我的位置 首页  >  新闻动态  >  国内新闻

上周关注度较高的产品安全漏洞(20190513-20190519)

来源:科技成果转化中心时间:2019-05-29
      

一、境外厂商产品漏洞

1、MikroTik RouterOS目录遍历漏洞

MikroTik RouterOS是拉脱维亚MikroTik公司的一套基于Linux开发的路由器操作系统。该系统可部署在PC中,使其提供路由器功能。MikroTik RouterOS Stable 6.43.12及之前版本、Long-term 6.42.12及之前版本和Testing 6.44beta75及之前版本中存在目录遍历漏洞,该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13856

2、Schneider Electric U.Motion Builder track_import_export.php object_id未经验证命令注入漏洞

U.motion Builder是法国施耐德电气(Schneider Electric)公司的一款生成器产品。Schneider Electric U.Motion Builder track_import_export.php object_id存在安全漏洞。该漏洞是由于应用程序未能正确地验证和过滤此参数,攻击者可利用漏洞插入任意命令。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14275

3、WordPress插件Form Maker SQL注入漏洞

WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress插件Form Maker存在SQL注入漏洞。攻击者可利用漏洞获取敏感信息。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14252

4、IBM DB2栈缓冲区溢出漏洞

IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2 libdb2e.so.1中存在基于栈的缓冲区溢出漏洞,该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14074

5、PHP-Fusion 'Edit Profile'远程代码执行漏洞

PHP-Fusion是一套基于MySql和PHP的开源轻量级内容管理系统。PHP-Fusion 'Edit Profile'存在远程代码执行漏洞。攻击者可利用漏洞使用普通用户权限在系统中执行命令。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14278


二、境内厂商产品漏洞

1、EarCMS前台存在文件上传漏洞

EarCMS是一款PHP开源系统。EarCMS前台存在文件上传漏洞,攻击者可以利用漏洞上传恶意文件,该漏洞可获取服务器权限。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-12763

2、Four Faith工业级路由器远程命令执行漏洞

厦门四信通信科技有限公司(Four Faith)是一家物联网无线通信产品与解决方案提供商。Four Faith工业级路由器存在远程命令执行漏洞,攻击者可登陆Web管理界面利用该漏洞以admin权限执行任意命令。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13863

3、Jfinal cms后台存在代码执行漏洞

Jfinal cms采用了JFinal作为web框架,模板引擎用的是beetl,数据库用mysql,前端bootstrap、flat ui等框架。Jfinal cms后台存在代码执行漏洞。攻击者利用漏洞可执行任意代码。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-12353

4、DedeCMS al***_ed***.php文件存在文件上传漏洞

织梦内容管理系统(DedeCMS)是一款PHP开源网站管理系统。DedeCMS al***_ed***.php文件存在文件上传漏洞。允许攻击者上传webshell,获得服务器权限。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-12357

5、MKCMS SQL注入漏洞

MKCMS是一套内容管理系统。MKCMS V5.0版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14075


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

       (科技成果转化中心供稿)