登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200817-20200823)

2020-08-24 16:28:58

一、境外厂商产品漏洞

1、Microsoft Windows Graphics Components远程代码执行漏洞(CNVD-2020-46637)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Graphics Components是其中的一个图形组件。Microsoft Windows GraphicsComponents中存在远程代码执行漏洞该漏洞,该漏洞源于Microsoft图形组件处理内存中对象的方式存在问题,攻击者可利用该漏洞在目标系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46637

2、多款Mitsubishi Electric产品注入漏洞

Mitsubishi Electric GT27等都是日本三菱电机(Mitsubishi Electric)公司的一款GOT2000系列图形操作终端。Mitsubishi Electric GT27、GT25和GT23(GOT2000系列)中的CoreOS Y及之前版本存在注入漏洞,攻击者可利用该漏洞造成拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46799

3、Apache Shiro权限绕过漏洞

Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。Apache Shiro存在权限绕过漏洞。攻击者可利用漏洞导致绕过身份验证。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46579

4、Schneider Electric APC Easy UPS On-LineSoundUploadServlet路径遍历漏洞

Schneider Electric APC Easy UPSOn-Line是一款UPS解决方案。Schneider Electric APC Easy UPSOn-Line SoundUploadServlet存在路径遍历漏洞,远程攻击者可利用该漏洞提交特殊的请求,可上传任意文件到任意目录。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46796

5、Marvell QConvergeConsole远程代码执行漏洞(CNVD-2020-46340)

Marvell QConvergeConsole(QCC)是美国美满科技(Marvell)公司的一款跨数据中心的统一适配器管理软件。该软件主要用于以太网和光纤通道适配器管理等。Marvell QCC中的FlashValidatorServiceImpl类的decryptFile方法存在安全漏洞,该漏洞源于程序在文件操作中使用用户提交的路径之前,未能正确验证该路径。远程攻击者可利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46340

 

二、境内厂商产品漏洞

1、深信服终端监测响应平台(EDR)远程命令执行漏洞

深信服终端检测响应平台EDR可通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。深信服终端监测响应平台(EDR)存在远程命令执行漏洞。攻击者可通过构造HTTP请求来利用此漏洞,成功利用此漏洞的攻击者可以在目标主机上执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46552

2、多款Huawei产品不正确身份验证漏洞

Huawei Mate 20、Mate 20 Pro、Mate 20 X和Mate 20 RS等都是中国华为(Huawei)公司的一款智能手机。多款Huawei产品中存在安全漏洞,该漏洞源于程序未能对加密文件进行正确签名。攻击者可利用该漏洞伪造文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46459

3、海南易而优科技有限公司ejucms存在文件上传漏洞(CNVD-2020-47335)

易居房产系统(ejucms)是一套本地化O2O房产网站平台系统。海南易而优科技有限公司ejucms存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-47335

4、深圳市圆梦云科技有限公司WeiPHP Ad***.cl***.php文件存在文件包含漏洞

WeiPHP是一款开源微信公众平台的开发框架,可轻松搭建个人微信公众账号运营平台。深圳市圆梦云科技有限公司WeiPHP Ad***.cl***.php文件存在文件包含漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-47324

5、海洋CMS存在代码执行漏洞(CNVD-2020-47328)

海洋CMS是一款基于PHP+MYSQL架构的,可跨平台运行的网站内容管理系统。海洋CMS存在代码执行漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-47328

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论