登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200203-20200209)

2020-02-10 15:39:42

一、境外厂商产品漏洞

1、Facebook WhatsApp跨站脚本漏洞

Facebook WhatsApp是美国Facebook公司的一套利用网络传送短信的移动应用程序。该应用程序通过智能手机中的联络人信息,查找使用该软件的联络人传送文字、图片等。Facebook WhatsApp(桌面版)0.3.9309之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03250

2、Intellian Satellian Aptus Web控制台远程代码执行漏洞

Intellian Satellian Aptus Web是一个控制台系统。Intellian Satellian AptusWeb控制台存在远程代码执行漏洞。攻击者利用JSON数据中的Q字段对/cgi-bin/libagent.cgi发送恶意构造请求,可以在目标系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-04074

3、Microsoft .NET Framework远程代码执行漏洞(CNVD-2020-03547)

Microsoft .NET Framework是美国微软(Microsoft)公司的一种全面且一致的编程模型,也是一个用于构建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的应用程序的开发平台。该平台包括C#和Visual Basic编程语言、公共语言运行库和广泛的类库。Microsoft .NET Framework中存在远程代码执行漏洞,该漏洞源于程序未能正确验证输入,攻击者可通过提交输入利用该漏洞控制受影响的系统。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03547

4、Pivotal Software Spring Framework跨站脚本漏洞

Pivotal Software Spring Framework是美国Pivotal Software公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。Pivotal Software SpringFramework 5.2.3之前的5.2.x版本、5.1.13之前的5.1.x版本和5.0.16之前的5.0.x版本中存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证,攻击者可利用该漏洞执行客户端代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03855

5、Cisco Hosted Collaboration MediationFulfillment跨站请求伪造漏洞(CNVD-2020-03756)

Cisco Hosted Collaboration MediationFulfillment (HCM-F)是Cisco托管式协作解决方案(HCS)的一部分,是一个核心管理组件。Cisco Hosted CollaborationMediation Fulfillment 12.5(1)之前版本的基于Web的界面存在跨站请求伪造漏洞。该漏洞源于针对CSRF的保护不足。远程未认证攻击者可通过诱使目标用户点击恶意链接利用该漏洞发送任意请求,从而可更改目标用户的密码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03756

 

二、境内厂商产品漏洞

1、D盾_防火墙存在webshell绕过漏洞

D盾_防火墙是一款专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵。D盾_防火墙存在webshell绕过漏洞,攻击者可利用该漏洞获取目标服务器管控权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-02221

2、Huawei GaussDB 200命令注入漏洞

Huawei GaussDB 200是中国华为(Huawei)公司的一套基于开源数据库Postgres-XC开发的分布式并行关系型数据库系统。Huawei GaussDB 200 6.5.1版本中存在命令注入漏洞,该漏洞源于程序未能充分地进行输入校验,远程攻击者可通过向受影响设备发送特制的命令利用该漏洞执行命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03937

3、D-Link DGS-1510命令注入漏洞

D-Link DGS-1510是中国台湾友讯(D-Link)公司的一款DGS-1510系列交换机。使用1.20.011版本、1.30.007版本和1.31.B003及之前版本固件的D-Link DGS-1510中存在安全漏洞。远程攻击者可利用该漏洞注入恶意的脚本并执行命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03557

4、TP-Link Archer VR300跨站脚本漏洞

TP-Link Archer VR300是是中国普联(TP-Link)公司的一款调制解调器路由器。TP-Link Archer VR300存在跨站脚本漏洞,攻击者可利用该漏洞获取Cookie或重定向到恶意网站。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03765

5、ZTE ZXHN H108N信息泄露漏洞

ZTE ZXHN H108N是中国中兴通讯(ZTE)公司的一款调制解调器。ZTE ZXHN H108NV2.5.0_EG1T5_TED版本中存在信息泄露漏洞。攻击者可利用该漏洞获取敏感信息并执行未授权的操作。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-04297

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论