登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190819-20190825)

2019-08-26 15:57:21

一、境外厂商产品漏洞

1、Qualcomm WLAN芯片远程代码执行漏洞

Qualcomm WLAN芯片是高通平台处理WLAN/WIFI协议的专用芯片,属于高通Baseband子系统,用于提高WLAN/WIFI处理速度和性能,降低能耗。Qualcomm WLAN芯片存在远程代码执行漏洞。攻击者可以通过控制WLAN固件,最终导致在服务器上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-28290

2、NVIDIA Shield TV Experience权限许可和访问控制漏洞

NVIDIA SHIELD TV娱乐主机是英伟达发布的一款客厅娱乐设备。NVIDIA Shield TVExperience存在权限许可和访问控制漏洞,该漏洞源于程序未能正确地对Trusted OS镜像进行身份验证。攻击者可利用该漏洞执行代码,提升权限,泄露信息或造成拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-28488

3、Oracle Outside In Technology组件访问控制错误漏洞(CNVD-2019-27769)

Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Outside In Technology是其中的一个软件开发工具包组件。Oracle Fusion Middleware中的Outside In Technology组件8.5.4版本的Outside In Filters子组件存在安全漏洞。攻击者可利用该漏洞未授权读取、更新、插入或删除数据,造成拒绝服务,影响数据的保密性、可用性和完整性。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27769

4、HPE 3PAR Service Processor安全限制绕过漏洞

HPE 3PAR Service Processor (SP)是美国HPE公司的一套部署在VMware vSphere虚拟机管理程序上的虚拟服务处理器。HPE 3PAR Service Processor5.0.5.1之前版本存在远程安全限制绕过漏洞。攻击者可利用该漏洞绕过安全限制。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-28119

5、HPE IceWall SSO Agent Option和IceWall MFA输入验证错误漏洞

HPE IceWall SSO和HPE IceWall MFA都是美国惠普企业公司(Hewlett Packard Enterprise,HPE)的产品。HPE IceWall SSO是一款为用户提供身份验证功能的单点登录程序。HPE IceWall SSO AgentOption是一个基于代理的HPE IceWall SSO选项。HPE IceWall MFA是一套多因素身份验证解决方案。Agent module是其中的一个代理模块。HPE IceWall SSO AgentOption和IceWall MFA (Agent模块 )中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-28128

 

二、境内厂商产品漏洞

1、泛微e-message后台存在文件上传漏洞

泛微e-message是一款适用于企业用户的即时通讯软件。泛微e-message后台存在文件上传漏洞。攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-23500

2、北京超越无限信息技术有限公司建站系统存在SQL注入漏洞

北京超越无限信息技术是一家从事网站建设的公司。北京超越无限信息技术有限公司建站系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-23516

3、山大鲁能信息科技有限公司乐播平台存在SQL注入漏洞

山大鲁能信息科技有限公司致力于在教育信息化、水务信息化与自动化、环保信息化等领域提供系统解决方案。山大鲁能信息科技有限公司乐播平台存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-23495

4、小蚁微单相机M1存在蓝牙认证授权绕过漏洞

小蚁微单相机M1是一款微单相机,其内置蓝牙、无线功能可以让照片传送到手机上。小蚁微单相机M1存在蓝牙认证授权绕过漏洞。攻击者可利用此漏洞在相机蓝牙的工作范围内,绕过相机认证窃取相机照片、控制相机拍照或者录制视频。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-23494

5、ctcms v2.0.2存在命令执行漏洞

崇胜网络科技研发了Cscms门户内容管理系统、Ctcms网络视频教育管理系统、聚合支付以及一款多商户入驻的发卡平台管理系统。ctcms v2.0.2存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-22873

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论