我的位置 首页  >  新闻动态  >  国内新闻

上周关注度较高的产品安全漏洞(20190520-20190526)

来源:科技成果转化中心时间:2019-06-05
      

一、境外厂商产品漏洞

1、NGINX njs缓冲区溢出漏洞(CNVD-2019-14972)

NGINX是美国NGINX公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。njs是其中的一个支持扩展NGINX功能的脚本语言组件。NGINX中使用的njs 0.3.1及之前版本的nxt/nxt_utf8.c文件的‘nxt_utf8_decode’函数存在缓冲区溢出漏洞,攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14972

2、OpenEMR SQL注入漏洞(CNVD-2019-14806)

OpenEMR是OpenEMR社区的一套开源的医疗管理系统。该系统可用于医疗实践管理、电子医疗记录、处方书写和医疗帐单申请。OpenEMR 5.0.1 Patch 7之前版本中的/interface/forms/eye_mag/php/taskman_functions.php文件的‘make_task’函数存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14806

3、BMC Software PATROL Agent加密问题漏洞

BMC Software PATROL Agent是美国BMC Software公司的一款BMC ProactiveNet架构的核心组件,它主要用于监控和管理分布式环境。BMC PATROL Agent 11.3.01及之前版本中存在加密问题漏洞,该漏洞源于程序使用静态密钥加密/解密用户凭证,攻击者可利用该漏洞执行代码或提升权限。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15114

4、UltraVNC越界访问漏洞

UltraVNC是一款用于Windows平台的开源远程终端控制软件。RAW decoder是其中的一个RAW解码器。UltraVNC 1203版本中的RAW解码器的VNC客户端存在安全漏洞。攻击者可利用该漏洞执行代码(越界访问)。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-15210

5、Siemens SIMATIC PCS 7和SIMATIC WinCC访问控制错误漏洞

Siemens SIMATIC PCS 7和SIMATIC WinCC都是德国西门子(Siemens)公司的产品。SIMATIC PCS 7是一套过程控制系统。SIMATIC WinCC是一套自动化的数据采集与监控(SCADA)系统。Siemens SIMATIC PCS 7和SIMATIC WinCC中存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。攻击者可利用该漏洞获取网站访问权限。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14819

 

二、境内厂商产品漏洞

1、HongCMS v4.0.0存在任意文件读取漏洞

HongCMS是一套开源的轻量级内容管理系统(CMS)。HongCMS v4.0.0存在任意文件读取漏洞。攻击者可通过构造特定payload实现远程读写任意文件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13617

2、网站安全狗(Apache)v4.0存在webshell绕过漏洞(CNVD-2019-13616)

网站安全狗(Apache版)是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。网站安全狗(Apache版)v4.0存在webshell绕过漏洞,攻击者可利用该漏洞执行系统命令。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13616

3、合肥一浪网络科技有限公司建站系统存在SQL注入漏洞

合肥一浪网络科技有限公司是一家专业从事互联网技术服务、开发及应用的公司。合肥一浪网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13619

4、利友CMS存在SQL注入漏洞

西安利友科技有限公司是一家主营域名注册、虚拟主机、网站策划、网站建设、网站推广、网站优化、软件开发、企业视频拍摄及网上宣传等业务的公司。

利友CMS存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13277

5、景腾多媒体股份有限公司cms存在SQL注入漏洞

景腾多媒体股份有限公司是一家为企业搭建网站的公司。景腾多媒体股份有限公司cms存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13613


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

       (科技成果转化中心供稿)