登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190909-20190915)

2019-09-16 16:38:14

一、境外厂商产品漏洞

1、WordPress photo-gallery插件SQL注入漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。photo-gallery是使用在其中的一个图片库插件。WordPressphoto-gallery(10Web Photo Gallery)插件1.5.35之前版本中存在SQL注入漏洞,攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-31206

2、CA Technologies Client Automation和Workload Automation AE访问控制错误漏洞

CA Automic Workload Automation是美国CA公司的一套工作负载自动化解决方案。该产品包括数据驱动的事件自动化、托管文件传输、版本控制和生命周期管理等功能。CA Technologies ClientAutomation 14版本和Workload Automation AE 11.3.5版本和11.3.6版本中的CA Common Services DIA存在访问控制错误漏洞,远程攻击者可利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-30907

3、Exim缓冲区溢出漏洞

Exim是一个运行于Unix系统中的开源消息传送代理(MTA),它主要负责邮件的路由、转发和投递。Exim存在缓冲区溢出漏洞,攻击者可利用该漏洞使用root权限执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-30794

4、PHP pecl-http extension缓冲区溢出漏洞

PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。pecl-http extension是其中的一个HTTP请求处理扩展模块。PHP的pecl-http extension3.1.0beta2及之前版本(PHP 7)和2.6.0beta2及之版本(PHP 5)中的php_http_params.c文件的‘merge_param()’函数存在缓冲区溢出漏洞,攻击者可借助特制的HTTP请求利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-31199

5、Facebook HHVM缓冲区溢出漏洞(CNVD-2019-31201)

Facebook HHVM(又名HipHop Virtual Machine)是美国Facebook公司的一款能够显著提高PHP加载动态页面性能的虚拟机。Facebook HHVM中存在缓冲区溢出漏洞,攻击者可利用该漏洞导致缓冲区溢出或堆溢出。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-31201

 

二、境内厂商产品漏洞

1、PbootCMS v1.4.1前台搜索页面模板存在命令执行漏洞

PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码。PbootCMSv1.4.1前台搜索页面模板存在命令执行漏洞,攻击者可以利用漏洞获取服务器信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27743

2、yzncms系统存在文件上传漏洞

YznCMS(又名御宅男cms)是完全开源的项目,基于ThinkPHP5.1.X最新版,框架易于功能扩展,代码维护,方便二次开发 帮助开发者简单高效降低二次开发成本,满足专注业务深度开发的需求。yzncms系统存在文件上传漏洞,攻击者可以利用漏洞获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27744

3、网站安全狗的SQL注入拦截功能存在绕过漏洞

安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器安全防护工具。网站安全狗的SQL注入拦截功能存在绕过漏洞。攻击者可绕过网站安全狗的SQL注入拦截功能,获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27623

4、米酷cms bp***.php页面存在SQL注入漏洞

米酷cms是一款网站搭建管理系统。米酷cms bp***.php页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-28298

5、AIOT结构健康监测系统存在SQL注入漏洞

上海同磊土木工程技术有限公司是一家致力于在建筑结构行业提供信息化技术解决方案的专业技术服务公司。AIOT结构健康监测系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-27630

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论