上周关注度较高的产品安全漏洞(20201214-20201220)

admin
admin
admin
102800
文章
87
评论
2020年12月21日19:11:13评论81 views字数 2159阅读7分11秒阅读模式
一、境外厂商产品漏洞

1、Oracle WebLogic存在未授权访问漏洞

WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。Oracle WebLogic存在未授权访问漏洞,攻击者可利用该漏洞获取服务器控制权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-69734
2、Kepware Linkmaster权限许可和访问控制问题漏洞
Kepware Linkmaster是美国Kepware公司的一个适用于Windows平台应用于工业上支持OPC DA服务器之间交换数据的软件。该软件提供了一种在OPC服务器之间链接数据的方法,从而成为OPC系统的通用桥,OPC服务器又充当DDE服务器。Kepware LinkMaster3.0.94.0存在权限许可和访问控制问题漏洞。攻击者可以利用该漏洞全局覆盖服务配置,以使用NT系统权限执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-72735

3、Cisco FXOS安全启动绕过漏洞

Cisco FXOS Software是美国思科(Cisco)公司的一套运行在思科安全设备中的防火墙软件。Cisco FXOS存在安全漏洞,该漏洞源于安全引导过程的保护不够。攻击者可利用该漏洞破坏信任链,并将代码注入设备的引导过程中,该过程将在每次引导时执行,并在重新引导时保持持久性。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-72732

4、Mozilla Firefox内存破坏漏洞(CNVD-2020-72462)

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 83之前版本存在内存破坏漏洞。攻击者可利用该漏洞导致内存破坏并执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-72462

5、Cisco IoT Field Network Director SQL注入漏洞

Cisco IoT Field Network Director(IoT-FND)是美国思科(Cisco)公司的一套端到端的物联网管理系统。该系统具有设备管理、资产跟踪和智能计量等功能。Cisco IoT Field NetworkDirector存在SQL注入漏洞,该漏洞源于对受影响设备发出的REST API请求的输入验证不足造成的。攻击者可利用该漏洞访问受影响设备的后端数据库。成功利用该漏洞可以使攻击者可利用该漏洞获得对受影响设备的后端数据库的访问。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-72729
 
二、境内厂商产品漏洞
1、PHPEMS后台存在命令执行漏洞(CNVD-2020-64558)
PHPEMS是一个开源的中文在线考试系统,该系统基于PHP进行开发,是一款集在线考试、视频播放等功能,上手操作简单的国产精品系统。PHPEMS后台存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-64558

2、启明星电子文档库存在文件上传漏洞

启明星电子文档库可用于存放部门手册、制度规范、机械图纸等到edoc里。启明星电子文档库存在文件上传漏洞,攻击者利用该漏洞可以上传恶意文件从而控制服务器。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-64552

3、微同开源商城管理平台存在命令执行漏洞

微同商城是一款开源微信小程序商城(前后端开源:uniapp+Java)。微同开源商城管理平台存在命令执行漏洞,攻击者可利用该漏洞未授权情况下执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-64542

4、杭州新视窗信息技术有限公司建站系统存在SQL注入漏洞

杭州新视窗信息技术有限公司是一家以智慧物业为核心业务的国家高新技术企业。杭州新视窗信息技术有限公司建站系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-64767

5、WMCMS专业版da***.my***.php文件存在SQL注入漏洞

WMCMS是一套基于PHP+MYSQL为核心开发、免费 + 开源的专业中文标签建站系统。WMCMS专业版da***.my***.php文件存在SQL注入漏洞。攻击者可利用该漏洞获取服务器管理权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-64874
 
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

本文始发于微信公众号(CNVD漏洞平台):上周关注度较高的产品安全漏洞(20201214-20201220)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月21日19:11:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   上周关注度较高的产品安全漏洞(20201214-20201220)https://cn-sec.com/archives/212869.html

发表评论

匿名网友 填写信息