20200525日至0531日关注度

较高的产品安全漏洞




一、境外厂商产品漏洞


1.多款ESET产品ESET AVparsing engine输入验证错误漏洞


ESET Smart Security Premium等都是斯洛伐克ESET公司的产品。Smart Security Premium是一套杀毒软件。Internet Security是一套针对互联网安全的杀毒软件。NOD32 Antivirus是一套杀毒软件。ESET AV parsing engine是其中的一个解析引擎。多款ESET产品中的ESET AV parsing engine存在安全漏洞。攻击者可借助归档文件中的BZ2 Checksum字段利用该漏洞绕过病毒检查。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-29736


2.Joomla! com_hdwplayer 'search.php' SQL注入漏洞


Joomla!是一套开源的内容管理系统(CMS)Joomla! com_


hdwplayer'search.php'存在SQL漏洞。攻击者可利用漏洞获取敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-29731


3.Weblogic WlsSSLAdapter存在远程代码执行漏洞


Oracle WebLogic Server 是一个Java应用服务器,它全面实现了J2EE 1.5规范、最新的Web服务标准和最高级的互操作标准。Weblogic WlsSSLAdapter存在远程代码执行漏洞,攻击者可以利用漏洞发送精心构造的Payload进行代码执行效。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-26375


4.WordPress Chop Slider SQL注入漏洞


WordPressWordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHPMySQL的服务器上架设个人博客网站。Chop Slider是使用在其中的一个jQuery滑块插件。WordPress Chop Slider 3版本中的get_script/index.php文件的‘idGET参数存在SQL注入漏洞。攻击者可利用该漏洞在WP数据库中执行任意SQL查询。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-29842


5.QEMU缓冲区溢出漏洞(CNVD-2020-30436


QEMUQuick Emulator)是法国法布里斯-贝拉(Fabrice Bellard)软件开发者的一套模拟处理器软件。该软件具有速度快、跨平台等特点。QEMU中存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30436


 


二、境内厂商产品漏洞


1.北京奇虎科技有限公司360安全卫士网站存在dll劫持漏洞


360安全卫士是一款由奇虎360公司推出的安全杀毒软件。北京奇虎科技有限公司360安全卫士网站存在dll劫持漏洞,攻击者可利用该漏洞执行任意代码。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-23520


2.北京百卓网络技术有限公司PatrolFlow存在SQL注入漏洞


PatrolFlow是北京百卓网络技术有限公司多业务安全网关智能管理平台。北京百卓网络技术有限公司PatrolFlow存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-28786


3.QQ浏览器安装存在dll劫持漏洞


QQ浏览器是腾讯公司开发的一款极速浏览器,支持电脑,


安卓,苹果等多种终端。QQ浏览器安装存在dll劫持漏洞,攻


击者可以利用漏洞加载不可信的动态链接库进行命令执行。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-26361


4.极致CMS存在SQL注入漏洞


极致CMS是由廊坊市极致网络科技有限公司开发的一款开源的php+mysqlcms。极致CMS存在SQL注入漏洞,攻击者可以利用漏洞获得数据库敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-26372


5.上海丹帆网络科技有限公司建站系统存在SQL注入漏洞(CNVD-2020-26367


华夏化工网建站系统是由上海丹帆网络科技有限公司创办的,是为化工行业提供安全、高效、多功能、系统配套的B2B电子商务平台的专业网站。上海丹帆网络科技有限公司建站系统存在SQL注入漏洞。攻击者利用漏洞获取数据库敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-26367


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


(信息来源:国家信息安全漏洞共享平台)