等功能。IBM IOC中存在XML外部实体注入漏洞,远程攻击者可利用该漏洞泄露敏感信息或消耗内存资源。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-26705

5、Microsoft Windows PowerShell命令执行漏洞

Windows PowerShell是专为Windows设计的Windows命令行shell系统管理员。Microsoft WindowsPowerShell存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-25762

 

二、境内厂商产品漏洞

1、MIPCMS存在远程代码执行漏洞

MIPCMS是一套免费开源的基于百度移动加速器MIP引擎的文章、资讯、内容管理系统,同时该系统也为互联网站长、创业者等群体打造的SEO优化后的建站系统。MIPCMS存在远程代码执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-21445

2、深圳市奥联科技有限公司APN GW系列产品存在命令执行漏洞

深圳市奥联科技有限公司是深圳市高新技术企业、双软企业,是国家密码局商密定点生产单位和销售单位。深圳市奥联科技有限公司APN GW系列产品存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-21298

3、S-CMS企业建站系统存在命令执行漏洞

S-CMS企业建站系统是淄博闪灵网络科技有限公司开发的一款专门为企业建站提供解决方案的产品。S-CMS企业建站系统存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-21942

4、济南宇霞信息技术有限公司建站系统co***.php页面存在SQL注入漏洞

济南宇霞信息技术有限公司以互联网产品及相关服务为主营方向,是集网站建设与网络推广,IDC业务、软件开发,服务器托管,电信增值业务等综合服务为一体的企业。济南宇霞信息技术有限公司建站系统co***.php页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-21301

5、YouDianCMS v8.0后台存在代码执行漏洞

Youdiancms企业网站管理系统是长沙友点软件科技有限公司开发的一款企业建站系统。YouDianCMS v8.0后台存在代码执行漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-21944

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论