上周关注度较高的产品安全漏洞(20201221-20201227)

admin
admin
admin
102165
文章
87
评论
2020年12月28日17:50:17评论118 views字数 2222阅读7分24秒阅读模式
一、境外厂商产品漏洞
1、Mozilla Firefox内存破坏代码执行漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox存在内存破坏漏洞,远程攻击者可利用该漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或者以应用程序上下文执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-73170

2、IBM AIX和VIOS授权问题漏洞

IBM AIX是美国IBM公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM VIOS是一款虚拟IO服务器。IBM AIX和VIOS 存在授权问题漏洞,该漏洞允许本地攻击者利用该漏洞ksu用户命令可获得root特权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-73019

3、NZXT CAM权限提升漏洞(CNVD-2020-73165)

NZXT CAM是美国NZXT公司的一个应用于游戏计算机的性能监控软件。该软件可用于管理计算机性能、温度、设备,确保计算机处于最佳性能。NZXT CAM 4.8.0版本存在授权问题漏洞,该漏洞源于权限升级漏洞存在于WinRing0x64驱动程序IRP 0x9c40a148功能的中。一个特别设计的I O请求包(IRP)可以使对手获得提升的特权。攻击者可利用该漏洞发送恶意IRP来触发此漏洞。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-73165

4、IBM Domino缓冲区溢出漏洞(CNVD-2020-73021)

IBM Domino是美国IBM公司的一套企业级应用程序开发平台。IBM Domino server 9版本,10版本存在安全漏洞,该漏洞源于MIME消息处理中的一个漏洞可能会被未经身份验证的攻击者可利用该漏洞利用,从而导致堆栈缓冲区溢出。这可能允许远程攻击者可利用该漏洞破坏服务器或向系统注入代码,这些代码将使用服务器的特权执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-73021

5、Egavilanmedia ECM Address Book SQL注入漏洞

Egavilanmedia ECM Address Book是美国Egavilanmedia公司的一款可对通讯录进行组织、标识的平台。EgavilanMedia ECM AddressBook 1.0 存在SQL注入漏洞,攻击者可利用该漏洞可以通过SQLi绕过管理登录面板,获得管理访问权限并添加或删除任何用户。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-74058

 

二、境内厂商产品漏洞

1、遵义欣腾达信息技术有限公司伯乐发卡系统基础版任意文件上传漏洞

遵义欣腾达信息技术有限公司是一家专业的电子商务运营和网络营销服务的公司。遵义欣腾达信息技术有限公司伯乐发卡系统基础版任意文件上传漏洞,攻击者可利用该漏洞对使用该源码的网站任意上传恶意文件获取服务器控制权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-67330

2、广州网易计算机系统有限公司网易云音乐(Windows客户端)存在命令执行漏洞

网易云音乐是一款专注于发现与分享的音乐播放器。广州网易计算机系统有限公司网易云音乐(Windows客户端)存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-67348

3、PowerCreator CMS存在任意文件上传漏洞

北京翰博尔信息技术股份有限公司(简称PowerCreator)成立于2003年,是面向全球音视频领域提供软件开发及产品制造的国际化企业。PowerCreator CMS存在任意文件上传漏洞。攻击者可利用该漏洞上传webshell,获得服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-67103

4、乐视超4 x43电视存在远程代码执行漏洞

乐融致新电子科技(北京)有限公司于2013年09月公司经营范围包括:技术推广、技术开发、技术咨询、技术服务等。乐视超4 x43电视存在远程代码执行漏洞,攻击者可利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-64629

5、广州海昇计算机科技有限公司嵌入式高清录播系统存在SQL注入漏洞

嵌入式高清录播系统采用高性能SOC处理器,可实现1080P每秒高达60帧的编码显示,支持POC供电功能,一条标准SDI线即可实现视频传输、供电和云台控制等功能等。广州海昇计算机科技有限公司嵌入式高清录播系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-64615

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

本文始发于微信公众号(CNVD漏洞平台):上周关注度较高的产品安全漏洞(20201221-20201227)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月28日17:50:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   上周关注度较高的产品安全漏洞(20201221-20201227)https://cn-sec.com/archives/223003.html

发表评论

匿名网友 填写信息