登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200217-20200223)

2020-02-24 14:51:48

一、境外厂商产品漏洞

1、Apache Tomcat服务器存在文件包含漏洞

Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

2、Redgate SQL Monitor SQL注入漏洞

Redgate SQL Monitor是一款供数据库管理员使用的Microsoft SQL Server监控、报警和分析工具。Redgate SQL Monitor 9.0.13- 9.2.14存在SQL注入漏洞。管理员用户可通过在UI中配置SNMP警报设置利用该漏洞进行SQL注入攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10712

3、Cisco Data Center Network Manager权限提升漏洞(CNVD-2020-10705)

Cisco Data Center Network Manager(DCNM)是Cisco的一套数据中心网络管理器,可对网络进行多协议管理,并对交换机的运行状况和性能提供故障排除功能。Cisco Data Center Network Manager11.3(1)之前版本的REST API端点存在权限提升漏洞。该漏洞源于访问控制验证不足。远程认证攻击者可通过向API发送特制请求利用该漏洞实现以管理员权限与API进行交互。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10705

4、Lenovo XClarity Administrator访问控制错误漏洞

Lenovo XClarity Administrator(LXCA)是中国联想(Lenovo)公司的一套集中式资源管理解决方案。该产品能够为服务器、存储、网络交换机等提供无代理硬件管理功能。Lenovo XClarityAdministrator (LXCA) 2.6.6之前版本中存在访问控制错误漏洞。攻击者利用该漏洞未经认证,访问一些配置文件,例如用户名,IP地址,被加密的哈希密码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-09986

5、ABB Asset Suite访问控制错误漏洞

ABB Asset Suite是瑞士ABB公司的一套主要用于发电行业的企业资产管理解决方案。ABB Asset Suite中的Web界面存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。 攻击者可利用该漏洞获取网站敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10131

 

二、境内厂商产品漏洞

1、迅捷PDF虚拟打印机存在dll劫持漏洞

迅捷PDF虚拟打印机是一款操作PDF虚拟打印机软件,可将Word、Excel、PPT、JPG、CAJ等文件的打印转换成PDF。迅捷PDF虚拟打印机存在dll劫持漏洞,攻击者可利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-04677

2、济南点创网络科技有限公司易博互联建站系统存在SQL注入漏洞

易博互联是一家济南网络公司,公司的核心业务方面包括了济南网站建设、网站制作、网页设计、网站开发等。济南点创网络科技有限公司易博互联建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-04556

3、厦门服云信息科技有限公司网站安全狗存在SQL注入漏洞

安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器安全防护工具。厦门服云信息科技有限公司网站安全狗存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10470

4、深圳市锟铻科技有限公司PHPOK 5.4.081存在命令执行漏洞

PHPOK企业站系统采用PHP+MYSQL语言开发,是一套成熟完善的企业站CMS系统。深圳市锟铻科技有限公司PHPOK 5.4.081存在命令执行漏洞,攻击者可利用该漏洞执行恶意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10476

5、湖南壹拾捌号网络技术有限公司来客电商管理系统存在SQL注入漏洞

来客推电商系统注重界面美感与用户体验,打造独特电商系统生态圈。湖南壹拾捌号网络技术有限公司来客电商管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10471

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论