上周关注度较高的产品安全漏洞(20210705-202100711)

admin
admin
admin
139168
文章
114
评论
2021年7月13日01:54:50评论148 views字数 2153阅读7分10秒阅读模式

一、境外厂商产品漏洞

1、IBM Planning Analytics跨站脚本漏洞

IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。IBM Planning Analytics Local 中存在跨站脚本漏洞,该漏洞源于这个漏洞允许用户在Web UI中嵌入任意的JavaScript代码,攻击者可通过该漏洞导致在可信会话中暴露凭据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-47643

2、Sylius未授权访问漏洞

Sylius是波兰Sylius公司的一套基于Symfony框架的开源电子商务平台。Sylius在1.9.5和1.10.0-RC之前的版本中存在安全漏洞,该漏洞源于在Sylius所下订单的部分细节(订单ID、订单号、商品总数和令牌值)暴露给未授权用户。攻击者可利用该漏洞获取一些额外的重要敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-47648

3、IBM PlanningAnalytics跨站请求伪造漏洞

IBMPlanning Analytics是美国IBM公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。IBMPlanning Analytics 存在跨站请求伪造漏洞,该漏洞源于未充分验证请求是否来自可信用户。攻击者可利用该漏洞执行来自网站信任的用户传输的恶意和未经授权的操作。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-47646

4、Joomla! SP PageBuilder存在任意文件删除漏洞

SP PageBuilder插件是一个免费的页面构建组件,用户可以在joomla网站上使用它来设计和编辑网站页面内容。Joomla!SP Page Builder存在任意文件删除漏洞,攻击可以利用该漏洞删除目标服务器上任意文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39312

5、MicrosoftSharePoint信息泄露漏洞(CNVD-2021-48895)

MicrosoftSharePoint是美国微软公司的一套企业业务协作平台。MicrosoftSharePoint存在信息泄露漏洞,远程攻击者可利用该漏洞提交特殊的请求,获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-48895


二、境内厂商产品漏洞


1、vivo手机接口存在未授权访问漏洞

广东天宸网络科技有限公司经营范围包括:计算机软硬件技术开发与销售;互联网和移动互联网软件产品的技术开发与销售;移动通讯设备及软件的设计等。vivo手机接口存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-40225

2、OP20系列画面设置工具存在拒绝服务漏洞

OP20是无锡信捷电气股份有限公司开发的画面编辑软件。OP20系列画面设置工具存在拒绝服务漏洞,攻击者可利用该漏洞造成拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39840

3、深圳市万网博通科技有限公司全息AI网络运维平台存在弱口令漏洞

深圳市万网博通投资管理有限合伙企业(有限合伙)(简称TG万网博通),致力于网络通信产品及物联网安全管控平台的开发、应用,是下一代弱电智能化网络解决方案及物联网安全解决方案厂商。深圳市万网博通科技有限公司全息AI网络运维平台存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39849

4、锐捷网络股份有限公司无线smartweb管理系统存在越权漏洞

锐捷网络股份有限公司是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。锐捷网络股份有限公司无线smartweb管理系统存在越权漏洞,攻击者可利用该漏洞越权访问系统。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39842

5、北京百卓网络技术有限公司Smart多业务安全网关智能管理平台存在SQL注入漏洞(CNVD-2021-39833)

北京百卓网络技术有限公司是一家致力于构建下一代安全互联网的高新技术企业。北京百卓网络技术有限公司Smart多业务安全网关智能管理平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39833


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


本文始发于微信公众号(CNVD漏洞平台):上周关注度较高的产品安全漏洞(20210705-202100711)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月13日01:54:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   上周关注度较高的产品安全漏洞(20210705-202100711)https://cn-sec.com/archives/420327.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息