登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20201026-20201101)

2020-11-02 15:39:41

一、境外厂商产品漏洞
      1、IBM Security Access Manager安全绕过漏洞(CNVD-2020-59030)

IBM Security Access Manager是美国IBM公司的一款应用于信息安全管理的产品。该产品通过面向Web、移动和云计算的集成设备来实现访问管理控制。IBM Security Access Manager 9.0.7版本存在安全绕过漏洞,该漏洞源于在注销后未能使会话失效,攻击者可利用该漏洞模拟系统上的另一个用户。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-59030

2、Schneider Electric Modicon M580存在拒绝服务漏洞(CNVD-2020-55774)

Modicon M580是Schneider Electric(施耐德电气)推出的可编程逻辑控制器。Schneider Electric Modicon M580存在拒绝服务漏洞,攻击者可利用该漏洞导致PLC拒绝服务,与设备的远程通信中断。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-55774

3、Oracle MySQL Server存在未明漏洞(CNVD-2020-59058)

Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。Oracle MySQL Server 8.0.21及更早版本中的Server: Security: Privileges组件存在未明漏洞。攻击者可利用该漏洞未经授权读访问一部分MySQL Server可访问的数据。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-59058

4、Nagios XI操作系统命令注入漏洞(CNVD-2020-58765)

Nagios XI和Nagios都是美国Nagios公司的产品。Nagios XI是一套IT基础设施监控解决方案。该方案支持对应用、服务、操作系统等进行监控和预警。Nagios是一套开源的免费网络监视工具。Nagios XI 5.7.3版本存在安全漏洞,该漏洞源于操作系统命令中使用的特殊元素的不适当中和允许远程的、经过身份验证的管理用户使用apache用户的特权执行操作系统命令。目前没有详细漏洞细节提供。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-58765

5、Zoho ManageEngine Desktop Central输入验证错误漏洞

ZOHO ManageEngine Desktop Central(DC)和Desktop Central(DC)都是美国卓豪(ZOHO)公司的产品。ManageEngine Desktop Central是一套桌面管理解决方案。该方案包含软件分发、补丁管理、系统配置、远程控制等功能模块,可对桌面机以及服务器管理的整个生命周期提供支持。Desktop Central是一套桌面管理解决方案。该方案包含软件分发、补丁管理、系统配置、远程控制等功能模块。Zoho ManageEngine Desktop Central 10.0.0.SP-534版本存在安全漏洞,该漏洞源于attacker-controlled服务器可以触发一个整数溢出InternetSendRequestEx和InternetSendRequestByBitrate导致出现基于堆的缓冲区溢出和远程代码执行与系统特权。目前没有详细漏洞细节提供。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-58775

二、境内厂商产品漏洞

1、青岛易企天创管理咨询有限公司禅道开源版后台存在SQL注入漏洞

禅道开源版是一款研发项目管理软件。青岛易企天创管理咨询有限公司禅道开源版后台存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-57707

2、Huawei Taurus-AN00B权限提升漏洞

Huawei Mate 30(5G)Taurus-AN00B是华为Mate30(5G)的官方固件。Huawei Taurus-AN00B 10.1.0.156之前版本存在安全漏洞,该漏洞源于产品的某些业务功能缺乏权限限制。攻击者可利用该漏洞可以访问受保护的信息,从而造成权限提升。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-59054

3、深信服VPN升级维护工具存在命令执行漏洞

深信服SSL VPN是深信服公司提供的解决远程用户访问敏感公司数据的解决技术,来实现远程接入的一种VPN技术。深信服VPN升级维护工具存在命令执行漏洞,攻击者可利用该漏洞远程上传和下载文件执行远程命令获取服务器控制权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-48680

4、四川思途智旅软件有限公司思途CMS存在SQL注入漏洞

思途CMS是一款自主研发的适用于旅游网站建设的网站管理系统。四川思途智旅软件有限公司思途CMS存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-58576

5、D-Link DAP-136 IP参数命令执行漏洞

D-Link DAP-136是一款无线网络信号扩展器。D-Link DAP-136处理IP参数存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-59072



(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论