登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200720-20200726)

2020-07-27 18:32:02

一、境外厂商产品漏洞

1、Microsoft Visual Studio Code ESLint Extention命令注入漏洞

Microsoft Visual Studio Code是美国微软(Microsoft)公司的一款开源的代码编辑器。Microsoft Visual StudioCode ESLint Extention中存在命令注入漏洞。攻击者可利用该漏洞在当前用户的上下文中运行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41742

2、Cisco SD-WAN vManage Software XML外部实体注入漏洞

Cisco SD-WAN vManage Software是美国思科(Cisco)公司的一款用于SD-WAN(软件定义广域网络)解决方案的管理软件。Cisco SD-WAN vManageSoftware 19.2.2及之前版本中的Web UI存在XML外部实体注入漏洞,该漏洞源于程序未能正确解析XML外部实体条目,远程攻击者可借助特制XML文件利用该漏洞在受影响的应用程序中读写文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41237

3、ABB IRC5信任管理问题漏洞

ABB IRC5是一款机器人控制系统。ABB IRC5存在信任管理问题漏洞 ,远程攻击者可利用该漏洞提交特殊的请求,未授权访问系统。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41210

4、Fortinet FortiAP-S、FortiAP-W2和FortiAP-U输入验证错误漏洞

Fortinet FortiAP-S等都是美国飞塔(Fortinet)公司的一款用于管理无线接入点设备的控制器。FortiAP-S、FortiAP-W2和FortiAP-U中的FortiAP CLI管理控制台存在输入验证错误漏洞。攻击者可借助CLI中特制的tcpdump命令利用该漏洞覆盖系统文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41086

5、MunkiReport SQL注入漏洞(CNVD-2020-42246)

Munkireport是一款用于Munki软件管理程序的报告工具。MunkiReport 5.6.3之前版本中的TableQuery.php文件存在SQL注入漏洞。攻击者可通过向/datatables/data发送带有order[0][dir]字段的POST请求利用该漏洞执行任意SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-42246

 

二、境内厂商产品漏洞

1、160软件管家存在dll劫持漏洞

160软件管家是一款智能软件管理工具。160软件管家存在dll劫持漏洞,攻击者可利用该漏洞加载恶意dll,执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33962

2、宿迁市展鸿网络科技有限公司建站系统ne***.asp页面存在SQL注入漏洞

宿迁市展鸿网络科技有限公司是宿迁一家提供网站建设、网页设计、网页制作、网络推广、电子样本制作专业服务公司。宿迁市展鸿网络科技有限公司建站系统ne***.asp页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33959

3、教育资源公共服务平台存在SQL注入漏洞

教育资源公共服务平台是以云计算为基础,通过信息技术与教学过程深度融合,搭建涵盖核心应用的教育云平台。教育资源公共服务平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41775

4、宿迁市展鸿网络科技有限公司建站系统存在SQL注入漏洞

宿迁市展鸿网络科技有限公司是宿迁一家提供网站建设、网页设计、网页制作、网络推广、电子样本制作专业服务公司。宿迁市展鸿网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33958

5、智能养老云平台存在SQL注入漏洞

广西金中软件有限公司是一家集软件开发、网站建设、网络工程、系统集成和维护服务、通信增值业务和ISP运营服务于一体的高科技IT企业。智能养老云平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33978

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论