icon 热门文章
- 关于第三方支付平... 2018-11-13
- 关于Oracle... 2018-11-13
- 上周关注度较高的... 2018-05-30
- 电子邮件加密工具... 2018-05-24
- CNNVD 关于... 2018-05-24
- 多品牌工业控制器... 2018-05-04
- 上周关注度较高的... 2018-05-04
- 关于Drupal... 2018-04-27
- 一例境外滥用我国... 2018-04-23
- 关于WebLog... 2018-04-19
icon 推荐文章
- 关于开展CQCERT... 2018-11-16
- 关于第三方支付平台J... 2018-11-13
- 关于Oracle W... 2018-11-13
- 2018年APCER... 2018-11-13
- 2018年FIRST... 2018-11-13
- 国家信息安全漏洞共享... 2018-10-25
- 网络安全信息与动态周... 2018-10-25
- 中国-东盟网络安全应... 2018-10-25
- 国家计算机网络应急技... 2018-10-09
- 网络安全信息与动态周... 2018-09-26
 
   所在位置: 首页 > 安全预警

上周关注度较高的产品安全漏洞(20180423-20180429)

信息来源: CNVD 添加日期:2018-05-04 点击数: 101
 
 

一、境外厂商产品漏洞

1、Drupal Core远程代码执行漏洞

Drupal是一个由DriesBuytaert创立的自由开源的内容管理系统,用PHP语言写成。攻击者对URL中的#进行两次编码即可绕过sanitize()函数的过滤,从而实现远程代码执行。

参考链接:http://www.cnvd.org.cn/webinfo/show/4499

2、Advantech WebAccess HMIDesigner双重释放漏洞

AdvantechWebAccess HMI Designer是一个人机界面(HMI)运行时开发软件。攻击者可利用漏洞远程执行代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-08460

3、Cisco IOS XE Software CLI解析器命令注入漏洞(CNVD-2018-08179)

CiscoIOS XE Software是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。本地攻击者可通过向受影响的软件提交恶意的CLI命令利用该漏洞获取底层Linux shell的访问权限并以root权限执行命令。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-08179

4、Microsoft Windows远程代码执行漏洞(CNVD-2018-08336)

MicrosoftWindows 10等都是美国微软(Microsoft)公司发布的一系列操作系统。远程攻击者可通过创建特制的内容利用该漏洞执行任意代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-08336

5、WordPress Flash Uploader插件远程命令执行漏洞

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。远程攻击者可利用该漏洞执行任意命令。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-08530

 

二、境内厂商产品漏洞

1、SANGFOR AF存在命令注入漏洞

SANGFORAF是一款以应用安全需求出发而设计的下一代应用防火墙。攻击者可利用该漏洞执行任意系统命令并获取root权限。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-05810

2、Foxit Reader远程代码执行漏洞(CNVD-2018-08267)

FoxitReader是中国福昕(Foxit)软件公司的一款PDF文档阅读器。远程攻击者可借助特制的PDF文档利用该漏洞执行任意代码或造成拒绝服务。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-08267

3、东道网络cms存在SQL注入漏洞

東道网络致力于电子商务与网络产品的开发。攻击者可利用漏洞访问或修改数据库敏感信息。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-05813

4、DedeCMS任意PHP代码执行漏洞

织梦内容管理系统(DedeCms)是集简单、健壮、灵活、开源几大特点的开源内容管理系统。远程攻击者可通过uploads/dede/stepselect_main.php的egroup参数利用该漏洞执行任意PHP代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-08092

5、多款小米路由器访客wi-fi设置功能存在远程任意命令执行漏洞

小米路由器R3D/R3P/R3C/R3都是路由器产品。攻击者可以利用该漏洞远程执行任意代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-04521

 

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

 

Copyright © 2012 国家计算机网络应急技术处理协调中心重庆分中心(重庆互联网应急中心)
技术支持:重庆衡信科技有限公司   渝ICP备08102962号-2

您是第 00001  位访问者!