202068日至614日关注度较高的产品安全漏洞

 

一、境外厂商产品漏洞


1.Apple macOS Catalina Wi-Fi组件内存破坏漏洞(CNVD-2020-32217


Apple macOS Catalina是美国苹果(Apple)公司的一套专为Mac计算机所开发的专用操作系统。Wi-Fi是其中的一个无线上网组件。Apple macOS Catalina10.15.5之前版本中的Wi-Fi组件存在内存破坏漏洞,攻击者可利用该漏洞以内核权限执行任意代码。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-32217


2.Cisco IOS XE命令注入漏洞(CNVD-2020-31959


Cisco IOS XE是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。Cisco IOS XE Software中引导程序选项的处理存在命令注入漏洞,该漏洞源于处理引导程序选项时未充分验证输入信息。攻击者可通过修改设备引导程序选项利用该漏洞绕过安全启动过程,并以root权限在受影响的设备上执行恶意代码。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31959


3.Apache log4net XXE漏洞


Apache log4net是美国阿帕奇(Apache)软件基金会的一款日志输出工具。Apache log4net 2.0.8之前版本中log4net配置文件的解析过程存在安全漏洞。攻击者可借助特制XML内容利用该漏洞迫使系统接受任意配置文件。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-32847


4.多款ABB产品信息泄露漏洞


ABB Ability System 800xA等都是瑞士ABB公司的产品。ABB Ability System 800xA是一套用于工控行业的分布式控制系统。ABB Compact HMI是一套监控和数据采集系统。ABB Control Builder Safe是一款用于配置和下载AC 800M High Integrity安全应用程序的工程工具。多款ABB产品中存在信息泄露漏洞,该漏洞源于程序将敏感信息写入到未被保护的文件,攻击者可利用该漏洞完全控制设备。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-32228


5.IBM WebSphere Application Server代码问题漏洞(CNVD-2020-32642


IBM WebSphere Application ServerWAS)是美国IBM公司的一款应用服务器产品。该产品是JavaEEWeb服务应用程序的平台,也是IBMWebSphere软件平台的基础。IBM WebSphere ApplicationServer存在代码问题漏洞。攻击者可利用该漏洞执行任意代码。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-32642

 

二、境内厂商产品漏洞


1.盈可视高清录播系统存在命令执行漏洞


广州盈可视电子科技有限公司(以下简称Ncast),成立于2007年,是一家专注于多媒体通信、视音频编解码、智能图像处理三大领域的高新科技企业。盈可视高清录播系统存在命令执行漏洞,攻击者可利用该漏洞获取网站服务器管理员权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31063


2.苏州恩斯特网络科技有限公司建站系统存在SQL注入漏洞(CNVD-2020-31066


苏州恩斯特网络科技有限公司是一家提供网站建设、网站优化(租/售)的网络公司。苏州恩斯特网络科技有限公司建站系存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31066


3.四川众望升腾科技有限公司学工管理系统存在逻辑缺陷漏洞


学工管理系统是一款为学校展示部门信息,发布相关通知公告、学校新闻的管理系统。四川众望升腾科技有限公司学工管理系统存在逻辑缺陷漏洞,攻击者可利用该漏洞获取服务器管理员权限。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-31069


4.YMBCMS管理系统模板文件上传漏洞


河北欧润天腾科技发展有限公司,是一家专注于为企业开发五站合一「电脑网站+手机网站+微信公众平台+APP+小程序」服务的互联网企业。YMBCMS管理系统模板文件上传漏洞,攻击者可利用该漏洞获取服务器权限。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-29884


5.上海银狐信息科技有限公司建站系统存在SQL注入漏洞


上海银狐信息科技有限公司是一家致力于企业信息化技术服务的高科技公司。上海银狐信息科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。


参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30218

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

 

 

 

(信息来源:国家信息安全漏洞共享平台)