登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200914-20200920)

2020-09-21 10:39:12

一、境外厂商产品漏洞

1、Linux kernel权限控制漏洞

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Linux kernel 5.8.9 中存在权限控制漏洞。该漏洞源于driver /block/ rbdc中的rbd块设备驱动程序使用了不完整的权限检查来访问rbd设备。攻击者可利用该漏洞提升权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-52183

2、Apache Syncope远程代码执行漏洞(CNVD-2020-52391)

Apache Syncope是美国阿帕奇(Apache)基金会的一套用于企业环境中的开源数字身份管理系统。该系统支持身份管理、角色配置等。Apache Syncope 2.1.7之前的2.1.x中存在安全漏洞。攻击者可利用该漏洞执行恶意操作,包括但不限于文件读取、文件写入和代码执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-52391

3、Microsoft Windows Jet Database Engine远程代码执行漏洞(CNVD-2020-52085)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows JetDatabase Engine存在远程代码执行漏洞,该漏洞源于Windows Jet数据库引擎未能正确处理内存中的对象,攻击者可通过特制文件利用该漏洞在目标系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-52085

4、Trend Micro Apex One权限提升漏洞

Trend Micro Apex One是一个端点防护解决方案,可提供最广泛的防护功能,包括高准度机器学习与进阶勒索病毒防护。Trend Micro Apex One中的ApexOne Security Agent存在权限提升漏洞。攻击者可通过创建硬链接而滥用服务来覆盖所选文件的内容,从而可利用该漏洞提升权限并在root用户的上下文中执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-52197

5、WordPress wp-file-manager任意文件上传漏洞

WordPress是一套使用PHP语言开发的博客平台。WordPress wp-file-manager存在任意文件上传漏洞,远程攻击者可利用该漏洞提交特殊的请求,上传任意PHP文件,并执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-52342

 

二、境内厂商产品漏洞

1、UsualToolCMS后台存在命令执行漏洞

UsualToolCMS(UTCMS) 是一款内容管理系统及快速建站框架。UsualToolCMS后台存在命令执行漏洞,攻击者可利用漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-49709

2、Kingsoft WPS Office远程堆损坏漏洞

WPS Office是由金山软件股份有限公司(Kingsoft)发布的一款办公软件,可以应用于办公软件最常用的文字编辑、电子表格、演示稿等功能。Kingsoft WPS Office11.2.0.9403之前版本存在远程堆损坏漏洞。攻击者可通过Word文档中PNG数据中的特制PLTE块利用该漏洞导致程序崩溃。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-52428

3、深圳市吉祥腾达科技有限公司Tenda G1路由器存在命令执行漏洞

Tenda G1是一款带机100人企业级AP管理路由器。深圳市吉祥腾达科技有限公司Tenda G1路由器存在命令执行漏洞,攻击者可利用漏洞远程执行命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46058

4、安徽希望网络科技有限公司建站系统存在SQL注入漏洞

安徽希望网络科技有限公司是一家主要从事网站建设、网络推广和网络营销的互联网基础产品服务商。安徽希望网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-45860

5、深圳警翼智能科技股份有限公司执法记录仪电子证据管理软件存在文件上传漏洞

深圳警翼智能科技股份有限公司是中国执法记录仪行业指标性领导企业,专注于为执法执勤部门提供以执法记录仪为核心,包括警翼系列智能执法装备、警掌系列执法终端及警环系列穿戴式执法设备在内的智能执法装备及执法信息化整体解决方案。深圳警翼智能科技股份有限公司执法记录仪电子证据管理软件存在文件上传漏洞,攻击者可利用漏洞获取服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-46218

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论