上周关注度较高的产品安全漏洞(20201130-20201206)

admin
admin
admin
138717
文章
114
评论
2020年12月7日18:01:00评论93 views字数 2157阅读7分11秒阅读模式

一、境外厂商产品漏洞

1、IBM DB2任意代码执行漏洞

IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2 存在任意代码执行漏洞,攻击者可利用该漏洞可以创建一个恶意的DLL,然后将其放到IBM DB2的当前目录中,以便执行代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-68350
2、Microsoft Visual Studio Code远程代码执行漏洞
Microsoft Visual Studio Code是美国微软(Microsoft)公司的一款开源的代码编辑器。Microsoft Visual StudioCode存在安全漏洞。攻击者可利用该漏洞在当前用户的上下文中运行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-68539

3、Oracle WebLogic Console存在命令执行漏洞(CNVD-2020-59803)

WebLogic Server是Oracle公司出品的基于JavaEE架构的中间件,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。Oracle Weblogic Server存在命令执行漏洞。攻击者可利用漏洞执行任意恶意代码,获取系统控制权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-59803

4、IBM Spectrum Protect Plus硬编码凭据漏洞

IBM Spectrum Protect Plus是用于虚拟环境的数据保护和可用性解决方案,可在几分钟内完成部署,并在一小时内为您的环境提供保护。IBM Spectrum Protect Plus10.1.0 - 10.1.6存在硬编码凭据漏洞。攻击者可利用该漏洞获取密码、加密密钥等硬编码凭据。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-67637

5、Microsoft Windows内核权限提升漏洞

Microsoft Windows是美国微软(Microsoft)公司的一种桌面操作系统。Microsoft Windows存在内核权限提升漏洞,攻击者可利用该漏洞可以在内核模式中运行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-68845
 
二、境内厂商产品漏洞
1、浙江齐治科技股份有限公司齐治堡垒机v5.0存在命令执行漏洞(CNVD-2020-59415)
齐治科技是一家由运维管理专家创立、专注于运维操作的产品型公司。浙江齐治科技股份有限公司齐治堡垒机v5.0存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-59415

2、极速Office 2019 ForWindows存在命令执行漏洞

极速Office是由北京海腾时代科技有限公司研发的一款自主可控办公学习类软件。极速Office 2019 For Windows存在命令执行漏洞,攻击者可利用该漏洞执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-62765

3、紫金桥监控组态软件存在远程栈溢出漏洞(CNVD-2020-59818)

紫金桥监控组态软件是一款专业的紫金桥监控组态软件,采用C/S体系结构,拥有数据库处理技术和图形系统。紫金桥监控组态软件存在远程栈溢出漏洞。攻击者可利用漏洞导致web服务崩溃。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-59818

4、Haiwell(海为)云组态软件Cloud SCADA存在DLL劫持漏洞

Haiwell(海为)云组态软件Cloud SCADA是厦门海为科技有限公司研发的基于.NET Framework的工业自动化监控管理平台软件。Haiwell(海为)云组态软件Cloud SCADA存在DLL劫持漏洞。攻击者可利用该漏洞加载恶意dll,执行恶意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-59817

5、北京九州云腾科技有限公司IDaaS平台存在逻辑缺陷漏洞

IDaaS平台是九州云腾提供的云身份服务平台,在传统的账户、认证、授权、审计的4A基础上加上我们特有的应用商店,形成5A平台,可以为企业用户提供统一门户,并且开发者可以基于此平台进行快速开发和应用集成。北京九州云腾科技有限公司IDaaS平台存在逻辑缺陷漏洞。攻击者可利用漏洞绕过验证重置任意用户密码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-59464
 
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

本文始发于微信公众号(CNVD漏洞平台):上周关注度较高的产品安全漏洞(20201130-20201206)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月7日18:01:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   上周关注度较高的产品安全漏洞(20201130-20201206)https://cn-sec.com/archives/196932.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息