登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200622-20200628)

2020-06-29 12:20:51

一、境外厂商产品漏洞

1、Apache Dubbo Provider远程代码执行漏洞

Apache Dubbo是一种基于Java的高性能RPC框架。Apache Dubbo Provider存在远程代码执行漏洞。攻击者可以发送未经验证的服务名或方法名的RPC请求,同时配合附加恶意的参数负载。当恶意参数被反序列化时,将执行恶意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-34468

2、Mitsubishi Electric MC Works64代码问题漏洞

Mitsubishi Electric MC Works64是日本三菱电机(Mitsubishi Electric)公司的一套数据采集与监控系统(SCADA)。Mitsubishi Electric MCWorks64 4.02C (10.95.208.31)及之前版本中存在代码问题漏洞,远程攻击者可通过发送特制通信包利用该漏洞执行代码和造成拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-34369

3、Microsoft Windows Win32k提权漏洞(CNVD-2020-33800)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。win32k是其中的一个Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后台控制窗口和屏幕输出管理等。Microsoft Windows和Windows Server中存在提权漏洞,该漏洞源于内核模式驱动程序未能正确处理内存中的对象,攻击者可借助特制应用程序利用该漏洞运行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33800

4、多款Apple产品Audio组件缓冲区溢出漏洞(CNVD-2020-34930)

Apple iOS等都是美国苹果(Apple)公司的产品。Apple iOS是一套为移动设备所开发的操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。Apple macOS Catalina是一套专为Mac计算机所开发的专用操作系统。Audio是其中的一个音频组件。多款Apple产品中的Audio组件存在缓冲区溢出漏洞。攻击者可借助恶意的音频文件利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-34930

5、Cisco Webex Meetings Desktop App信任管理问题漏洞

Cisco Webex Meetings Desktop App是美国思科(Cisco)公司的一款使用在桌面环境上的视频会议控制应用程序。Cisco Webex MeetingsDesktop App 39.5.11之前版本(Mac)中的软件更新功能存在信任管理问题漏洞,该漏洞源于程序未能正确验证下载文件的加密保护。远程攻击者可借助特制网站利用该漏洞在系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-34285

 

二、境内厂商产品漏洞

1、KKCMS存在SQL注入漏洞(CNVD-2020-30168)

KKCMS是一套开源的视频采集播放系统。KKCMS存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30168

2、Haiwell(海为)云组态软件Cloud SCADA存在代码执行漏洞

Haiwell(海为)云组态软件Cloud SCADA是厦门海为科技有限公司研发的基于.NET Framework的工业自动化监控管理平台软件。Haiwell(海为)云组态软件Cloud SCADA存在代码执行漏洞,攻击者可利用该漏洞在远程服务器上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30190

3、weiphp后台存在文件上传漏洞

WeiPHP是一款方便快捷,扩展性强的开源微信公众号平台开发框架,利用它您可以轻松搭建一个属于自己的微信公众号平台。weiphp后台存在文件上传漏洞,攻击者可以利用漏洞上传恶意文件,获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30195

4、江西华邦传媒有限公司建站系统存在SQL注入漏洞(CNVD-2020-30186)

江西华邦传媒有限公司致力于帮助企业建设信息化平台、实现网络营销。江西华邦传媒有限公司建站系统存在SQL注入漏洞,攻击者可以利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30186

5、哈尔滨新中新电⼦股份有限公司支付平台存在SQL注入漏洞

哈尔滨新中新电子股份有限公司是支付平台解决方案供应商。哈尔滨新中新电⼦股份有限公司支付平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30197

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论