2019年122日至128日关注度较高的产品安全漏洞


一、境外厂商产品漏洞


1.BeeGFS权限提升漏洞


BeeGFS是一款在HPC环境中使用的并行集群文件系统。BeeGFS存在权限提升漏洞,攻击者可利用该漏洞获取root权限。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-44106


2.Pluck-CMS存在命令执行漏洞


Pluck是一个非常简单易用的PHP平台CMS(内容管理系统)。Pluck-CMS存在命令执行漏洞,攻击者可利用该漏洞执行远程代码获取WEB应用权限。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43063


3.HP ThinPro Linux权限提升漏洞


HP ThinPro Linux是美国惠普(HP)公司的一套用于HP瘦客户机的操作系统。HP ThinPro Linux中存在安全漏洞。攻击者可利用该漏洞获取提升的权限,在本地文件系统上创建文件,进而以提升的权限执行命令。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43731


4.IBM Security Identity Manager任意代码执行漏洞


IBM Security Identity Manager(ISIM)是美国IBM公司的一套身份管理和治理解决方案。该方案可在整个用户生命周期内自动创建、修改、重新认证和终止用户特权,并支持基于策略的密码管理。IBM ISIM 6.0.0版本中存在安全漏洞。远程攻击者可通过诱使用户访问特制网站利用该漏洞在系统上执行任意代码。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43051


5.Google Android System权限提升漏洞(CNVD-2019-44266


Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。System是其中的一个系统组件。Google Android中的System存在安全漏洞。攻击者可利用该漏洞提升权限。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-44266


二、境内厂商产品漏洞


1.京伦建站系统存在SQL注入漏洞


武汉京伦科技开发有限公司是一家主要经营软件开发、系统集成、数字媒体营销等项目的公司。京伦建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43059


2.opensns存在文件包含漏洞


OpenSNS是基于OneThink的轻量级社交化用户中心框架,系统秉持简约的设计风格,注重交流,为用户提供了一套轻量级的社交方案。OpenSNS存在文件包含漏洞,攻击者可利用该漏洞获取网站服务器控制权。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43067


3.网站安全狗的SQL注入拦截功能存在绕过漏洞(CNVD-2019-41613


安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器安全防护工具。网站安全狗的SQL注入拦截功能存在绕过漏洞。攻击者可绕过网站安全狗的SQL注入拦截功能,获取数据库敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41613


4.酷奇高校人事管理系统存在SQL注入漏洞


酷奇高校人事管理系统软件是一款面向高校人事管理业务的软件。酷奇高校人事管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41675


5.ZhiCms V1.0.4存在代码执行漏洞


ZhiCms是一款基于PHPmysql技术的企业建站系统。ZhiCms v1.0.4版本中存在代码执行漏洞,该漏洞是由于系统对输入的参数未能进行有效的过滤。攻击者可利用该漏洞写入木马并执行,从而获取shell


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-43075

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。



(信息来源:国家信息安全漏洞共享平台)