登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200831-20200906)

2020-09-07 16:08:31

一、境外厂商产品漏洞

1、Google Chrome安全绕过漏洞(CNVD-2020-49909)

Google Chrome是一款Web浏览器。Google Chrome 85.0.4183.83之前版本存在安全漏洞。攻击者可以利用此漏洞绕过安全限制。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-49909

2、Microsoft Windows和Microsoft Windows Server权限提升漏洞(CNVD-2020-49358)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows和Microsoft Windows Server存在权限提升漏洞,该漏洞源于Windows未能正确处理硬链接,攻击者可通过运行特制应用程序利用该漏洞覆盖目标文件并实现权限提升。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-49358

3、Citrix Systems XenMobile Server访问控制错误漏洞

Citrix Systems XenMobile Server是美国思杰系统(Citrix Systems)公司的一套移动管理解决方案。该方案能够管理移动设备、制定移动策略和合规性规则、深入了解移动移动网络运行情况等。Citrix Systems XenMobileServer中存在安全漏洞,该漏洞源于访问控制不当。攻击者可利用该漏洞访问权限较高的功能。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-49704

4、Cisco NX-OS拒绝服务漏洞(CNVD-2020-49933)

Cisco NX-OS是适用于Cisco Nexus系列以太网交换机和MDS系列光纤通道存储区域网络交换机的网络操作系统。Cisco NX-OS的IPv6网络(PIM6)的协议无关组播(PIM)功能存在拒绝服务漏洞。该漏洞源于在处理入站PIM6数据包时错误处理不当。远程未认证攻击者可通过发送多个特制PIM6数据包利用该漏洞导致拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-49933

5、IBM Security Guardium Data Encryption (GDE)硬编码凭据漏洞

IBM Security Guardium Data Encryption(GDE)提供了一组模块化的加密解决方案,可帮助安全团队有效地实现整个组织的静态数据安全性。IBM Security Guardium DataEncryption (GDE) 3.0.0.2存在硬编码凭据漏洞,攻击者可利用该漏洞获取密码、加密密钥等硬编码凭据。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-49942

 

二、境内厂商产品漏洞

1、上海商派网络科技有限公司ECShop商城系统存在SQL注入漏洞

上海商派网络科技有限公司成立于2002年,是中国专业的电子商务系统及服务提供商。上海商派网络科技有限公司ECShop商城系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-49455

2、MCMS前台up***.do页面存在文件上传漏洞

MCMS是一款铭飞科技有限公司的网站搭建系统。MCMS前台up***.do页面存在文件上传漏洞。攻击者可利用漏洞上传webshell,获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-49067

3、上海丹帆网络科技有限公司建站系统存在SQL注入漏洞(CNVD-2020-49081)

华夏化工网成立于2000年,是由上海丹帆网络科技有限公司创办的,为化工行业提供配套的B2B电子商务平台的专业网站。上海丹帆网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-49081

4、济南亘安信息技术有限公司建站系统an***.php页面存在SQL注入漏洞

济南亘安信息技术有限公司是一家从事互联网服务的高科技公司,主要为企业提供网站建设、网站推广等。济南亘安信息技术有限公司建站系统an***.php页面存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-48948

5、石家庄百成网络科技有限公司建站系统pr***.asp页面存在SQL注入漏洞

石家庄百成网络科技有限公司是一家从事于网站建设与设计的公司。石家庄百成网络科技有限公司建站系统pr***.asp页面存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-48945

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论