登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20190930-20191013)

2019-10-14 15:48:40

一、境外厂商产品漏洞

1、Pengutronix Barebox缓冲区溢出漏洞(CNVD-2019-35034)

Pengutronix barebox是一款使用在嵌入式Linux系统中的引导加载程序。Pengutronix Barebox存在缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-35034

2、vBulletin远程代码执行漏洞

vBulletin是由Internet Brands及vBulletin Solutions开发及销售的一个商业论坛程序。vBulletin存在远程代码执行漏洞,攻击者可利用该漏洞来注入和执行任意PHP代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-34713

3、GNU Binutils拒绝服务漏洞(CNVD-2019-34651)

GNU Binutils是一组用于创建和管理二进制程序、对象文件、库、配置文件数据及程序集源代码的编程工具。GNU Binutils 2.32中使用的二进制文件描述符(BFD)库中的dwarf2.c中的find_abstract_instance存在拒绝服务漏洞。远程攻击者可通过特制ELF文件利用该漏洞导致拒绝服务(无限递归和应用程序崩溃)。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-34651

4、Pluck CMS存在命令执行漏洞

Pluck CMS是一套使用php编写的内容管理系统(CMS)。Pluck CMS存在命令执行漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-30613

5、Google Android拒绝服务漏洞(CNVD-2019-34131)

Android是美国Google公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Google Android 10存在拒绝服务漏洞。该漏洞源于Android中的libstagefright存在输入验证不正确导致的资源耗尽。远程攻击者可利用该漏洞导致拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-34131

 

二、境内厂商产品漏洞

1、zzzphp sm***.php页面存在SQL注入漏洞

zzzphp是一款PHP语言开发的免费建站系统。zzzphp sm***.php页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-30678

2、泛微e-cology OA系统Wo***接口存在SQL注入漏洞

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。泛微e-cology OA系统Wo***接口存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-34241

3、PHPCMS存在文件上传漏洞(CNVD-2019-30562)

PHPCMS是一套基于PHP和Mysql架构的网站内容管理系统。PHPCMS存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-30562

4、江苏楚淮软件科技开发有限公司手机信访(群众版)APP接口存在SQL注入漏洞

手机信访(群众版)APP是江苏楚淮软件科技开发有限公司提供技术支持的江苏手机信访APP的群众专用版。江苏楚淮软件科技开发有限公司手机信访(群众版)APP接口存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-28894

5、广州市保伦电子有限公司中心管理服务器系统存在文件上传漏洞

广州市保伦电子有限公司是一家主要经营公共广播、校园广播、会议系统、无纸化系统、录播系统、智慧校园、舞台灯光、LED大屏、景观亮化等项目的公司。广州市保伦电子有限公司中心管理服务器系统存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-30339

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论