我的位置 首页  >  新闻动态  >  国内新闻

上周关注度较高的产品安全漏洞(20190701-20190707)

来源:科技成果转化中心时间:2019-07-10
      

一、境外厂商产品漏洞

1、FreeBSD缓冲区溢出漏洞(CNVD-2019-21251)

FreeBSD是FreeBSD基金会的一套类Unix操作系统。FreeBSD中的iconv实现存在安全漏洞。攻击者可利用该漏洞造成拒绝服务,造成程序运行错误或执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2019-21251

2、Cisco Unified Communications Manager缓冲区溢出漏洞(CNVD-2019-21308)

Cisco Unified Communications Manager(CUCM,Unified CM,CallManager)是美国思科(Cisco)公司的一款统一通信系统中的呼叫处理组件。该组件提供了一种可扩展、可分布和高可用的企业IP电话呼叫处理解决方案。Cisco CUCM中的SIP协议实现存在缓冲区错误漏洞,该漏洞源于程序未能充分地验证输入的SIP流量。远程攻击者可通过发送畸形的SIP数据包利用该漏洞造成拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2019-21308

3、Synology Photo Station SQL注入漏洞(CNVD-2017-27712)

Synology Photo Station是群晖科技(Synology)公司的一套用于在互联网上共享图片、视频和博客的解决方案。Synology Photo Station6.7.4-3433之前的版本和6.3-2968之前的版本中存在SQL注入漏洞。远程攻击者可通过向label.php文件发送‘article_id’参数或向synotheme.php文件发送‘type’参数执行任意的SQL命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2017-27712

4、numexpr存在命令执行漏洞

numexpr是Python一款工具包。numexpr存在命令执行漏洞。攻击者可利用此漏洞执行系统命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2019-17298

5、Chamilo LMS代码执行漏洞

Chamilo LMS是Chamilo协会的一套开源的在线学习和协作系统。该系统支持创建教学内容、远程培训和在线答题等。Chamilo LMS 1.11.8版本和2.x版本中存在安全漏洞,该漏洞源于程序未能检查ZIP归档文件内容便直接提取了ZIP归档文件。攻击者可利用该漏洞执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2019-20977

 

二、境内厂商产品漏洞

1、SemCms存在SQL注入漏洞

SemCms是一套开源外贸企业网站管理系统,主要用于外贸企业。SemCms存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2019-16783

2、至成科技cms存在文件上传漏洞

西安至成信息科技有限公司是陕西省直接由工信部评测,陕西省通信管理局批准,可经营电信增值业务的ICP/ISP企业之一。至成科技cms存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2019-16579

3、YUNUCMS存在命令执行漏洞

YUNUCMS是中国云优(YUNU)网络科技公司的一套开源的企业建站内容管理系统(CMS)。YUNUCMS存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2019-16781

4、株洲之窗信息网络文化科技有限公司建站系统ne***.asp页面存在SQL注入漏洞

株洲之窗信息网络文化科技有限公司从事软件开发、网络营销及企业网络信息化解决方案。株洲之窗信息网络文化科技有限公司建站系统ne***.asp页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2019-17289

5、zzzphp v1.6.6 后台存在代码执行漏洞(CNVD-2019-17282)

zzzphp是采用PHP开发的免费建站整站系统。zzzphp V1.6.6后台存在代码执行漏洞,攻击者可利用该漏洞获取网站服务器控制权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2019-17282


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

       (科技成果转化中心供稿)