登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190812-20190818)

2019-08-19 16:18:49

一、境外厂商产品漏洞

1、Microsoft Windows远程桌面服务远程代码执行漏洞(CNVD-2019-27325)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows远程桌面服务存在远程代码执行漏洞。攻击者可利用漏洞目标系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27326

2、KUNBUS-GW Ethernet/IP存在拒绝服务漏洞

KUNBUS-GW Ethernet/IP是一款可编程逻辑控制器(PLC),提供一个集成的ControlNet通讯口,提供两个集成的以太网接口。KUNBUS-GW Ethernet/IP存在拒绝服务漏洞。攻击者通过发送构造的特殊协议包,利用该漏洞使设备宕机。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-22264

3、TortoiseSVN v1.12.1远程代码执行漏洞

TortoiseSVN是一款用于Subversion版本控制系统的开源客户端程序。TortoiseSVN 1.12.1版本中存在远程代码执行漏洞,该漏洞源于URI处理程序(Tsvncmd:)允许在Excel工作簿上进行定制的diff操作,在不受宏安全设置保护的情况下,该操作可能会用于打开远程工作簿。攻击者可利用该漏洞执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27708

4、WordPress acf-better-search插件跨站请求伪造漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。acf-better-search是使用在其中的一个搜索引擎插件。WordPressacf-better-search插件3.3.1之前版本中存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27015

5、Microsoft Windows远程桌面服务远程代码执行漏洞(CNVD-2019-27323)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows远程桌面服务存在远程代码执行漏洞。攻击者可利用漏洞目标系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27323

 

二、境内厂商产品漏洞

1、健康管理中心报告查询系统存在SQL注入漏洞

北京标软信息技术有限公司是专业体检软件供应商,专注于打造高智能体检管理软件。健康管理中心报告查询系统存在sql注入漏洞,攻击者可利用漏洞获得数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21761

2、深喉咙CMS v4.2存在文件写入漏洞

深喉咙CMS是一套Web工具软件,主要用于中小企业web站点的搭建和管理。深喉咙CMS v4.2存在文件写入漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21950

3、PHPEMS v4.0存在文件上传漏洞

PHPEMS(PHP Exam Management System)在线模拟考试系统基于PHP+Mysql开发,是一款开源免费的PHP无纸化模拟考试系统。PHPEMS v4.0存在文件上传漏洞。攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-22265

4、云南天罡北斗信息科技有限公司建站系统存在SQL注入漏洞

云南天罡北斗信息科技有限公司是在与云南省工商行政管理局下属的云南省个体私营经济协会业务合作的政策背景下成立的。云南天罡北斗信息科技有限公司建站系统存在SQL注入漏洞。攻击者可以利用漏洞获取数据库信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-22263

5、HDCMS存在命令执行漏洞

HDCMS是一个用PHP+Mysql开发的内容管理系统软件包。HDCMS存在命令执行漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21951

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论