2020年6月29日至7月5日关注度较高的产品安全漏洞
一、境外厂商产品漏洞
1.PrestaShop授权问题漏洞
PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。PrestaShop存在授权问题漏洞,该漏洞源于身份验证系统格式错误。攻击者可利用该漏洞发出外部请求并执行管理命令。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-36218
2.Adobe Illustrator缓冲区溢出漏洞(CNVD-2020-36219)
Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。Adobe Illustrator存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-36219
3. CouchDB 3.0.0 存在远程权限提升漏洞
CouchDB是用Erlang开发的一套面向文档的数据库系统。CouchDB 3.0.0 存在远程权限提升漏洞,攻击者可利用该漏洞获取服务器权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33141
4.Naviwebs Navigate CMS代码问题漏洞
Naviwebs Navigate CMS是美国Naviwebs公司的一套开源的内容管理系统(CMS)。Naviwebs Navigate CMS 2.9版本中的install_from_hash功能存在安全漏洞,攻击者可利用该漏洞对机密性、完整性、可用性造成影响。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-35982
5.curlrequest操作系统命令注入漏洞
curlrequest是一款基于Node.js的、用于通过URL传输数据的软件包。curlrequest 1.0.1及之前版本中存在操作系统命令注入漏洞。攻击者可利用该漏洞注入并执行任意命令。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-35504
二、境内厂商产品漏洞
1.苏州托普斯网络科技有限公司建站系统存在SQL注入漏洞(CNVD-2020-30143)
苏州托普斯网络科技有限公司从事解决网站建设、百度推广、百度竞价托管、阿里网销宝托管、优化站租售。苏州托普斯网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30143
2.Kuicms存在文件包含漏洞
Kuicms是隶属于魁网科技(重庆)有限公司旗下企业网站CMS管理系统。Kuicms存在文件包含漏洞,攻击者可利用该漏洞获取服务器权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-32579
3.剑鱼论坛存在文件上传漏洞(CNVD-2020-33186)
剑鱼论坛是鲶鱼CMS官方公开发布的一款bbs论坛系统。剑鱼论坛存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器管理权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-33186
4.Tenda PA6 Wi-Fi Powerline extender命令注入漏洞
Tenda PA6 Wi-Fi Powerline extender是中国腾达(Tenda)公司的一款无线网络范围扩展器。Tenda PA6 Wi-Fi Powerlineextender 1.0.1.21版本中存在安全漏洞。远程攻击者可通过发送特制的字符串利用该漏洞以root权限执行注入的任意命令。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-35168
5.石头科技舆情分析小助手wl***_so***_sz***.php页面存在代码执行漏洞
石头科技舆情分析小助手是一款可以采集指定网站公开发布的信息标题,并依据关键词、过滤词筛选出用户所需的信息及链接的监测工具。石头科技舆情分析小助手wl***_so***_sz***.php页面存在代码执行漏洞,攻击者可利用该漏洞执行恶意代码。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-32508
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
(信息来源:国家信息安全漏洞共享平台)
