登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20191118-20191124)

2019-11-25 15:43:00

一、境外厂商产品漏洞

1、WordPress plugmatter-optin-feature-box-lite插件SQL注入漏洞(CNVD-2019-41888)

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。plugmatter-optin-feature-box-lite是使用在其中的一个功能列表插件。WordPressplugmatter-optin-feature-box-lite插件存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41888

2、Apache Flink远程代码执行漏洞

Apache Flink是由Apache软件基金会开发的开源流处理框架。Apache Flink存在远程代码执行漏洞,攻击者可通过RESTful API上传恶意Jar包利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-42027

3、Fortinet FortiClient权限提升漏洞(CNVD-2019-41688)

Fortinet FortiClient是美国飞塔(Fortinet)公司的一套移动终端安全解决方案。该方案与FortiGate防火墙设备连接时可提供IPsec和SSL加密、广域网优化、终端合规和双因子认证等功能。基于Linux平台的Fortinet FortiClient 6.2.1及之前版本中存在安全漏洞。攻击者可借助IPC套接字利用该漏洞提升权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41688

4、WordPress nex-forms-express-wp-form-builde插件SQL注入漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。nex-forms-express-wp-form-builder是使用在其中的一个表单构建插件。WordPressnex-forms-express-wp-form-builde插件存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41889

5、JetBrains TeamCity操作系统命令注入漏洞

TeamCity是捷克JetBrains公司的一套分布式构建管理和持续集成工具。该工具提供持续单元测试、代码质量分析和构建问题分析报告等功能。JetBrains TeamCity存在操作系统命令注入漏洞。攻击者可利用该漏洞执行非法操作系统命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41877

 

二、境内厂商产品漏洞

1、自贡天启网络系统有限公司建站系统存在SQL注入漏洞

自贡天启网络系统有限公司成立于1999年,公司致力于网络建设。自贡天启网络系统有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40994

2、泛微oa e-cology8 ad***组件存在文件上传漏洞

泛微协同管理应用平台(e-cology)是一套协同商务平台。泛微oa e-cology8 ad***组件存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40987

3、易企CMS co***.php页面存在命令执行漏洞

易企CMS是国内首款基于SEO友好性开发的营销型企业建站系统。易企CMS co***.php页面存在命令执行漏洞,攻击者可利用该漏洞执行命令,获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41016

4、HKCMS存在文件上传漏洞

HkCMS一直致力于为企业建站提供免费开源的内容管理系统,HkCMS具备优秀的扩展及二次开发能力,可适应于企业轻量型的系统开发及部署。HKCMS存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-40105

5、开单大师 Ke***.cl***.php页面存在文件上传漏洞

开单大师是全国首家提供房产管理系统和房屋管理系统源代码的服务商,系统拥有功能完善的房源客源管理。开单大师 Ke***.cl***.php页面存在文件上传漏洞,攻击者可利用该漏洞获得服务器的控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41004

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论