202061日至67日关注度较高的产品安全漏洞


 

一、境外厂商产品漏洞


1.Microsoft Windows远程命令执行漏洞


Microsoft WindowsMicrosoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows存在远程命令执行漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31126


2.Cisco Firepower Threat DefenseAdaptive Security Appliances Software拒绝服务漏洞(CNVD-2020-31105


Cisco Firepower Threat DefenseFTD)和Cisco Adaptive Security AppliancesSoftwareASA Software)都是美国思科(Cisco)公司的产品。Cisco Firepower ThreatDefense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security AppliancesSoftware是一套防火墙和网络安全平台。该平台提供了对数据和网络资源的高度安全的访问等功能。Cisco ASA

SoftwareFTD Software中的Media Gateway ControlProtocol检查功能存在拒绝服务漏洞,该漏洞源于低效的内存管理,远程攻击者可利用该漏洞造成拒绝服务。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31105


3.Google chrome-launcher操作系统命令注入漏洞


Google chrome-launcher是美国谷歌(Google)公司的一款用于从Node.js启动Chrome浏览器的启动器。Google chrome-launcher(所有版本)中存在操作系统命令注入漏洞,攻击者可通过控制Linux操作系统中的$ HOME环境变量利用该漏洞执行任意命令。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31747


4.Apache Syncope代码注入漏洞


Apache Syncope是美国阿帕奇(Apache)基金会的一套用于企业环境中的开源数字身份管理系统。该系统支持身份管理、角色配置等。Apache Syncope 2.1.6之前版本中存在代码注入漏洞,攻击者可利用该漏洞注入任意的Java EL表达式,执行任意的Java代码。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31758


5.Lenovo Printer LJ4010DN输入验证错误漏洞(CNVD-2020-31083


Lenovo Printer LJ4010DN是中国联想(Lenovo)公司的一款多功能打印机。使用1.01之前版本固件的Lenovo Printer LJ4010DN中存在安全漏洞。远程攻击者可通过发送特制的数据包利用该漏洞导致打印机报错并造成打印机无法运行,直到打印机重新启动。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31083

 

二、境内厂商产品漏洞


1.金微智能餐厅存在SQL注入漏洞(CNVD-2020-31461


金微智能餐厅是一款免费的餐饮管理软件。适合各种大小型餐厅,以及快餐、中餐、西餐、火锅店等各种餐饮业态。金微智能餐厅存在SQL注入漏洞,攻击者可以利用漏洞获取数据库信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31461


2.民爆信息系统网络服务平台存在SQL注入漏洞


民爆信息系统网络服务平台是一款公安部为各省提供的管理爆破作业人员的管理系统。民爆信息系统网络服务平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库数据。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31493


3.北京1039科技发展有限公司驾校管理系统V5.0存在万能密码绕过漏洞


北京1039科技发展有限公司是一家专注驾校管理系统、驾校移动办公系统、驾校管理软件、驾校招生小程序开发等,为驾校提供无死角的驾校管理系统解决方案。北京1039科技发展有限公司驾校管理系统V5.0存在万能密码绕过漏洞,攻击者可利用该漏洞获取数据库信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31494


4.UILAS图书馆集群式区域联盟管理系统存在SQL注入漏洞(CNVD-2020-31497


UILAS图书馆集群式区域联盟管理系统采用C/S+B/S模式,C/S模式主要针对采编有高精度要要求的图书馆,C/S模式的采编系统主要是延续ILASII以及ILASIII系统的采编模块,在原有基础上进行进一步的强化以及创新;B/S模式主要是针对办证以及流通,能够在最大范围内实现通借通还功能。UILAS图书馆集群式区域联盟管理系统存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31497


5.CRMEB 打通版V2.6.13存在代码执行漏洞


CRMEB系统是集客户关系管理+营销电商系统,能够真正帮助企业基于微信公众号、小程序,实现会员关系管理、数据分析,精准营销的电子商务管理系统。CRMEB 打通版V2.6.13存在代码执行漏洞,攻击者可利用该漏洞获取服务器管理权限。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31496


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

 

 

 

(信息来源:国家信息安全漏洞共享平台)