登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200511-20200517)

2020-05-18 16:37:21

一、境外厂商产品漏洞

1、Mysql jdbc 驱动存在XML实体注入漏洞

MySQL AB是由MySQL创始人和主要开发人创办的公司。Mysql jdbc 驱动存在XML实体注入漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-27158

2、JetBrains IntelliJ IDEA许可证服务器解析漏洞

JetBrains IntelliJ IDEA是捷克JetBrains公司的一套适用于Java语言的集成开发环境。JetBrains IntelliJ IDEA2020.1之前版本中存在安全漏洞。攻击者可利用该漏洞将授权服务器解析到不可信的主机上。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-27765

3、libEMF缓冲区溢出漏洞

libEMF是一款用于生成增强型图元文件的库。libEMF 1.0.11及之前版本中存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-28252

4、Motrix Linux版本存在命令执行漏洞

Motrix是一款全能的下载工具,支持下载 HTTP、FTP、BT、磁力链、百度网盘等资源。Motrix Linux版本存在命令执行漏洞,攻击者可以利用此漏洞上传文件到系统指定位置,使安装此软件系统进行反弹shell等操作。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-27937

5、Zoho ManageEngine DataSecurity Plus授权问题漏洞

Zoho ManageEngine DataSecurity Plus是美国卓豪(Zoho)公司的一套敏感数据管理解决方案。该产品具有数据防泄漏、数据风险评估和文件服务器审核等功能。Zoho ManageEngineDataSecurity Plus存在授权问题漏洞,该漏洞源于程序使用默认管理员凭据与DataEngine Xnode服务器进行通信。攻击者可利用该漏洞绕过身份验证,并在admin用户上下文中执行任意操作。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-28454

 

二、境内厂商产品漏洞

1、php简易扫码付教育收费系统存在SQL注入漏洞(CNVD-2020-27166)

php简易扫码付教育收费系统是一个以Php+MySql进行开发的查询与收费软件。php简易扫码付教育收费系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-27166

2、稻草人企业站存在文件上传漏洞

稻草人企业站是一款基于PHP+Sqlite/MySQL的开源简单小巧的免费企业网站系统。稻草人企业站存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-27186

3、freeCMS v1.5存在文件上传漏洞

FreeCMS是一款开源免费CMS系统。FreeCMS v1.5存在文件上传漏洞,攻击者可利用该漏洞上传任意文件获取系统shell。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-24738

4、JunAms内容管理系统存在SQL注入漏洞(CNVD-2020-24742)

JunAMS是一款以ThinkPHP为框架的开源内容管理系统。JunAMS内容管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-24742

5、梦想cms v1.4(lmxcms)后台存在文件上传漏洞

梦想cms以下简称“lmxcms”,是由“10年”(网名)开发的一套简单实用的网站管理系统(cms),完全免费开源。梦想cms v1.4(lmxcms)后台存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器管理权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-27927

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论