登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200921-20200927)

2020-09-28 15:41:33

一、境外厂商产品漏洞

1、Microsoft Windows ActiveX Installer Service权限提升漏洞(CNVD-2020-52928)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows ActiveXInstaller Service存在权限提升漏洞,该漏洞源于Windows ActiveX安装程序服务未能正确处理内存,攻击者可通过运行特制应用程序利用该漏洞提升权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-52928

2、Google Chrome数据验证不足漏洞(CNVD-2020-53300)

Chrome是由Google开发的一款设计简单、高效的Web浏览工具,其特点是简洁、快速。Google Chrome85.0.4183.121之前版本中的媒体存在数据验证不足漏洞。远程攻击者可通过特制HTML页面利用该漏洞导致堆损坏。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-53300

3、SUSE访问控制错误漏洞

SUSE Manager是德国SUSE公司的一套Linux服务器管理系统。该系统提供自动化软件管理、系统配置和监控等功能。spacewalk是一套开源的Linux系统管理解决方案。SUSE存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。目前没有详细的漏洞细节提供。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-52931

4、McAfee VirusScan Enterprise权限许可和访问控制问题漏洞

McAfee VirusScan Enterprise(VSE)是美国迈克菲(McAfee)公司的一套杀毒软件。该软件提供全方位的安全防护、扫描内存以查找恶意代码和为远程系统优化更新等功能。McAfee VSE 8.8 Patch 14之前版本中的Microsoft Windows client(McTray.exe)存在权限许可和访问控制问题漏洞。本地攻击者可通过运行McAfee Tray利用该漏洞以较高的权限与On-Access Scan Messages -Threat Alert窗口进行交互。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-53290

5、We-COM OpenData CMS SQL注入漏洞

We-COM OpenData CMS是意大利We-COM公司的一套内容管理系统(CMS)。We-COM OpenData CMS 2.0版本中存在SQL注入漏洞,该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-53320

 

二、境内厂商产品漏洞

1、CLTPHP开源版存在文件删除漏洞

CLTPHP是基于ThinkPHP5开发,后台采用Layui框架的内容管理系统。CLTPHP开源版存在文件删除漏洞。攻击者可利用漏洞删除任意文件,导致程序崩溃。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-50712

2、北京为因软件WeLive在线客服系统存在文件上传漏洞

WeLive客服系统采用WebSocket通讯技术,基于PHP开发,不依赖官方服务器。支持客户端浏览器与远程主机之间进行全双工通信,即允许服务器主动推送信息给客户端,具有节约带宽、实时性强等特点。北京为因软件WeLive在线客服系统存在文件上传漏洞,攻击者可利用漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-52594

3、鱼跃cms存在命令执行漏洞

鱼跃CMS是由鲶鱼CMS官方开发的一款专门面向于企业应用的内容管理系统。鱼跃CMS传承了鲶鱼CMS的诸多优点,并根据应用面向而发展出鱼跃CMS的独特品质,为企业建站以及相关工作提供了保障。鱼跃cms存在命令执行漏洞,攻击者可利用漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-51763

4、海南赞赞网络科技有限公司EyouCms存在文件上传漏洞(CNVD-2020-50721)

EyouCms是基于TP5.0框架为核心开发的免费+开源的企业内容管理系统。海南赞赞网络科技有限公司EyouCms存在文件上传漏洞。攻击者可利用漏洞上传webshell,获得服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-50721

5、深圳神州通达网络技术有限公司建站系统存在SQL注入漏洞( CNVD-2020-50932 )

深圳神州通达网络技术有限公司,提供腾讯企业邮箱、高端网站建设(PC网站,手机网站,微信公众账号)、SEO优化推广、企业微信等网络基础服务和网络营销推广服务。深圳神州通达网络技术有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-50932

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论