登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200803-20200809)

2020-08-10 09:13:25

一、境外厂商产品漏洞

1、Apache Airflow远程代码执行漏洞(CNVD-2020-44094)

Apache Airflow是美国阿帕奇(Apache)软件基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Airflow 1.10.10及之前版本中存在安全漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未能正确过滤其中的特殊元素。攻击者可利用该漏洞借助恶意的payload执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-44094

2、Pulse Secure Pulse Connect Secure授权问题漏洞

Pulse Secure Pulse Connect Secure(又名PCS,前称Juniper Junos Pulse)是美国Pulse Secure公司的一套SSL VPN解决方案。Pulse Secure PCS 9.1RB之前版本中存在安全漏洞。攻击者可利用该漏洞绕过Google TOTP。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-44279

3、NETGEAR R6700缓冲区溢出漏洞(CNVD-2020-45110)

NETGEAR R6700是美国网件(NETGEAR)公司的一款无线路由器。NETGEAR R6700V1.0.4.84_10.0.58版本中的UPnP服务存在缓冲区溢出漏洞,该漏洞源于在将用户提交的数据复制到基于栈的固定缓冲区之前,程序未能正确验证该数据的长度。攻击者可利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-45110

4、IBM UrbanCode Deploy代码问题漏洞

IBM UrbanCode Deploy(UCD)是美国IBM公司的一套应用自动化部署工具。该工具基于一个应用部署自动化管理信息模型,并通过远程代理技术,实现对复杂应用在不同环境下的自动化部署等。IBM UCD中存在代码问题漏洞。远程攻击者可利用该漏洞获取敏感信息或消耗内存资源。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-45104

5、Zoho ManageEngine Desktop Central整数溢出漏洞

Zoho ManageEngine Desktop Central是集成的桌面和移动设备管理软件,可帮助从中央位置管理服务器、笔记本电脑、台式机、智能手机及平板电脑。Zoho ManageEngine DesktopCentral 10.0.533之前版本的客户端存在整数溢出漏洞。攻击者可通过其控制的服务器通过特制header值利用该漏洞导致整数溢出。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-44285

 

二、境内厂商产品漏洞

1、上海覆盆子信息科技有限公司认证机构信息管理系统存在SQL注入漏洞(CNVD-2020-41229)

认证机构信息管理系统是一套专门针对认证机构定制开发的业务管理系统。上海覆盆子信息科技有限公司认证机构信息管理系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41229

2、EyouCms存在代码执行漏洞(CNVD-2020-44392)

EyouCms是基于TP5.0框架为核心开发的免费+开源的企业内容管理系统。EyouCms存在代码执行漏洞,攻击者可利用该漏洞获取服务器管理权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-44392

3、保定互动营销策划有限公司网站建设系统p**.php页面存在SQL注入漏洞

保定互动营销策划有限公司专注于河北地区的电子商务服务,为中小企业提供网站建设,网上商城建设,域名注册,手机APP,商随行等多项服务。保定互动营销策划有限公司网站建设系统p**.php页面存在SQL注入漏洞,攻击者可以利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-44399

4、组态王(KingView)存在缓冲区溢出漏洞

组态王(KingView)是北京亚控科技发展有限公司生产的一款工业自动化组态软件。组态王(KingView)存在缓冲区溢出漏洞。攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41306

5、极致cms存在SQL注入漏洞(CNVD-2020-43486)

极致cms是一款开源免费的PHPCMS网站内容管理系统。极致cms存在SQL注入漏洞,攻击者可利用该漏洞获取数据库信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-43486

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论