登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200727-20200802)

2020-08-03 15:29:22

一、境外厂商产品漏洞

1、多款Apple产品Audio组件代码注入漏洞

Apple iOS等都是美国苹果(Apple)公司的产品。Apple iOS是一套为移动设备所开发的操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。Apple macOS Catalina是一套专为Mac计算机所开发的专用操作系统。Audio是其中的一个音频组件。多款Apple产品中的Audio组件存在安全漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未能正确过滤其中的特殊元素。攻击者可借助恶意制作的音频文件利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-43673

2、Adobe Acrobat和Reader存在逻辑缺陷漏洞

Adobe Acrobat和Reader都是美国奥多比(Adobe)公司的产品。Adobe Acrobat是一套PDF文件编辑和转换工具。Reader是一套PDF文档阅读软件。Adobe Acrobat和Reader存在逻辑缺陷漏洞。攻击者可利用漏洞绕过安全功能,执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41875

3、Cisco SD-WAN vManage Software授权问题漏洞

Cisco SD-WAN vManage Software是美国思科(Cisco)公司的一款用于SD-WAN(软件定义广域网络)解决方案的管理软件。Cisco SD-WAN vManageSoftware中的CLI存在授权问题漏洞,该漏洞源于输入验证不足。本地攻击者可借助特制输入利用该漏洞以root权限执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-42259

4、Mida Solutions eFramework操作系统命令注入漏洞(CNVD-2020-42664)

Mida Solutions eFramework是意大利Mida Solutions公司的一套统一通信和协作服务套件。Mida Solutions eFramework2.9.0及之前版本中存在操作系统命令注入漏洞。远程攻击者可利用该漏洞以root权限执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-42664

5、Microsoft Windows Update Stack权限提升漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows UpdateStack存在权限提升漏洞,该漏洞源于Windows Update Stack未能正确处理内存中的对象,攻击者可通过运行特制应用程序利用该漏洞在内核模式下运行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-43099

 

二、境内厂商产品漏洞

1、赤峰易拓网络有限公司建站系统存在SQL注入漏洞(CNVD-2020-41776)

赤峰易拓网络有限公司主要从事网站建设,网站推广,网站策划,软件开发,网络推广,网络整合营销等业务。赤峰易拓网络有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41776

2、东莞市智跃软件科技有限公司人力资源管理系统存在SQL注入漏洞

东莞市智跃软件科技有限公司是专注于EHR+ERP+OA三系统合一的企业信息化平台,是一家集研发、生产、销售与服务为一体的供应商。东莞市智跃软件科技有限公司人力资源管理系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41320

3、迅睿CMS Ap***.php文件存在文件上传漏洞

迅睿CMS免费开源系统是基于PHP7语言采用最新CodeIgniter4作为开发框架生产的网站内容管理框架。迅睿CMS Ap***.php文件存在文件上传漏洞。攻击者可利用漏洞上传webshell,获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41324

4、临沂新报网络科技有限公司建站系统存在SQL注入漏洞

临沂新报网络科技有限公司是一家提供网站建设、软件开发及服务、电子商务、网站运营、网络营销推广;网络技术培训咨询及信息服务;企业形象营销策划、广告设计。临沂新报网络科技有限公司建站系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41321

5、佛山市顺的网络工程有限公司建站系统存在SQL注入漏洞

佛山市顺的网络工程有限公司,创建于2007年3月29日,是一家专注为中小微企业提供互联网服务的创新型企业。佛山市顺的网络工程有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-38978

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论