上周关注度较高的产品安全漏洞(20220207-20220213)

admin
admin
admin
102367
文章
87
评论
2022年2月14日21:55:52评论248 views字数 2318阅读7分43秒阅读模式

一、境外厂商产品漏洞

1、GitLab存在命令执行漏洞

GitLab是由GitLab Inc.开发的一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。GitLab存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-03811

2、CodeIgniter代码问题漏洞

CodeIgniter是一款使用PHP语言编写的开源Web框架。CodeIgniter存在代码问题漏洞,该漏洞源于软件中的old() 函数中发现了不可信数据的反序列化。远程攻击者可利用该漏洞注入带有该漏洞的可自动加载的任意对象,并可能在服务器上执行现有的PHP代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-08726 

3、Nagios XI路径遍历漏洞(CNVD-2022-08733)

Nagios XI是美国Nagios公司的一套IT基础设施监控解决方案。该方案支持对应用、服务、操作系统等进行监控和预警。Nagvis 2.0.9之前版本存在安全漏洞,攻击者可以通过该漏洞任意删除本地系统上的文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-08733

4、SourceCodester Online Leave Management SystemSQL注入漏洞

SourceCodester Online Leave Management System是一个在线休假管理系统。SourceCodester Online Leave Management System在v1版本存在SQL注入漏洞,该漏洞源于软件对于/leave_system/classes/Login.php的username参数缺少有效的过滤和转义,攻击者可利用该漏洞通过用户名参数执行任意SQL命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-09318 

5、JetBrains TeamCity访问控制错误漏洞(CNVD-2022-09214)

JetBrains TeamCity是捷克JetBrains(Jetbrains)公司的一套分布式构建管理和持续集成工具。该工具提供持续单元测试、代码质量分析和构建问题分析报告等功能。JetBrains TeamCity存在访问控制错误漏洞,该漏洞源于产品缺少X-Frame-Options请求头,攻击者可利用该漏洞绕过安全限制。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-09214

 

1、温州互引信息技术有限公司BossCMS存在任意文件删除漏洞

BossCMS是温州互引信息技术有限公司开发的一款基于自主研发PHP框架MySQL架构的内容管理系统。温州互引信息技术有限公司BossCMS存在任意文件删除漏洞,攻击者可利用该漏洞删除任意文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-03687

2、北京亚控科技发展有限公司KingPortal客户端开发系统存在信息泄露漏洞(CNVD-2022-03682)

北京亚控科技发展有限公司是一家自动化软件平台高科技企业。北京亚控科技发展有限公司KingPortal客户端开发系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-03682 

3、涂鸦智能app与涂鸦转换器(智能插座)存在逻辑缺陷漏洞

涂鸦智能是IoT云平台,连接品牌、OEM 厂商、开发者和连锁零售商的智能化需求,提供一站式人工智能物联网的PaaS级解决方案,涵盖了硬件开发、全球云、智慧商业平台开发,提供全面生态赋能。涂鸦智能app与涂鸦转换器(智能插座)存在逻辑缺陷漏洞,该漏洞源于在涂鸦智能app与涂鸦转换器(智能插座)通信的过程中未使用安全的加密算法( AES/ECB),攻击者可利用漏洞获取加密消息指令,来重新构造消息报文(修改)以及计算相应的校验。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73145 

4、北京亚控科技发展有限公司KingPortal运行系统客户端存在信息泄露漏洞

北京亚控科技发展有限公司自主研发的KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品。北京亚控科技发展有限公司KingPortal运行系统客户端存在信息泄露漏洞,攻击者可以利用该漏洞获取系统账号密码和数据库密码等敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-05450 

5、泛微OA存在命令执行漏洞(CNVD-2022-06870)

上海泛微网络科技股份有限公司专注于协同管理OA软件领域,并致力于以协同OA为核心帮助企业构建全新的移动办公平台。泛微OA存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-06870

 

CNVDCNVD广


原文始发于微信公众号(CNVD漏洞平台):上周关注度较高的产品安全漏洞(20220207-20220213)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月14日21:55:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   上周关注度较高的产品安全漏洞(20220207-20220213)http://cn-sec.com/archives/777944.html

发表评论

匿名网友 填写信息