登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200615-20200621)

2020-06-22 15:44:55

一、境外厂商产品漏洞

1、Artica Pandora FMS注入漏洞

Artica Pandora FMS是西班牙Artica公司的一套监控系统。该系统通过可视化的方式监控网络、服务器、虚拟基础架构和应用程序等。Artica Pandora FMS 7.44版本中的Events功能存在注入漏洞。攻击者可利用该漏洞在底层操作系统上执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-32913

2、Microsoft Windows和Windows Server提权漏洞(CNVD-2020-33421)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows和Windows Server中存在提权漏洞,该漏洞源于Windows Update Stack未能正确处理内存中的对象,攻击者可通过登录系统并运行特制的应用程序利用该漏洞在内核模式中运行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33421

3、TRENDnet TEW-827DRU命令注入漏洞(CNVD-2020-33478)

TRENDnet TEW-827DRU是美国趋势网络(TRENDnet)公司的一款无线路由器。TRENDnet TEW-827DRU2.06B04及之前版本中的apply.cgi文件存在命令注入漏洞。攻击者可利用该漏洞在设备上运行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33478

4、IBM Spectrum Protect信息泄露漏洞(CNVD-2020-33085)

IBM Spectrum Protect(前称Tivoli Storage Manager)是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点,并支持对所有规模的虚拟、物理和云环境进行备份和恢复。IBM Spectrum ProtectClient和IBM Spectrum Protect for Space Management中存在安全漏洞,该漏洞源于程序未正确进行会话验证。攻击者可利用该漏洞绕过身份验证,访问未授权的资源。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33085

5、phpSQLiteCMS存在后台文件上传漏洞

phpSQLiteCMS是基于PHP和SQLite的开源Web内容管理系统。phpSQLiteCMS存在后台文件上传漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-28079

 

二、境内厂商产品漏洞

1、新建商品房网上签约备案管理系统sh***_im***.aspx页面存在SQL注入漏洞

新建商品房网上签约备案管理系统提供商品房预售许可申请、审批、商品房预定、预售、签约及网上合同备案等业务管理功能。新建商品房网上签约备案管理系统sh***_im***.aspx页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-28094

2、TOTOLINK T10路由器存在命令执行漏洞

中联通(香港)科技有限公司是网络通讯产品的制造商。TOTOLINK T10路由器存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-28089

3、Waychar报名系统aj***.php页面pa***_ne***参数存在SQL注入漏洞

Waychar报名系统是一款基于PHP/MYSQL开发的报名系统。Waychar报名系统aj***.php页面pa***_ne***参数存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-28085

4、四网合一企业网站管理系统存在SQL注入漏洞

四网合一企业网站管理系统是一款集电脑网站+手机网站+微信公众号+小程序于一体的内容管理系统。四网合一企业网站管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-28078

5、A4Tech 8-in-one software存在dll劫持漏洞

A4Tech总部位于台湾台北,是电脑领域自主品牌,并在全球市场成功建立了销售渠道。A4Tech 8-in-one software存在dll劫持漏洞。攻击者通过替换同名称的dll即可执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-32354

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论