登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20191209-20191215)

2019-12-16 13:35:14

一、境外厂商产品漏洞

1、phpMyAdmin SQL注入漏洞(CNVD-2019-45016)

phpMyAdmin是phpMyAdmin团队的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。phpMyAdmin 4.9.2之前版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-45016

2、Symantec Industrial Control System Protection未经授权访问漏洞

Symantec Industrial Control SystemProtection (ICSP)该产品为工业控制系统和关键基础设施提供多维安全性。Symantec IndustrialControl System Protection (ICSP) 6.x.x版本中存在安全漏洞。攻击者可利用该漏洞无需相应的权限便可创建或修改应用程序用户账户。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-45147

3、Linux kernel缓冲区溢出漏洞(CNVD-2019-44743)

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Linux kernel 5.0.21版本中的fs/f2fs/segment.c文件的‘f2fs_build_segment_manager’函数存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-44743

4、ABB Relion 670系列路径遍历漏洞

ABB Relion 670 Series是瑞士ABB公司的一款输电保护控制设备。ABB Relion 670系列存在路径遍历漏洞,攻击者可利用该漏洞读取和删除设备上的文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-44532

5、Red Hat redhat-upgrade-tool数据伪造问题漏洞

Red Hat redhat-upgrade-tool是美国红帽(Red Hat)公司的一款系统升级工具。Red Hatredhat-upgrade-tool中存在数据伪造问题漏洞,攻击者可利用伪造的数据进行攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-44552

 

二、境内厂商产品漏洞

1、企业第一网企业建站系统ma***.asp页面pi***参数存在SQL注入漏洞

企业第一网建站系统是由企业第一网提供的免费建站系统。企业第一网企业建站系统ma***.asp页面pi***参数存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43421

2、D盾存在webshell绕过漏洞(CNVD-2019-43635)

D盾是专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵。D盾存在webshell绕过漏洞,攻击者可利用该漏洞获取目标服务器管控权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43635

3、青岛商至信网络建站系统存在SQL注入漏洞

青岛商至信网络科技有限公司,成立于2001年3月,最初是一家专业从事电子商务、网络营销、软件开发、IDC及相关网络增值服务的高科技专业化公司。青岛商至信网络建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43639

4、蓝色航线博客系统存在文件上传漏洞

深圳市蓝色航线科技有限公司,提供云计算产品、云计算解决方案、企业云应用软件等,致力于为客户提供专业的云服务。蓝色航线博客系统存在文件上传漏洞,攻击者可利用该漏洞任意上传php文件获取webshell。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43638

5、TPshop开源商城系统存在SQL注入漏洞

TPshop开源商城系统是深圳搜豹网络有限公司开发的一套多商家模式的商城系统。适合企业及个人快速构建个性化网上商城。系统PC+后台是基于ThinkPHP MVC构架开发的跨平台开源软件,设计得非常灵活,具有模块化架构体系和丰富的功能。TPshop开源商城系统存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43641

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论