2020年7月20日至7月26日关注度较高的产品安全漏洞
一、境外厂商产品漏洞
1、Microsoft Visual Studio Code ESLint Extention命令注入漏洞
Microsoft Visual Studio Code是美国微软(Microsoft)公司的一款开源的代码编辑器。Microsoft Visual StudioCode ESLint Extention中存在命令注入漏洞。攻击者可利用该漏洞在当前用户的上下文中运行任意代码。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41742
2.Cisco SD-WAN vManage Software XML外部实体注入漏洞
Cisco SD-WAN vManage Software是美国思科(Cisco)公司的一款用于SD-WAN(软件定义广域网络)解决方案的管理软件。Cisco SD-WAN vManageSoftware 19.2.2及之前版本中的Web UI存在XML外部实体注入漏洞,该漏洞源于程序未能正确解析XML外部实体条目,远程攻击者可借助特制XML文件利用该漏洞在受影响的应用程序中读写文件。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41237
3.ABB IRC5信任管理问题漏洞
ABB IRC5是一款机器人控制系统。ABB IRC5存在信任管理问题漏洞 ,远程攻击者可利用该漏洞提交特殊的请求,未授权访问系统。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41210
4.Fortinet FortiAP-S、FortiAP-W2和FortiAP-U输入验证错误漏洞
Fortinet FortiAP-S等都是美国飞塔(Fortinet)公司的一款用于管理无线接入点设备的控制器。FortiAP-S、FortiAP-W2和FortiAP-U中的FortiAP CLI管理控制台存在输入验证错误漏洞。攻击者可借助CLI中特制的tcpdump命令利用该漏洞覆盖系统文件。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41086
5.MunkiReport SQL注入漏洞(CNVD-2020-42246)
Munkireport是一款用于Munki软件管理程序的报告工具。MunkiReport 5.6.3之前版本中的TableQuery.php文件存在SQL注入漏洞。攻击者可通过向/datatables/data发送带有order[0][dir]字段的POST请求利用该漏洞执行任意SQL命令。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-42246
二、境内厂商产品漏洞
1.160软件管家存在dll劫持漏洞
160软件管家是一款智能软件管理工具。160软件管家存在dll劫持漏洞,攻击者可利用该漏洞加载恶意dll,执行任意命令。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33962
2.宿迁市展鸿网络科技有限公司建站系统ne***.asp页面存在SQL注入漏洞
宿迁市展鸿网络科技有限公司是宿迁一家提供网站建设、网页设计、网页制作、网络推广、电子样本制作专业服务公司。宿迁市展鸿网络科技有限公司建站系统ne***.asp页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33959
3.教育资源公共服务平台存在SQL注入漏洞
教育资源公共服务平台是以云计算为基础,通过信息技术与教学过程深度融合,搭建涵盖核心应用的教育云平台。教育资源公共服务平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-41775
4.宿迁市展鸿网络科技有限公司建站系统存在SQL注入漏洞
宿迁市展鸿网络科技有限公司是宿迁一家提供网站建设、网页设计、网页制作、网络推广、电子样本制作专业服务公司。宿迁市展鸿网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33958
5.智能养老云平台存在SQL注入漏洞
广西金中软件有限公司是一家集软件开发、网站建设、网络工程、系统集成和维护服务、通信增值业务和ISP运营服务于一体的高科技IT企业。智能养老云平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33978
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。