2020年5月11日至5月17日关注度较高的产品安全漏洞

发布时间：2020-05-21 17:03

2020年05月11日至05月17日关注度较高的产品安全漏洞

一、境外厂商产品漏洞

1.Mysql jdbc 驱动存在XML实体注入漏洞

MySQL AB是由MySQL创始人和主要开发人创办的公司。Mysql jdbc 驱动存在XML实体注入漏洞，攻击者可利用该漏洞获取服务器权限。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2020-27158

2.JetBrains IntelliJ IDEA许可证服务器解析漏洞

JetBrains IntelliJ IDEA是捷克JetBrains公司的一套适用于Java语言的集成开发环境。JetBrains IntelliJ IDEA2020.1之前版本中存在安全漏洞。攻击者可利用该漏洞将授权服务器解析到不可信的主机上。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2020-27765

3.libEMF缓冲区溢出漏洞

libEMF是一款用于生成增强型图元文件的库。libEMF 1.0.11及之前版本中存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2020-28252

4.Motrix Linux版本存在命令执行漏洞

Motrix是一款全能的下载工具，支持下载 HTTP、FTP、BT、磁力链、百度网盘等资源。Motrix Linux版本存在命令执行漏洞，攻击者可以利用此漏洞上传文件到系统指定位置，使安装此软件系统进行反弹shell等操作。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2020-27937

5.Zoho ManageEngine DataSecurity Plus授权问题漏洞

Zoho ManageEngine DataSecurity Plus是美国卓豪（Zoho）公司的一套敏感数据管理解决方案。该产品具有数据防泄漏、数据风险评估和文件服务器审核等功能。Zoho ManageEngineDataSecurity Plus存在授权问题漏洞，该漏洞源于程序使用默认管理员凭据与DataEngine Xnode服务器进行通信。攻击者可利用该漏洞绕过身份验证，并在admin用户上下文中执行任意操作。