当前位置：首页 > 资讯 > 软件开发应用 > 游戏开发

上周关注度较高的产品安全漏洞(20191216-20191222)

分类：软件开发应用时间：2019-12-23 18:04 浏览：673

概述

一、境外厂商产品漏洞1、Siemens SPPA-T3000 Application Server不当身份验证漏洞（CNVD-2019-45416）SPPA-T3000是一种分布式控制系统，主要应用于火力发电厂和大型可再生能源发电厂。Application Server是其中的应用服务器，提供主要的系

内容

一、境外厂商产品漏洞

1、Siemens SPPA-T3000 Application Server不当身份验证漏洞（CNVD-2019-45416）

SPPA-T3000是一种分布式控制系统，主要应用于火力发电厂和大型可再生能源发电厂。Application Server是其中的应用服务器，提供主要的系统服务，包括访问控制、向瘦客户端分发数据和存档。Siemens SPPA-T3000Application Server存在安全漏洞。该漏洞源于Application Server的AdminService无需认证即可使用。攻击者可通过AdminService接口公开的方法利用该漏洞接收其他用户的密码哈希并更改用户密码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2019-45416

2、Slibnbd输入验证错误漏洞

libnbd是一款用于编辑NBD（Network Block Device）客户端的库。libnbd中存在输入验证错误漏洞。攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2019-46404

3、ED01-CMS存在SQL注入漏洞

ED01-CMS是一款内容管理系统。ED01-CMS存在SQL注入漏洞。攻击者可利用该漏洞获取管理员敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2019-45173

4、Siemens SPPA-T3000 Application Server文件上传漏洞

SPPA-T3000是一种分布式控制系统，主要应用于火力发电厂和大型可再生能源发电厂。Application Server是其中的应用服务器，提供主要的系统服务，包括访问控制、向瘦客户端分发数据和存档。Siemens SPPA-T3000Application Server存在安全行漏洞。在RMI接口上具有有效身份验证的攻击者可以通过不安全的文件上传获得远程代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2019-45412

5、CloudBees Jenkins WebSphere Deployer Plugin授权问题漏洞

CloudBees Jenkins（Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。WebSphere Deployer Plugin是使用在其中的一个部署插件。CloudBees JenkinsWebSphere Deployer Plugin 1.6.1及之前版本中存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。攻击者可以利用该漏洞访问未被授权的资源。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2019-46259

二、境内厂商产品漏洞

1、洛阳万谦网络科技有限公司建站系统存在SQL注入漏洞

洛阳万谦网络科技有限公司是洛阳地区互联网业最具规模和实力的企业之一，主要针对全国大中小企业、团体和机构，提供高品质的网站建设、网络推广、电子商务平台搭建、办公自动化管理软件的开发与运用等网络软件服务。洛阳万谦网络科技有限公司建站系统存在SQL注入漏洞，攻击者可以利用漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2019-43659

2、TP-Link TL-WR841N缓冲区溢出漏洞

TP-Link TL-WR841N是中国普联（TP-Link）公司的一款无线路由器。TP-LINK TL-WR841N中的Web服务（默认情况下监听TCP 80端口）存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2019-46402

3、zzzcms zzzphp后台存在XML实体注入漏洞

zzzcms zzzphp是一套内容管理系统(CMS)。zzzcms zzzphp后台存在XML实体注入漏洞。攻击者可利用漏洞越权访问任意目录下的文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2019-43868

4、phpStudy存在dll劫持漏洞

phpStudy是一个PHP调试环境的程序集成包。phpStudy存在dll劫持漏洞。攻击者可利用漏洞导致代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2019-43879

5、XYHCMS 3.6存在SQL注入漏洞

行云海CMS(XYHCMS)是完全开源的一套CMS内容管理系统，简洁、易用。XYHCMS 3.6存在SQL注入漏洞，攻击者可以利用漏洞获取数据库敏感信息。