登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20191104-20191110)

2019-11-11 15:35:04

一、境外厂商产品漏洞

1、Cool Edit存在dll劫持漏洞

cool edit pro是由美国Syntrillium软件公司开发一款多轨录音和音频处理软件。Cool Edit存在dll劫持漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-36680

2、Cisco Enterprise NFV Infrastructure Software任意文件读写漏洞

Cisco Enterprise NFV InfrastructureSoftware是一款轻量级虚拟化平台,将完整的VM生命周期管理、监控、设备可编程性及服务链集成在了一个可安装的软件包中。Cisco Enterprise NFVInfrastructure Software 3.10.1之前版本存在任意文件读写漏洞。该漏洞源于NFVIS文件系统命令的输入验证不当。攻击者可利用该漏洞通过在执行受影响的命令期间使用特制变量覆盖或读取底层操作系统上的任意文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-38854

3、ColdFusion存在命令执行漏洞

Adobe ColdFusion是一个商用的快速开发平台。它可以作为一个开发平台使用,也可以提供Flash远程服务或者作为 Adobe Flex应用的后台服务器 。ColdFusion存在命令执行漏洞。攻击者可利用该漏洞获取管理员权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-39419

4、JetBrains TeamCity Java反序列化漏洞

TeamCity是JetBrains推出的基于Java的构建管理和持续集成服务器。JetBrains TeamCity2019.1.4之前版本存在不安全的Java反序列化漏洞。攻击者可利用该漏洞实现远程代码执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-39174

5、Cisco Enterprise NFV Infrastructure Software命令注入漏洞

Cisco Enterprise NFV InfrastructureSoftware是一款轻量级虚拟化平台,将完整的VM生命周期管理、监控、设备可编程性及服务链集成在了一个可安装的软件包中。Cisco Enterprise NFVInfrastructure Software 3.10.1之前版本存在命令注入漏洞。该漏洞源于本地shell用户可访问的配置文件的输入验证不足。攻击者可利用该漏洞通过将恶意输入添加到该配置文件以root身份在底层操作系统上执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-38855

 

二、境内厂商产品漏洞

1、微点佰慧智能防御软件个人版存在权限提升漏洞

微点佰慧(北京)信息安全技术有限公司主要从事研究、开发、制作及销售网络信息安全产品。微点佰慧智能防御软件个人版存在权限提升漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-36677

2、中山市凝聚网络科技有限公司建站系统***ts.asp存在SQL注入漏洞

中山市凝聚网络科技有限公司致力于互联网品牌建设与网络营销,专业领域包括网站建设、电子商务、移动互联网营销、系统平台开发,等服务范围,并且涵盖基础的域名服务、主机服务;企业邮箱、网络营销等应用服务。中山市凝聚网络科技有限公司建站系统***ts.asp存在SQL注入漏洞,攻击者可利用此漏洞获取数据库等敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-36688

3、网御Web应用安全防护系统存在分块传输绕过漏洞

北京网御星云信息技术有限公司是由联想网御科技(北京)有限公司更名而来,其前身为联想集团信息安全事业部。网御Web应用安全防护系统存在分块传输绕过漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-36679

4、苏州恩斯特网络科技有限公司建站系统存在SQL注入漏洞

苏州恩斯特网络科技有限公司是一家专业从事网站建设、网站优化、系统开发;专门为品牌和集团企业提供内外网解决方案的公司。苏州恩斯特网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-36684

5、禅道协同管理系统存在代码执行漏洞

青岛易软天创网络科技有限公司成立于2010年,是一家年轻的互联网软件公司。禅道协同管理系统存在代码执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-36689


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论