当前位置: 首页 > 政务公开 > 网络管理

2021年2月22日至2月28日关注度较高的产品安全漏洞

发布时间:2021-03-04 10:15  来源:国家信息安全漏洞共享平台


一、境外厂商产品漏洞

1.Microsoft OneDrive存在dll劫持漏洞

OneDrive是Microsoft新一代网络存储工具,由SkyDrive改名而来。OeDrive的版本跨越多个终端,网页版、移动端、PC端比比皆是。Microsoft OneDrive存在dll劫持漏洞,攻击者可利用该漏洞导致用户电脑被远控或者植入木马。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-03311

2.Apache Unomi远程代码执行漏洞

Apache Unomi是一个可用于多系统的java开源客户数据平台,用于管理用户配置文件和与该配置文件相关的数据,Unomi在2019年被宣布成为Apache的顶级项目。由于Apache Unomi是作为运行在Apache Karaf中的OSGi应用程序构建的,因此它具有极好的可扩展性和易用性。Apache Unomi在1.5.2之前版本中存在远程代码执行漏洞。该平台具有内置的规则系统和用户细分的概念,当用户需要为配置文件下发数据时,可以使用OGNL或MVEL类的表达式语言未受限制的执行查询操作,从而导致了Unomi容易受到表达式注入攻击,攻击者可以利用该漏洞发送符合语法的恶意表达式使Unomi服务器执行任意代码和系统命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-11849

3.Accusoft ImageGear内存破坏漏洞

Accusoft ImageGear是一个多平台、多语言文档成像开发人员工具包。Accusoft ImageGear 19.7中的TIFF handle_COMPRESSION_PACKBITS功能存在内存破坏漏洞。攻击者可通过特制文件利用该漏洞导致内存破坏。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-12110

4.Siemens TIA Administrator权限提升漏洞

TIA Administrator是一个基于web的框架,它可以包含用于管理任务的不同功能模块,以及用于管理SIMATIC软件和许可证的功能。Siemens TIA Administrator存在权限提升漏洞。攻击者可利用漏洞以系统权限执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-11833

5.VMware Workstation 16 Pro存在dll劫持漏洞

VMware Workstation(中文名“威睿工作站”)是一款桌面虚拟计算机软件。VMware Workstation 16 Pro存在dll劫持漏洞。攻击者可利用该漏洞执行恶意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-05379

二、境内厂商产品漏洞

1.极域电子教室管理系统豪华版存在逻辑缺陷漏洞

极域电子教室管理系统是一款教学系统。极域电子教室管理系统豪华版存在逻辑缺陷漏洞,攻击者可利用该漏洞执行高权限系统命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-09513

2.UCMS系统存在命令执行漏洞

UCMS是一款简单的网站内容管理系统。UCMS系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-03313

3.Waychar报名系统存在SQL注入漏洞(CNVD-2021-03387)

广州市花都区新华伟创广告设计服务部经营范围包括:广告业、网络信息技术推广服务、网络安全信息咨询等。Waychar报名系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-03387

4.米酷CMS影视管理系统存在SQL注入漏洞

米酷CMS影视管理系统是国内一款视频播放cms。米酷CMS影视管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-03396

5.腾讯课堂(Windows客户端)存在dll劫持漏洞

腾讯课堂是腾讯推出的专业在线教育平台,聚合大量优质教育机构和名师,下设职业培训、公务员考试、托福雅思、考证考级、英语口语、中小学教育等众多在线学习精品课程,打造老师在线上课教学、学生及时互动学习的课堂。腾讯课堂(Windows客户端)存在dll劫持漏洞。攻击者可利用该漏洞执行恶意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-03310


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(信息来源:国家信息安全漏洞共享平台)

【返回顶部】 【关闭窗口】 【打印本页】