登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200525-20200531)

2020-06-01 12:06:48

一、境外厂商产品漏洞

1、多款ESET产品ESET AVparsing engine输入验证错误漏洞

ESET Smart Security Premium等都是斯洛伐克ESET公司的产品。Smart Security Premium是一套杀毒软件。Internet Security是一套针对互联网安全的杀毒软件。NOD32 Antivirus是一套杀毒软件。ESET AV parsing engine是其中的一个解析引擎。多款ESET产品中的ESET AV parsing engine存在安全漏洞。攻击者可借助归档文件中的BZ2 Checksum字段利用该漏洞绕过病毒检查。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-29736

2、Joomla! com_hdwplayer 'search.php' SQL注入漏洞

Joomla!是一套开源的内容管理系统(CMS)。Joomla! com_hdwplayer'search.php'存在SQL漏洞。攻击者可利用漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-29731

3、Weblogic WlsSSLAdapter存在远程代码执行漏洞

Oracle WebLogic Server 是一个Java应用服务器,它全面实现了J2EE 1.5规范、最新的Web服务标准和最高级的互操作标准。Weblogic WlsSSLAdapter存在远程代码执行漏洞,攻击者可以利用漏洞发送精心构造的Payload进行代码执行效。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-26375

4、WordPress Chop Slider SQL注入漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Chop Slider是使用在其中的一个jQuery滑块插件。WordPress Chop Slider 3版本中的get_script/index.php文件的‘id’ GET参数存在SQL注入漏洞。攻击者可利用该漏洞在WP数据库中执行任意SQL查询。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-29842

5、QEMU缓冲区溢出漏洞(CNVD-2020-30436)

QEMU(Quick Emulator)是法国法布里斯-贝拉(Fabrice Bellard)软件开发者的一套模拟处理器软件。该软件具有速度快、跨平台等特点。QEMU中存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30436

 

二、境内厂商产品漏洞

1、北京奇虎科技有限公司360安全卫士网站存在dll劫持漏洞

360安全卫士是一款由奇虎360公司推出的安全杀毒软件。北京奇虎科技有限公司360安全卫士网站存在dll劫持漏洞,攻击者可利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-23520

2、北京百卓网络技术有限公司PatrolFlow存在SQL注入漏洞

PatrolFlow是北京百卓网络技术有限公司多业务安全网关智能管理平台。北京百卓网络技术有限公司PatrolFlow存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-28786

3、QQ浏览器安装存在dll劫持漏洞

QQ浏览器是腾讯公司开发的一款极速浏览器,支持电脑,安卓,苹果等多种终端。QQ浏览器安装存在dll劫持漏洞,攻击者可以利用漏洞加载不可信的动态链接库进行命令执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-26361

4、极致CMS存在SQL注入漏洞

极致CMS是由廊坊市极致网络科技有限公司开发的一款开源的php+mysql的cms。极致CMS存在SQL注入漏洞,攻击者可以利用漏洞获得数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-26372

5、上海丹帆网络科技有限公司建站系统存在SQL注入漏洞(CNVD-2020-26367)

华夏化工网建站系统是由上海丹帆网络科技有限公司创办的,是为化工行业提供安全、高效、多功能、系统配套的B2B电子商务平台的专业网站。上海丹帆网络科技有限公司建站系统存在SQL注入漏洞。攻击者利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-26367

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论