1、Microsoft Windows ActiveX Installer Service权限提升漏洞(CNVD-2020-52928)
Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows ActiveXInstaller Service存在权限提升漏洞,该漏洞源于Windows ActiveX安装程序服务未能正确处理内存,攻击者可通过运行特制应用程序利用该漏洞提升权限。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-52928
2、Google Chrome数据验证不足漏洞(CNVD-2020-53300)
Chrome是由Google开发的一款设计简单、高效的Web浏览工具,其特点是简洁、快速。Google Chrome85.0.4183.121之前版本中的媒体存在数据验证不足漏洞。远程攻击者可通过特制HTML页面利用该漏洞导致堆损坏。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-53300
SUSE Manager是德国SUSE公司的一套Linux服务器管理系统。该系统提供自动化软件管理、系统配置和监控等功能。spacewalk是一套开源的Linux系统管理解决方案。SUSE存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。目前没有详细的漏洞细节提供。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-52931
4、McAfee VirusScan Enterprise权限许可和访问控制问题漏洞
McAfee VirusScan Enterprise(VSE)是美国迈克菲(McAfee)公司的一套杀毒软件。该软件提供全方位的安全防护、扫描内存以查找恶意代码和为远程系统优化更新等功能。McAfee VSE 8.8 Patch 14之前版本中的Microsoft Windows client(McTray.exe)存在权限许可和访问控制问题漏洞。本地攻击者可通过运行McAfee Tray利用该漏洞以较高的权限与On-Access Scan Messages -Threat Alert窗口进行交互。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-53290
5、We-COM OpenData CMS SQL注入漏洞
We-COM OpenData CMS是意大利We-COM公司的一套内容管理系统(CMS)。We-COM OpenData CMS 2.0版本中存在SQL注入漏洞,该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-53320
二、境内厂商产品漏洞
1、CLTPHP开源版存在文件删除漏洞
CLTPHP是基于ThinkPHP5开发,后台采用Layui框架的内容管理系统。CLTPHP开源版存在文件删除漏洞。攻击者可利用漏洞删除任意文件,导致程序崩溃。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-50712
2、北京为因软件WeLive在线客服系统存在文件上传漏洞
WeLive客服系统采用WebSocket通讯技术,基于PHP开发,不依赖官方服务器。支持客户端浏览器与远程主机之间进行全双工通信,即允许服务器主动推送信息给客户端,具有节约带宽、实时性强等特点。北京为因软件WeLive在线客服系统存在文件上传漏洞,攻击者可利用漏洞获取服务器权限。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-52594
鱼跃CMS是由鲶鱼CMS官方开发的一款专门面向于企业应用的内容管理系统。鱼跃CMS传承了鲶鱼CMS的诸多优点,并根据应用面向而发展出鱼跃CMS的独特品质,为企业建站以及相关工作提供了保障。鱼跃cms存在命令执行漏洞,攻击者可利用漏洞获取服务器权限。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-51763
4、海南赞赞网络科技有限公司EyouCms存在文件上传漏洞(CNVD-2020-50721)
EyouCms是基于TP5.0框架为核心开发的免费+开源的企业内容管理系统。海南赞赞网络科技有限公司EyouCms存在文件上传漏洞。攻击者可利用漏洞上传webshell,获得服务器权限。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-50721
5、深圳神州通达网络技术有限公司建站系统存在SQL注入漏洞( CNVD-2020-50932 )
深圳神州通达网络技术有限公司,提供腾讯企业邮箱、高端网站建设(PC网站,手机网站,微信公众账号)、SEO优化推广、企业微信等网络基础服务和网络营销推广服务。深圳神州通达网络技术有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-50932
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
评论