爆资讯爆资讯爆资讯

【安全提示】CNVD发布上周关注度较高的产品安全漏洞(20200427-20200503)

【安全提示】CNVD发布上周关注度较高的产品安全漏洞(20200427-20200503)

境外厂商产品漏洞

1、多款NETGEAR产品缓冲区溢出漏洞(CNVD-2020-25838)

NETGEAR R6700等都是美国网件(NETGEAR)公司的产品。NETGEAR R6700是一款无线路由器。NETGEAR D6200是一款无线调制解调器。NETGEAR R6800是一款无线路由器。多款NETGEAR产品中存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-25838

2、Palo Alto Networks Secdo输入验证错误漏洞(CNVD-2020-26235)

Palo Alto Networks Secdo是美国Palo Alto Networks公司的一套安全事件响应解决方案。Palo Alto Networks Secdo存在输入验证错误漏洞,该漏洞源于Secdo在硬编码路径上执行脚本。攻击者可通过在OS磁盘(C:)的根目录中创建文件夹或添加数据利用该漏洞获得系统权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-26235

3、Microsoft Windows和Windows Server提权漏洞(CNVD-2020-25576)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows和Windows Server中存在提权漏洞,攻击者可通过登录到系统并运行特制的应用程序利用该漏洞在内核模式下运行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-25576

4、IBM Spectrum Protect代码执行漏洞

IBMSpectrum Protect(前称Tivoli Storage Manager)是美国IBM公司的一套数据保护平台。IBM Spectrum Protect 8.1.0.0版本至8.1.9.200版本和 7.1.0.0版本至7.1.10.0版本中存在代码执行漏洞。该漏洞源于用户输入构造执行命令过程中,网络系统或产品未能正确过滤其中的特殊字符、命令等。远程攻击者可利用该漏洞执行任意代码或造成Spectrum Protect服务器崩溃。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-25563

5、Adobe Bridge越界写入漏洞(CNVD-2020-25758)

Adobe Bridge是Adobe公司推出的一款免费数字资产管理应用程序。Adobe Bridge存在安全漏洞。攻击者可利用漏洞执行任意。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-25758

境内厂商产品漏洞

1、厦门服云信息科技有限公司网站安全狗(Apache)存在SQL注入绕过漏洞

网站安全狗(Apache版)是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。厦门服云信息科技有限公司网站安全狗(Apache)存在SQL注入绕过漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-23489

2、湖北淘码千维信息科技有限公司金微手机商城系统存在任意文件修改漏洞

金微手机商城系统适用于有公众号的微商客户,仿手淘页面布局,支持嵌入视频播放。支持自定义型号规格,主规格支持附带图片,各细分型号支持库存控制,细分型号可设定不同的价格。湖北淘码千维信息科技有限公司金微手机商城系统存在任意文件修改漏洞,攻击者可利用该漏洞获得网站服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-23492

3、数字化校园平台存在文件上传漏洞

数字化校园(院校版/普教版)平台是以数字化信息和网络为基础,在计算机和网络技术上建立起来的对教学、科研、管理、技术服务、生活服务等校园信息的收集、处理、整合、存储、传输和应用,使教学资源得到充分优化和利用。数字化校园平台存在文件上传漏洞,攻击者可利用该漏洞获取网站管理员权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-21009

4、北京超越极限信息技术有限公司建站系统存在SQL注入漏洞

北京超越无限信息技术有限公司主要从事计算机信息系统专业技术服务,包括软件应用系统开发、技术咨询、技术培训、服务等相关业务和产品销售。北京超越极限信息技术有限公司建站系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-23549

5、上海商派网络科技有限公司ECShop网站存在SQL注入漏洞

上海商派网络科技有限公司成立于2002年,是中国专业的电子商务系统及服务提供商。上海商派网络科技有限公司ECShop网站存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-23488

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源:CNVD漏洞平台

【安全提示】CNVD发布上周关注度较高的产品安全漏洞(20200427-20200503)

未经允许不得转载:爆资讯 » 【安全提示】CNVD发布上周关注度较高的产品安全漏洞(20200427-20200503)

相关推荐