上周关注度较高的产品安全漏洞(20200824-20200830)

  • A+
所属分类:安全新闻
一、境外厂商产品漏洞
1、IBM InfoSphere Information Server远程代码执行漏洞
IBM InfoSphere Information Server是美国IBM公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM InfoSphere InformationServer中存在安全漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未能正确过滤其中的特殊元素。远程攻击者可通过诱使用户访问特制网站利用该漏洞在系统上执行任意代码。
参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-47953

2、PHP资源管理错误漏洞

PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。PHP中存在资源管理错误漏洞。攻击者可利用该漏洞造成拒绝服务并可能运行代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-47962
3、QEMU输入验证错误漏洞(CNVD-2020-47958)
QEMU(Quick Emulator)是法国法布里斯-贝拉(Fabrice Bellard)软件开发者的一套模拟处理器软件。该软件具有速度快、跨平台等特点。QEMU中存在输入验证错误漏洞。攻击者可借助oss_write()利用该漏洞造成拒绝服务攻击或执行代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-47958
4、Microsoft Internet Explorer远程代码执行漏洞(CNVD-2020-47963)
Microsoft Internet Explorer(IE)是美国微软(Microsoft)公司的一款Windows操作系统附带的Web浏览器。Microsoft IE 9版本和11版本中的MSHTML Engine存在远程代码执行漏洞,该漏洞源于程序未能正确验证输入。攻击者可借助特制文件利用该漏洞执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-47963
5、Micro Air Vehicle Link路径遍历漏洞
Micro Air Vehicle Link(MAVLink)是Dronecode项目的一款轻量级的消息传输协议,它主要用于地面控制终端(地面站)与无人机之间 (以及机载无人机组件之间) 的通信。Micro Air Vehicle Link(MAVLink)协议中存在安全漏洞,该漏洞源于程序使用问答机制进行版本协商,未能采用身份验证机制。攻击者可借助特制的软件包利用该漏洞绕过身份验证,直接与自动驾驶系统进行交互。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-47961

 

二、境内厂商产品漏洞

1、李雷博客存在文件上传漏洞

李雷博客是一套开源PHP博客管理系统。李雷博客存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-47303

2、TpFlow工作流引擎存在文件上传漏洞

TpFlow工作流引擎是一款基于PHP开发的工作流引擎。TpFlow工作流引擎存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器控制权。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-47316
3、深圳市圆梦云科技有限公司WeiPHP mo***.php文件存在命令执行漏洞
WeiPHP是一款开源微信公众平台的开发框架,可轻松搭建个人微信公众账号运营平台。深圳市圆梦云科技有限公司WeiPHP mo***.php文件存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-47314
4、镇江市云优网络科技有限公司YUNUCMS V2***.php文件存在SQL注入漏洞
YUNUCMS是基于TP5.0框架为核心开发的免费+开源的城市分站内容管理系统。镇江市云优网络科技有限公司YUNUCMS V2***.php文件存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-47321
5、郑州狼烟网络科技有限公司建站系统存在SQL注入漏洞
郑州狼烟网络科技有限公司是一家致力于为用户提供最佳的互联网网络应用和全网营销服务,帮助中小企业进行网络营销和企业品牌宣传的公司。郑州狼烟网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-47308

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: