一、境外厂商产品漏洞
1、Siemens SPPA-T3000 Application Server不当身份验证漏洞(CNVD-2019-45416)
SPPA-T3000是一种分布式控制系统,主要应用于火力发电厂和大型可再生能源发电厂。Application Server是其中的应用服务器,提供主要的系统服务,包括访问控制、向瘦客户端分发数据和存档。Siemens SPPA-T3000Application Server存在安全漏洞。该漏洞源于Application Server的AdminService无需认证即可使用。攻击者可通过AdminService接口公开的方法利用该漏洞接收其他用户的密码哈希并更改用户密码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-45416
2、Slibnbd输入验证错误漏洞
libnbd是一款用于编辑NBD(Network Block Device)客户端的库。libnbd中存在输入验证错误漏洞。攻击者可利用该漏洞执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-46404
3、ED01-CMS存在SQL注入漏洞
ED01-CMS是一款内容管理系统。ED01-CMS存在SQL注入漏洞。攻击者可利用该漏洞获取管理员敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-45173
4、Siemens SPPA-T3000 Application Server文件上传漏洞
SPPA-T3000是一种分布式控制系统,主要应用于火力发电厂和大型可再生能源发电厂。Application Server是其中的应用服务器,提供主要的系统服务,包括访问控制、向瘦客户端分发数据和存档。Siemens SPPA-T3000Application Server存在安全行漏洞。在RMI接口上具有有效身份验证的攻击者可以通过不安全的文件上传获得远程代码执行。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-45412
5、CloudBees Jenkins WebSphere Deployer Plugin授权问题漏洞
CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。WebSphere Deployer Plugin是使用在其中的一个部署插件。CloudBees JenkinsWebSphere Deployer Plugin 1.6.1及之前版本中存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。攻击者可以利用该漏洞访问未被授权的资源。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-46259
二、境内厂商产品漏洞
https://www.cnvd.org.cn/flaw/show/CNVD-2019-43659
2、TP-Link TL-WR841N缓冲区溢出漏洞
TP-Link TL-WR841N是中国普联(TP-Link)公司的一款无线路由器。TP-LINK TL-WR841N中的Web服务(默认情况下监听TCP 80端口)存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-46402
3、zzzcms zzzphp后台存在XML实体注入漏洞
zzzcms zzzphp是一套内容管理系统(CMS)。zzzcms zzzphp后台存在XML实体注入漏洞。攻击者可利用漏洞越权访问任意目录下的文件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-43868
4、phpStudy存在dll劫持漏洞
phpStudy是一个PHP调试环境的程序集成包。phpStudy存在dll劫持漏洞。攻击者可利用漏洞导致代码执行。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-43879
5、XYHCMS 3.6存在SQL注入漏洞
行云海CMS(XYHCMS)是完全开源的一套CMS内容管理系统,简洁、易用。XYHCMS 3.6存在SQL注入漏洞,攻击者可以利用漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-43821
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
苏公网安备 32132202001088号
| Copyright 北极熊 北格技术 版权所有