您所在的位置: 首頁 >
安全研究 >
安全通告 >
一周產(chǎn)品安全漏洞(20200511-20200517)
一、境外廠商產(chǎn)品漏洞
1、Mysql jdbc 驅(qū)動(dòng)存在XML實(shí)體注入漏洞
MySQL AB是由MySQL創(chuàng)始人和主要開發(fā)人創(chuàng)辦的公司。Mysql jdbc 驅(qū)動(dòng)存在XML實(shí)體注入漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27158
2、JetBrains IntelliJ IDEA許可證服務(wù)器解析漏洞
JetBrains IntelliJ IDEA是捷克JetBrains公司的一套適用于Java語言的集成開發(fā)環(huán)境。JetBrains IntelliJ IDEA 2020.1之前版本中存在安全漏洞。攻擊者可利用該漏洞將授權(quán)服務(wù)器解析到不可信的主機(jī)上。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27765
3、libEMF緩沖區(qū)溢出漏洞
libEMF是一款用于生成增強(qiáng)型圖元文件的庫。libEMF 1.0.11及之前版本中存在緩沖區(qū)溢出漏洞。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時(shí),未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯(cuò)誤的讀寫操作。攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-28252
4、Motrix Linux版本存在命令執(zhí)行漏洞
Motrix是一款全能的下載工具,支持下載 HTTP、FTP、BT、磁力鏈、百度網(wǎng)盤等資源。Motrix Linux版本存在命令執(zhí)行漏洞,攻擊者可以利用此漏洞上傳文件到系統(tǒng)指定位置,使安裝此軟件系統(tǒng)進(jìn)行反彈shell等操作。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27937
5、Zoho ManageEngine DataSecurity Plus授權(quán)問題漏洞
Zoho ManageEngine DataSecurity Plus是美國卓豪(Zoho)公司的一套敏感數(shù)據(jù)管理解決方案。該產(chǎn)品具有數(shù)據(jù)防泄漏、數(shù)據(jù)風(fēng)險(xiǎn)評估和文件服務(wù)器審核等功能。Zoho ManageEngine DataSecurity Plus存在授權(quán)問題漏洞,該漏洞源于程序使用默認(rèn)管理員憑據(jù)與DataEngine Xnode服務(wù)器進(jìn)行通信。攻擊者可利用該漏洞繞過身份驗(yàn)證,并在admin用戶上下文中執(zhí)行任意操作。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-28454
二、境內(nèi)廠商產(chǎn)品漏洞
1、php簡易掃碼付教育收費(fèi)系統(tǒng)存在SQL注入漏洞(CNVD-2020-27166)
php簡易掃碼付教育收費(fèi)系統(tǒng)是一個(gè)以Php+MySql進(jìn)行開發(fā)的查詢與收費(fèi)軟件。php簡易掃碼付教育收費(fèi)系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27166
2、稻草人企業(yè)站存在文件上傳漏洞
稻草人企業(yè)站是一款基于PHP+Sqlite/MySQL的開源簡單小巧的免費(fèi)企業(yè)網(wǎng)站系統(tǒng)。稻草人企業(yè)站存在文件上傳漏洞,攻擊者可利用該漏洞獲取網(wǎng)站服務(wù)器權(quán)限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27186
3、freeCMS v1.5存在文件上傳漏洞
FreeCMS是一款開源免費(fèi)CMS系統(tǒng)。FreeCMS v1.5存在文件上傳漏洞,攻擊者可利用該漏洞上傳任意文件獲取系統(tǒng)shell。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-24738
4、JunAms內(nèi)容管理系統(tǒng)存在SQL注入漏洞(CNVD-2020-24742)
JunAMS是一款以ThinkPHP為框架的開源內(nèi)容管理系統(tǒng)。JunAMS內(nèi)容管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-24742
5、夢想cms v1.4(lmxcms)后臺存在文件上傳漏洞
夢想cms以下簡稱“l(fā)mxcms”,是由“10年”(網(wǎng)名)開發(fā)的一套簡單實(shí)用的網(wǎng)站管理系統(tǒng)(cms),完全免費(fèi)開源。夢想cms v1.4(lmxcms)后臺存在文件上傳漏洞,攻擊者可利用該漏洞獲取網(wǎng)站服務(wù)器管理權(quán)限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27927
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。