登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200302-20200308)

2020-03-09 16:15:15

一、境外厂商产品漏洞

1、Cloud Foundry Cloud Controller未授权访问漏洞

Cloud Foundry是美国Cloud Foundry基金会的一套开源的平台即服务(PaaS)云计算平台。该产品提供容器调度、持续交付和自动化服务部署等功能。Cloud Controller是其中的一款云控制器。Cloud Foundry CloudController (CAPI) 1.91.0之前版本中存在安全漏洞。攻击者可利用该漏洞获取凭证,进而未授权访问被保护的资源。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-14815

2、Aruba Networks AirWave Management Platform代码执行漏洞

Aruba Networks AirWave ManagementPlatform是美国安移通网络(Aruba Networks)公司的一套适用于多供应商管理的网络管理软件。该软件能够提供实时监控、主动报警和历史数据报告等功能。Aruba Networks AirWaveManagement Platform 8.2.10.1之前的8.x版本中存在安全漏洞。攻击者可通过覆盖磁盘上的文件利用该漏洞执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-14807

3、Cisco MDS 9000 Series Multilayer Switches NX-OSSoftware拒绝服务漏洞

Cisco MDS 9000 Series Multilayer Switches是美国思科(Cisco)公司的一款MDS 9000系列多层交换机。Cisco NX-OS Software是一套交换机使用的数据中心级操作系统软件。Cisco MDS 9000 SeriesMultilayer Switches中的NX-OS Software的资源处理系统存在安全漏洞,该漏洞源于程序未能正确控制资源的使用。远程攻击者可通过快速向管理接口发送流量利用该漏洞造成拒绝服务(大量占用CPU、进程崩溃或重启系统)。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-14814

4、Phoenix Contact Emalytics Controller ILC 2050BI和BI-L权限分配不正确漏洞

Phoenix Contact Emalytics Controller ILC 2050 BI是德国菲尼克斯电气(Phoenix Contact)公司的一款用于建筑物、基础设施等自动化连接的模块化串联控制器。Phoenix Contact EmalyticsController ILC 2050 BI 1.2.3之前版本和BI-L 1.2.3之前版本中存在安全漏洞。攻击者可利用该漏洞获取设备配置的读写权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-15266

5、Synergy Systems & Solutions HUSKY RTU6049-E70输入验证错误漏洞

Synergy Systems & Solutions HUSKY RTU6049-E70是印度Synergy Systems & Solutions公司的一个远程终端单元(RTU)。使用5.0及之前版本固件中的Synergy Systems & Solutions HUSKY RTU6049-E70中存在输入验证错误漏洞。攻击者可借助恶意的数据包利用该漏洞造成连接中断或设备重启。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-15259

 

二、境内厂商产品漏洞

1、云优城市分站管理系统存在文件包含漏洞

云优城市分站管理系统是一款基于TP5.0框架为核心开发的一套免费+开源的城市分站内容管理系统。云优城市分站管理系统存在文件包含漏洞,攻击者可以利用漏洞包含恶意文件执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10198

2、汕头市三互科技有限公司建站系统存在SQL注入漏洞

汕头市三互科技是一家专注为企业设计制作并提供个性化电子商务解决方案。汕头市三互科技有限公司建站系统存在SQL注入漏洞,攻击者可以利用漏洞获取数据库信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10218

3、WPS Office存在dll劫持漏洞

WPS Office是金山办公软件出品的office软件,可以实现办公软件常用的文字、表格、演示等多种功能。WPS Office存在dll劫持漏洞,攻击者可以利用漏洞加载恶意dll,执行恶意代码。。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10216

4、北京天地华大网络技术有限公司建站系统存在文件上传漏洞

北京天地华大网络技术有限公司致力于为企业提供全面、周到、专业的互联网解决方案,提供网站建设、网络营销、域名注册、虚拟主机、企业邮局、网站视频主播以及微信云营销等多种产品和服务。北京天地华大网络技术有限公司建站系统存在文件上传漏洞,攻击者可以利用漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10232

5、华科企业网站管理系统存在文件包含漏洞

华科企业网站管理系统是一套基于ASP智能建站软件,是一套服务于中小企业的CMS内容管理系统。华科企业网站管理系统存在文件包含漏洞,攻击者可以利用漏洞执行木马文件获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10222


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论