登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20191111-20191117)

2019-11-18 10:49:39

一、境外厂商产品漏洞

1、Apache Flink任意Jar包上传导致远程代码执行漏洞

Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。此外,Flink的运行时本身也支持迭代算法的执行。Apache Flink任意Jar包上传导致远程代码执行漏洞。攻击者可利用该漏洞在Apache Flink Dashboard页面中上传任意Jar包,利用Metasploit在Apache Flink服务器中执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40563

2、Cisco TelePresence CE Software、TC Software和RoomOS Software权限提升漏洞

Cisco RoomOS Software是美国思科(Cisco)公司的一套用于Cisco设备的自动管理软件。Cisco TelePresence是网真解决方案。Cisco TelePresence CESoftware是一个被称为网真系统的视频会议解决方案中的终端应用程序。Cisco TelePresence CESoftware 9.8.1之前版本、TC Software 7.3.19之前版本和Cisco RoomOS Software中的CLI存在权限提升漏洞,远程攻击者可利用该漏洞获取不受限的用户访问权限来访问受限的shell。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-39770

3、Siemens SIMATIC S7-1200 CPU访问漏洞

Siemens SIMATIC S7-1200 CPU family产品专为工业环境(如制造业、食品饮料业和化学工业)中的离散和连续控制而设计。Siemens SIMATIC S7-1200CPU存在安全漏洞。攻击者可以通过物理访问UART接口来利用该安全漏洞引导进程。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40513

4、Linux kernel输入验证错误漏洞(CNVD-2019-40470)

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Linux kernel 5.0.11之前版本中的net/ipv4/sysctl_net_ipv4.c文件存在输入验证错误漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证,攻击者可利用该漏洞对系统进行非法操作。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40470

5、NVIDIA Windows GPU Display Driver空指针解引用漏洞

NVIDIA Windows GPU Display Driver是美国英伟达(NVIDIA)公司的一款专用于Windows平台的图形处理器(GPU)显卡驱动程序。NVIDIA Windows GPU DisplayDriver中的DxgkDdiEscape的内核模式层(nvlddmkm.sys)处理程序存在空指针解引用漏洞。攻击者可利用该漏洞导致拒绝服务或实现权限提升。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40477

 

二、境内厂商产品漏洞

1、北京泰克贝思科技股份有限公司多媒体管理平台存在文件上传漏洞

北京泰克贝思科技股份有限公司是数字产品B2B电子商务平台,开创信息服务模式。北京泰克贝思科技股份有限公司多媒体管理平台存在文件上传漏洞。允许攻击者上传webshell,获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40111

2、YXCMS后台存在多个漏洞

YXCMS是一款基于PHP和mysql技术的企业建站系统。YXCMS后台存在盘符目录遍历、盘符任意文件删除、代码执行、任意文件上传漏洞,攻击者可利用漏洞获取敏感信息,任意删除盘符内文件,还可获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40108

3、七只小熊文库系统ne***.cl***.php文件存在SQL注入漏洞

七只小熊文库系统一个类似百度文库的在线文档预览、售卖系统。七只小熊文库系统ne***.cl***.php文件存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40605

4、成都火狐狸科技有限公司建站系统ab***.asp页面存在SQL注入漏洞

成都火狐狸科技有限公司是一家集研究、推广、发展网络新技术领域,主要致力于企业信息化服务的网络公司。成都火狐狸科技有限公司建站系统ab***.asp页面存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40551

5、狂雨小说cms后台存在代码执行漏洞

狂雨小说内容管理系统提供一个轻量级小说网站解决方案,基于ThinkPHP5.1+MySQL的技术开发。狂雨小说cms后台存在代码执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40957

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论