上周關(guān)注度較高的產(chǎn)品安全漏洞(20190325-20190331)
發(fā)布時(shí)間:2019-04-03一、境外廠商產(chǎn)品漏洞
1、SoftNAS Cloud命令執(zhí)行漏洞
SoftNAS Cloud是美國SoftNAS公司的一套軟件定義的NAS文件管理系統(tǒng)。遠(yuǎn)程攻擊者可利用該漏洞創(chuàng)建新的用戶或以管理權(quán)限執(zhí)行任意命令。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-08081
2、SolarWinds Orion Platform權(quán)限提升漏洞
SolarWinds Orion Platform是美國SolarWinds公司的一套網(wǎng)絡(luò)故障和網(wǎng)絡(luò)性能管理平臺。攻擊者可借助RabbitMQ服務(wù)利用該漏洞提升權(quán)限。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-08721
3、PostgreSQL任意代碼執(zhí)行漏洞
PostgreSQL是數(shù)據(jù)庫軟件,可運(yùn)行在所有主流操作系統(tǒng)上,包括Linux、Windows、Mac OS X等。攻擊者利用此漏洞執(zhí)行任意系統(tǒng)命令。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-08279
4、Dell EMC NetWorker遠(yuǎn)程代碼執(zhí)行漏洞
Dell EMC NetWorker是美國戴爾(Dell)公司的一套統(tǒng)一備份和恢復(fù)軟件。遠(yuǎn)程攻擊者可借助RPC服務(wù)利用該漏洞發(fā)送并在主機(jī)系統(tǒng)上以nsrexecd服務(wù)權(quán)限執(zhí)行任意命令。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-08292
5、IBM Sterling B2B Integrator XML外部實(shí)體注入漏洞(CNVD-2019-08291)
IBM Sterling B2B Integrator是美國IBM公司的一套集成了重要的B2B流程、交易和關(guān)系的軟件。遠(yuǎn)程攻擊者可利用該漏洞泄露敏感信息或消耗內(nèi)存資源。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-08291
二、境內(nèi)廠商產(chǎn)品漏洞
1、山東至信信息科技有限公司建站系統(tǒng)存在SQL注入漏洞
山東至信信息科技有限公司是一家集軟件研發(fā)、系統(tǒng)集成、物聯(lián)網(wǎng)、虛擬現(xiàn)實(shí)、大數(shù)據(jù)、云計(jì)算、人工智能及互聯(lián)網(wǎng)服務(wù)為一體的綜合性高新技術(shù)企業(yè)。攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-06198
2、Ectouch前臺Ex***.cl***.php文件存在SQL注入漏洞
ECTouch是上海商創(chuàng)網(wǎng)絡(luò)科技有限公司推出的一款移動商城網(wǎng)店系統(tǒng)。攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-06662
3、啟明星投標(biāo)系統(tǒng)Bid前臺Wo***.aspx頁面存在SQL注入漏洞
啟明星投標(biāo)系統(tǒng)Bid是一款適合企業(yè)對政府采購、工程建設(shè)、土地出讓等招標(biāo)信息進(jìn)行資料收集,并對中標(biāo)項(xiàng)目的工程進(jìn)度、付款進(jìn)行進(jìn)行跟蹤的系統(tǒng)。攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-06240
4、電子文檔庫eDoc前臺Do***.aspx頁面存在SQL注入漏洞
電子文檔庫eDoc是一款安徽啟明星工作室開發(fā)的點(diǎn)擊文檔管理系統(tǒng)。攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-06241
5、泰州智搜網(wǎng)絡(luò)科技有限公司建站系統(tǒng)Pr***.asp頁面存在SQL注入漏洞
泰州智搜網(wǎng)絡(luò)科技有限公司是一家從事網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)站改版,網(wǎng)站優(yōu)化的網(wǎng)絡(luò)公司。攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-06378
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。