登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20191230-20200105)

2020-01-06 15:32:24

一、境外厂商产品漏洞

1、Apache ActiveMQ Log4j远程代码执行漏洞

Apache ActiveMQ是Apache软件基金会下的一个开源消息驱动中间件软件。Apache ActiveMQ Log4j存在远程代码执行漏洞,攻击者可利用该漏洞执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-47363

2、Cisco Data Center Network Manager认证绕过漏洞

Cisco Data Center Network Manager(DCNM)是Cisco的一套数据中心网络管理器,可对网络进行多协议管理,并对交换机的运行状况和性能提供故障排除功能。Cisco Data Center NetworkManager 11.3(1)之前版本的Web管理界面存在认证绕过漏洞。该漏洞源于存在静态凭据。远程未认证攻击者可通过使用静态凭据在用户界面进行认证利用该漏洞访问Web界面的特定部分并从受影响的设备获取某些机密信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-00285

3、Web Service存在sql注入漏洞

WebService是一种跨编程语言、跨操作系统平台的远程调用技术。Web Service存在sql注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-47655

4、Mellow Fish YetiShare跨站脚本漏洞(CNVD-2020-00223)

Mellow Fish YetiShare是英国Mellow Fish公司的一套基于PHP的文件托管网站系统脚本。Mellow Fish YetiShare3.5.2版本至4.5.3版本中的log_file_viewer.php文件存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-00223

5、F5 BIG-IP tmrouted内存泄露漏洞

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。tmrouted是其中的一个支持根据内核路由表更新TMM路由表的路由表管理守护程序。F5 BIG-IP中的tmrouted的Multicast Forwarding Cache(MFC)处理过程存在内存泄露漏洞,攻击者可利用该漏洞造成内存泄露,导致拒绝服务(系统资源耗尽)。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-00243

 

二、境内厂商产品漏洞

1、ZZZcms 1.7.3存在代码执行漏洞

zzzcms采用ASP+ACCESS/MSSQL免费建站整站系统,所有源码开源完整,支持直接使用。ZZZcms 1.7.3存在代码执行漏洞,攻击者可利用该漏洞注入恶意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-44107

2、网钛文章管理系统(OTCMS)存在代码执行漏洞

网钛科技致力于文章管理系统、文章新闻CMS、站长工具类的研发,网钛文章管理系统全站采用主流DIV+CSS框架布局,适用于新闻发布型网站,还适用于淘宝客网站等。网钛文章管理系统(OTCMS)存在代码执行漏洞,攻击者可利用该漏洞执行恶意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-44108

3、XYHCMS存在文件上传漏洞

行云海CMS(XYHCMS)是完全开源的一套CMS内容管理系统,简洁、易用。XYHCMS存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-44156

4、ljcmsshop us***.php文件存在SQL注入漏洞

ljcmsshop是一款自由和开放源码的商城系统。ljcmsshop us***.php页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库中的敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-47172

5、shopxo电商系统后台存在文件上传漏洞

ShopXO是一套开源的企业级开源电子商务系统。shopxo电商系统后台存在文件上传漏洞,攻击者可利用该漏洞执行任意PHP代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-47173

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论