0371-60127539
400-6620-135

    您所在的位置: 首頁 > 安全研究 > 安全通告 > 一周產品安全漏洞(20200511-20200517)

一周產品安全漏洞(20200511-20200517)


  一、境外廠商產品漏洞


       1、Mysql jdbc 驅動存在XML實體注入漏洞

  MySQL AB是由MySQL創始人和主要開發人創辦的公司。Mysql jdbc 驅動存在XML實體注入漏洞,攻擊者可利用該漏洞獲取服務器權限。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2020-27158


  2、JetBrains IntelliJ IDEA許可證服務器解析漏洞

  JetBrains IntelliJ IDEA是捷克JetBrains公司的一套適用于Java語言的集成開發環境。JetBrains IntelliJ IDEA 2020.1之前版本中存在安全漏洞。攻擊者可利用該漏洞將授權服務器解析到不可信的主機上。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2020-27765


  3、libEMF緩沖區溢出漏洞

  libEMF是一款用于生成增強型圖元文件的庫。libEMF 1.0.11及之前版本中存在緩沖區溢出漏洞。該漏洞源于網絡系統或產品在內存上執行操作時,未正確驗證數據邊界,導致向關聯的其他內存位置上執行了錯誤的讀寫操作。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2020-28252


  4、Motrix Linux版本存在命令執行漏洞

  Motrix是一款全能的下載工具,支持下載 HTTP、FTP、BT、磁力鏈、百度網盤等資源。Motrix Linux版本存在命令執行漏洞,攻擊者可以利用此漏洞上傳文件到系統指定位置,使安裝此軟件系統進行反彈shell等操作。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2020-27937


  5、Zoho ManageEngine DataSecurity Plus授權問題漏洞

  Zoho ManageEngine DataSecurity Plus是美國卓豪(Zoho)公司的一套敏感數據管理解決方案。該產品具有數據防泄漏、數據風險評估和文件服務器審核等功能。Zoho ManageEngine DataSecurity Plus存在授權問題漏洞,該漏洞源于程序使用默認管理員憑據與DataEngine Xnode服務器進行通信。攻擊者可利用該漏洞繞過身份驗證,并在admin用戶上下文中執行任意操作。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2020-28454


  二、境內廠商產品漏洞


  1、php簡易掃碼付教育收費系統存在SQL注入漏洞(CNVD-2020-27166)

  php簡易掃碼付教育收費系統是一個以Php+MySql進行開發的查詢與收費軟件。php簡易掃碼付教育收費系統存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2020-27166


  2、稻草人企業站存在文件上傳漏洞

  稻草人企業站是一款基于PHP+Sqlite/MySQL的開源簡單小巧的免費企業網站系統。稻草人企業站存在文件上傳漏洞,攻擊者可利用該漏洞獲取網站服務器權限。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2020-27186


  3、freeCMS v1.5存在文件上傳漏洞

  FreeCMS是一款開源免費CMS系統。FreeCMS v1.5存在文件上傳漏洞,攻擊者可利用該漏洞上傳任意文件獲取系統shell。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2020-24738


  4、JunAms內容管理系統存在SQL注入漏洞(CNVD-2020-24742)

  JunAMS是一款以ThinkPHP為框架的開源內容管理系統。JunAMS內容管理系統存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫信息。

  參考鏈接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2020-24742


  5、夢想cms v1.4(lmxcms)后臺存在文件上傳漏洞

  夢想cms以下簡稱“lmxcms”,是由“10年”(網名)開發的一套簡單實用的網站管理系統(cms),完全免費開源。夢想cms v1.4(lmxcms)后臺存在文件上傳漏洞,攻擊者可利用該漏洞獲取網站服務器管理權限。


   參考鏈接:

   https://www.cnvd.org.cn/flaw/show/CNVD-2020-27927

   說明:關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。

敬請關注

金瀚信安公眾號

為國家關鍵信息基礎設施安全保駕護航!
          

客服:+86-400-6620-135

成員企業:金瀚信安(北京)科技有限公司
Copyright © 鄭州金瀚信息安全技術有限公司 All Right Reserved 豫公網安備 41010202002856號 豫ICP備16013292-2號
国产精品三级在线专区