登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200713-20200719)

2020-07-20 16:01:03

一、境外厂商产品漏洞

1、Siemens SICAM MMU、SGU和T缓冲区溢出漏洞

SICAM T是一种数字测量传感器,允许在单个单元中测量非电气网络中的电量。ICAM-MMU(Measurement andMonitoring Unit) 是一种功率监测装置,它允许在一个单元中测量电网中的电量。SICAM SGU(已停产)是一种智能电网远程终端设备,具有电力公司和公用事业公司的通信能力。Siemens SICAM MMU、SGU和T存在安全漏洞。攻击者可利用漏洞在网络上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-40617

2、Oracle WebLogic Server远程代码执行漏洞(CNVD-2020-38878)

WebLogic是美国Oracle公司出品的一个application server,是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。Oracle WebLogic Server存在远程代码执行漏洞。攻击者可利用漏洞实现远程代码执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-38878

3、SAP NetWeaver AS Java命令执行漏洞

SAP Netweaver是德国思爱普(SAP)公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。SAP NetWeaver ApplicationServer(AS)Java是一款运行于NetWeaver中且基于Java编程语言的应用服务器。SAP NetWeaver AS Java(LM配置向导)7.30至7.50版本存在安全漏洞。未经身份验证的远程攻击者可以通过创建具有最大特权的新SAP用户,绕过所有访问和授权控制,从而完全控制SAP系统。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-38866

4、Rockwell Automation FactoryTalk View SE权限许可和访问控制问题漏洞

Rockwell Automation FactoryTalk ViewSE是美国罗克韦尔(Rockwell Automation)公司的一款工业自动化系统视图界面。Rockwell AutomationFactoryTalk View SE中存在权限许可证和访问控制问题漏洞。远程攻击者可利用该漏洞在远程端点上进行数据交互。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-38689

5、Microsoft Windows Server DNS Server远程代码执行漏洞

Microsoft Windows Server是美国微软(Microsoft)公司的一套服务器操作系统。Windows DNS Server是其中的一个DNS(域名系统)服务器。Microsoft Windows ServerDNS Server存在远程代码执行漏洞。攻击者可利用漏洞在本地系统帐户的上下文中运行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-40487

 

二、境内厂商产品漏洞

1、首岳资讯网路股份有限公司建站系统存在SQL注入漏洞(CNVD-2020-40773)

首岳资讯网路股份有限公司是一家结合咨询网络、行销通路、系統软件的公司。首岳资讯网路股份有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-40773

2、芜湖易讯信息技术有限公司建站系统存在SQL注入漏洞

芜湖易讯信息技术有限公司是一家互联网应用服务解决方案提供商。芜湖易讯信息技术有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33063

3、MKCMS存在SQL注入漏洞(CNVD-2020-33187)

MKCMS是一款影视管理系统,支持自主修改,用户可以直接上传服务器生成网站平台,可以添加后台修改项目等。MKCMS存在SQL注入漏洞,攻击者可以利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33187

4、PHPOK存在文件上传漏洞(CNVD-2020-38450)

PHPOK是由深圳锟铻科技有限公司(前身是PHPOK工作室)开发的一套针对网站建设的内容管理系统,采用PHP语言编写,默认使用MySQL数据库存储,基于LGPL开源协议授权发布到网上共享使用。PHPOK存在文件上传漏洞。攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-38450

5、beescms后台存在文件上传漏洞

BEESCMS是一套基于PHP和MySQL的可扩展的内容管理系统(CMS)。beescms后台存在文件上传漏洞。攻击者可利用漏洞上传恶意文件,获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33192

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论