登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200210-20200216)

2020-02-17 15:46:32

一、境外厂商产品漏洞

1、Apache Dubbo反序列化漏洞

Apache Dubbo是一种基于Java的高性能RPC框架。Apache Dubbo存在反序列化漏洞,攻击者可利用该漏洞执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-05084

2、Django SQL注入漏洞(CNVD-2020-04524)

Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。Django 1.11.28之前的1.11版本、2.2.10之前的2.2版本和3.0.3之前的3.0版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-04524

3、SIEMENS SIPROTEC 4 and SIPROTEC Compact RelayFamilies拒绝服务漏洞

SIEMENS SIPROTEC 4 and SIPROTECCompact Relay Families是提供集成保护、控制、测量和变电站和其他应用领域的自动化功能。SIEMENS SIPROTEC 4 andSIPROTEC Compact Relay Families存在拒绝服务漏洞。攻击者可利用漏洞发送EN100以太网通信模块的50000/UDP端口的数据包,导致受影响设备拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-04715

4、IBM Planning Analytics跨站请求伪造漏洞

IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。IBM Planning Analytics存在跨站请求伪造漏洞,攻击者可利用该漏洞获取网址管理员权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-04416

5、Atlassian Jira跨站请求伪造漏洞(CNVD-2020-04570)

Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。Atlassian Jira中存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-04570

 

二、境内厂商产品漏洞

1、鸿宇多用户商城系统scan_list.php页面存在SQL注入漏洞

鸿宇多用户商城系统是一款B2B2C新零售电商系统。鸿宇多用户商城系统sc***_li***.php页面存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03910

2、WellCMS v2.0后台存在文件上传漏洞

WellCMS是一款开源、倾向移动端的轻量级CMS。WellCMS v2.0后台存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03881

3、深圳市天地心网络技术有限公司建站系统存在SQL注入漏洞(CNVD-2020-03880)

天地心网络成立于2010年,是一家策略研发型企业,众多大型项目经验,超过上万家中国企业共同选择的网站平台建设者,公司主要专注于企业网站建设、百度首页自然排名,域名注册,空间租用,企业邮局,400电话,企业VI设计,电子画册制作等服务。深圳市天地心网络技术有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03880

4、央视影音PC版存在dll劫持漏洞

央视影音PC版是一款网络电视直播软件。央视影音PC版存在dll劫持漏洞,攻击者可利用该漏洞加载dll文件,执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03921

5、小智双核浏览器存在dll劫持漏洞

小智双核浏览器,是一款内置Chromium和IE内核的安全双核浏览器。小智双核浏览器存在dll劫持漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-03886

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论