登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200810-20200816)

2020-08-17 09:58:26

一、境外厂商产品漏洞

1、Microsoft Excel缓冲区溢出漏洞(CNVD-2020-45184)

Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel(365 Apps for Enterprise)中存在缓冲区溢出漏洞,该漏洞源于程序没有正确处理内存对象。攻击者可利用该漏洞在当前用户的上下文中运行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-45184

2、Apache Struts2 S2-060拒绝服务漏洞

Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。Apache Struts2存在S2-060拒绝服务漏洞。该漏洞源于在上传文件时,攻击者可以通过一个特别的请求造成访问权限的错误,从而导致上传操作失败,造成拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46201

3、OpenEMR 'controller'远程代码执行漏洞

OpenEMR是OpenEMR社区的一套开源的医疗管理系统。该系统可用于医疗实践管理、电子医疗记录、处方书写和医疗帐单申请。OpenEMR 'controller'存在远程代码执行漏洞。该漏洞源于程序未能正确地验证用户提交的数据。远程攻击者可通过发送恶意的请求利用该漏洞在底层操作系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46223

4、多款NETGEAR产品缓冲区溢出漏洞(CNVD-2020-46224)

NETGEAR R6400等都是美国网件(NETGEAR)公司的一款无线路由器。多款NETGEAR产品中的check_ra服务存在缓冲区溢出漏洞。远程攻击者可借助特制的raePolicyVersion利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46224

5、Advantech WebAccess Node存在拒绝服务漏洞

Advantech WebAccess Node是一款完全基于IE浏览器的HMI/SCADA监控软件。Advantech WebAccess Node存在堆溢出漏洞,可导致拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-45696

 

二、境内厂商产品漏洞

1、广东快乐种子科技有限公司豌豆思维家长端APP存在逻辑缺陷漏洞

豌豆思维家长端APP一款专注3-8岁少儿数学思维培养的在线教育APP。广东快乐种子科技有限公司豌豆思维家长端APP存在逻辑缺陷漏洞,攻击者可利用该漏洞任意注册用户,且登录任意账号,获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-44355

2、北京金盘图书馆精细化管理平台存在SQL注入漏洞

金盘图书馆精细化管理平台由C/S架构的管理端和C/S与B/S的用户终端组成,涵盖了阅览室管理、研修室管理、读者管理、会议签到管理、公开课管理等四大功能模块。北京金盘图书馆精细化管理平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-45322

3、宁波华硕网络服务有限公司建站系统存在SQL注入漏洞

宁波华硕网络服务有限公司是一家具有6年网站建设和网页设计经验的专业网络公司。宁波华硕网络服务有限公司建站系统存在SQL注入漏洞,攻击者可利用漏洞获取数据库信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-44329

4、SongCMS PHP版存在代码执行漏洞

SongCMS是一款基于PHP+MySQL、ASP+Access/SQL Server开发,面向企业,支持多国语言、免费、开源的CMS,帮助企业用户快速建设与部署企业级门户网站。SongCMS PHP版存在代码执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-45318

5、宿迁鑫潮信息技术限公司PHP云人才系统(phpyun)存在文件上传漏洞

PHP云人才系统(phpyun)是一个采用PHP和MySQL数据库构建的开源人才与企业求职招、聘解决方案。宿迁鑫潮信息技术限公司PHP云人才系统(phpyun)存在文件上传漏洞。攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-44354

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论