登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200113-20200119)

2020-01-20 14:04:58

一、境外厂商产品漏洞

1、Google Android Framework权限提升漏洞(CNVD-2020-01293)

Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。Framework是其中的一个Android框架组件。Android 8.0版本中的Framework存在权限提升漏洞,攻击者可利用该漏洞提升权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-01293

2、Advanced System Repair Pro Insecure File不安全文件权限漏洞

Advanced System Repair Pro是一款高级系统修复软件,为用户提供系统问题修复、清理垃圾、磁盘整理、隐私保护、注册表清理、电脑优化等功能。Advanced System Repair ProInsecure File存在不安全文件权限漏洞,攻击者可以利用这个漏洞在受影响的系统上下文中获得更高的特权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-02582

3、Micro Focus AcuToWeb信息泄露漏洞

Micro Focus AcuToWeb是英国Micro Focus公司的一套ACUCOBOL应用程序的Web和移动部署解决方案。Micro Focus AcuToWeb(全部支持的版本)中存在信息泄露漏洞。攻击者可利用该漏洞枚举文件系统(AcuToWeb的系统)的文件或下载这些文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-02547

4、GitLab路径遍历漏洞(CNVD-2020-01911)

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。Gitlab(企业版)11.3版本至12.4.2版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-01911

5、Microsoft Windows CryptoAPI欺骗漏洞

Microsoft Windows是美国微软公司发布的视窗操作系统。Microsoft CryptoAPI 是微软提供给开发人员的 Windows 安全服务应用程序接口,可用于加密的应用程序,实现数据加密、解密、签名及验证等功能。Microsoft WindowsCryptoAPI存在欺骗漏洞。该漏洞位于Windows CryptoAPI(Crypt32.dll)验证椭圆曲线加密算法证书的方式,可能影响信任的一些实例包括(不限于):HTTPS连接、文件签名和电子邮件签名、以用户模式启动的签名可执行程序。攻击者可以利用该漏洞伪造代码签名证书对恶意可执行文件进行签名,从而使该文件看似来自受信任的合法来源。还可能滥用crypt32.dll中的漏洞来欺骗与特定软件相关的数字签名。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-02446

 

二、境内厂商产品漏洞

1、名炬企业管理(上海)有限公司建站系统存在SQL注入漏洞

名炬企业管理(上海)有限公司是一家为企业信息化建设提供互联网应用服务的技术型公司。名炬企业管理(上海)有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-01335

2、金融说-云直播软件存在SQL注入漏洞

金融说云直播软件是针对金融行业定向开发的在线直播聊天软件系统。金融说-云直播软件存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-01336

3、TVT NVMS-1000目录遍历漏洞

TVT数码科技 TVT NVMS-1000是中国TVT数码科技公司的一套网络监控视频管理系统。TVT数码科技 TVT NVMS-1000中存在目录遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-02545

4、D盾存在webshell绕过漏洞(CNVD-2020-01325)

D盾是专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵。D盾存在webshell绕过漏洞,攻击者可利用该漏洞获取目标服务器管控权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-01325

5、D-Link DIR-601跨站请求伪造漏洞

D-Link DIR-601 B1是中国台湾友讯(D-Link)公司的一款无线路由器。D-Link DIR-601 B1 2.00NA版本中存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-02550

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论