登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190923-20190929)

2019-09-30 12:56:49

一、境外厂商产品漏洞

1、Joomla! CCNewsLetter组件SQL注入漏洞(CNVD-2019-32674)

Joomla!是一套使用PHP和MySQL开发的开源、跨平台的内容管理系统。Joomla! CCNewsLetter组件存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-32674

2、Google Android缓冲区溢出漏洞(CNVD-2019-24188)

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Android中的wma_extscan_change_results_event_handler例行程序存在缓冲区溢出漏洞。攻击者可利用该漏洞可能导致WLAN ext扫描处理程序中的缓冲区溢出。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-24188

3、WordPress sendpress插件SQL注入漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。sendpress是使用在其中的一个新闻通讯插件。WordPress sendpress插件1.2之前版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-33600

4、EXIM4缓冲区溢出漏洞

Exim是一个运行于Unix系统中的开源消息传送代理(MTA),它主要负责邮件的路由、转发和投递。EXIM4存在缓冲区溢出漏洞,远程攻击者可利用该漏洞导致拒绝服务或执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-33626

5、SamsungTTS组件权限提升漏洞

Text-to-speech Engine(SamsungTTS)application for Android是一款基于Anroid平台的文字转语音应用程序。基于Android平台的Text-to-speech Engine应用程序3.0.02.7之前版本和3.0.00.101之前版本中存在安全漏洞。本地攻击者可利用该漏洞提升权限,例如:提升至root权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-33599

 

二、境内厂商产品漏洞

1、Fastjson远程代码执行漏洞(CNVD-2019-32498)

Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson存在远程代码执行漏洞,攻击者可利用该漏洞远程执行恶意代码来入侵服务器。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-32498

2、海洋CMS存在代码执行漏洞(CNVD-2019-29859)

海洋CMS是为解决站长核心需求而设计的内容管理系统。海洋CMS存在代码执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-29859

3、whatsns存在命令执行漏洞

whatsns问答系统是一款可以根据自身业务需求快速搭建垂直化领域的php开源问答系统。whatsns存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-29864

4、广西集翔网大信息科技有限公司建站系统存在SQL注入漏洞

广西集翔网大信息科技有限公司是一家致力于网络基础服务领域的互联网公司。广西集翔网大信息科技有限公司建站系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-29897

5、whatsns存在SQL注入漏洞(CNVD-2019-29865)

whatsns问答系统是一款可以根据自身业务需求快速搭建垂直化领域的php开源问答系统。whatsns存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-29865

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论