登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190826-20190901)

2019-09-02 15:13:44

一、境外厂商产品漏洞

1、Cisco IOS XE Software授权问题漏洞

Cisco IOS和IOS XE都是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。Cisco IOS XE Software中的Cisco REST API虚拟服务容器存在授权问题漏洞,该漏洞源于管理REST API身份验证服务的代码区域未能执行正确的检查,远程攻击可通过提交恶意的HTTP请求利用该漏洞获取已认证用户的token-id,绕过身份验证并执行特权操作。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-29411

2、WordPress rsvpmaker插件SQL注入漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。rsvpmaker是使用在其中的一个事件调度和RSVP跟踪插件。WordPress rsvpmaker插件5.6.4之前版本中存在SQL注入漏洞,攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-29450

3、BEdita SQL注入漏洞

BEdita是意大利Chialab和ChannelWeb公司的一套开源后端API软件。该软件主要用于管理移动应用程序、Web应用程序和桌面应用程序中的数据。Bedita 4.0.0-RC2及之前版本中存在SQL注入漏洞,攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-29441

4、Alfresco Software Alfresco application forAndroid SQL注入漏洞

Alfresco Software Alfrescoapplication for Android是美国Alfresco Software公司的一款基于Android平台的用于访问Alfresco的应用程序。基于Android平台的Alfresco Software Alfrescoapplication 1.8.7之前版本中的HistorySearchProvider.java文件存在SQL注入漏洞,攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-29446

5、FlashLingo SQL注入漏洞

FlashLingo是一款用于对用户的Google账户进行身份验证的程序。FlashLingo 2019-06-12之前版本中存在SQL注入漏洞,攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-29439

 

二、境内厂商产品漏洞

1、齐治堡垒机存在文件写入漏洞

浙江齐治科技股份有限公司是一家主要经营计算机软硬件、网络产品的技术开发等项目的公司。齐治堡垒机存在文件写入漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-24395

2、哈尔滨优阳科技有限公司建站系统存在SQL注入漏洞

哈尔滨优阳科技有限公司是一家互联网应用技术与顾问服务提供商。哈尔滨优阳科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-24396

3、OPENSNS后台存在代码执行漏洞

OpenSNS是基于OneThink的轻量级社交化用户中心框架,系统秉持简约的设计风格,注重交流,为用户提供了一套轻量级的社交方案。OPENSNS后台存在代码执行漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-24397

4、昆山优网科技网站管理系统存在文件上传漏洞

昆山优网信息科技有限公司是一家以网站建设与视觉设计开发和品牌网络营销推广为一体的网站设计公司。昆山优网科技网站管理系统存在文件上传漏洞.攻击者可利用该漏洞上传webshell,获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27716

5、乐清翰珂网络建站系统pr***-sh***.asp文件存在SQL注入漏洞

乐清翰珂网络是一家从事网站建设的公司。乐清翰珂网络建站系统pr***-sh***.asp文件存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-22881

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论