上周關注度較高的產品安全漏洞(20190401-20190407)
發布時間:2019-04-09一、境外廠商產品漏洞
1、VMware Fusion虛擬機端遠程代碼執行漏洞
VMware Fusion是VMware公司出品的一款適用于Mac操作系統的虛擬機軟件。攻擊者可通過VMware Fusion在本地啟動的WebSocket API接口在所有已安裝VMware Tools的虛擬機上利用該漏洞執行任意代碼。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08856
2、Fortinet FortiOS堆緩沖區溢出漏洞
Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。該系統為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-09073
3、Advantech WebAccess/SCADA不正確的訪問控制漏洞
Advantech WebAccess/SCADA是研華(Advantech)公司的一套基于瀏覽器架構的SCADA軟件。該軟件支持動態圖形顯示和實時數據控制,并提供遠程控制和管理自動化設備的功能。攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08947
4、Joomla Sobi2 SobiPro組件SQL注入漏洞
Joomla是一套開源的內容管理系統(CMS)。攻擊者可利用漏洞獲取數據庫敏感信息。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-08950
5、KindEditor編輯器存在目錄遍歷漏洞
KindEditor 是一套開源的在線HTML編輯器。攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-06739
二、境內廠商產品漏洞
1、合優網絡建站系統存在SQL注入漏洞
合優網絡公司專注于在信息科技領域中向客戶提供網絡商業解決方案。攻擊者可利用該漏洞獲取數據庫敏感信息。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-06369
2、海納企業網站管理系統 V2.1存在代碼執行漏洞
海納企業網站管理系統是一款針對中小型企業網站開發的網站程序。攻擊者可利用該漏洞獲取網站權限。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-06370
3、SGO南方衛星導航平臺軟件存在任意代碼執行漏洞
廣州南方衛星導航儀器有限公司隸屬于南方測繪集團,是國內首家貫通高精度GNSS技術產業鏈,實現規模化、市場化應用的國家高新技術企業。攻擊者可利用該漏洞執行任意代碼。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-07682
4、zzzphp V1.6.0后臺存在代碼執行漏洞
zzzphp是采用PHP開發的免費建站整站系統。攻擊者可利用該漏洞注入任意代碼并執行。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-05488
5、啟明星工作日志Worklog 25.0系統前臺存在SQL注入漏洞
啟明星工作日志系統Worklog是一款構架企業內部協同辦公的基于B/S的軟件。攻擊者可利用該漏洞對數據庫進行操作。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-06367
說明:關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
