您所在的位置: 首页 >
安全研究 >
安全通告 >
一周产品安全漏洞(20200511-20200517)
一、境外厂商产品漏洞
1、Mysql jdbc 驱动存在XML实体注入漏洞
MySQL AB是由MySQL创始人和主要开发人创办的公司。Mysql jdbc 驱动存在XML实体注入漏洞,攻击者可利用该漏洞获取服务器权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27158
2、JetBrains IntelliJ IDEA许可证服务器解析漏洞
JetBrains IntelliJ IDEA是捷克JetBrains公司的一套适用于Java语言的集成开发环境。JetBrains IntelliJ IDEA 2020.1之前版本中存在安全漏洞。攻击者可利用该漏洞将授权服务器解析到不可信的主机上。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27765
3、libEMF缓冲区溢出漏洞
libEMF是一款用于生成增强型图元文件的库。libEMF 1.0.11及之前版本中存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-28252
4、Motrix Linux版本存在命令执行漏洞
Motrix是一款全能的下载工具,支持下载 HTTP、FTP、BT、磁力链、百度网盘等资源。Motrix Linux版本存在命令执行漏洞,攻击者可以利用此漏洞上传文件到系统指定位置,使安装此软件系统进行反弹shell等操作。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27937
5、Zoho ManageEngine DataSecurity Plus授权问题漏洞
Zoho ManageEngine DataSecurity Plus是美国卓豪(Zoho)公司的一套敏感数据管理解决方案。该产品具有数据防泄漏、数据风险评估和文件服务器审核等功能。Zoho ManageEngine DataSecurity Plus存在授权问题漏洞,该漏洞源于程序使用默认管理员凭据与DataEngine Xnode服务器进行通信。攻击者可利用该漏洞绕过身份验证,并在admin用户上下文中执行任意操作。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-28454
二、境内厂商产品漏洞
1、php简易扫码付教育收费系统存在SQL注入漏洞(CNVD-2020-27166)
php简易扫码付教育收费系统是一个以Php+MySql进行开发的查询与收费软件。php简易扫码付教育收费系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27166
2、稻草人企业站存在文件上传漏洞
稻草人企业站是一款基于PHP+Sqlite/MySQL的开源简单小巧的免费企业网站系统。稻草人企业站存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27186
3、freeCMS v1.5存在文件上传漏洞
FreeCMS是一款开源免费CMS系统。FreeCMS v1.5存在文件上传漏洞,攻击者可利用该漏洞上传任意文件获取系统shell。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-24738
4、JunAms内容管理系统存在SQL注入漏洞(CNVD-2020-24742)
JunAMS是一款以ThinkPHP为框架的开源内容管理系统。JunAMS内容管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-24742
5、梦想cms v1.4(lmxcms)后台存在文件上传漏洞
梦想cms以下简称“lmxcms”,是由“10年”(网名)开发的一套简单实用的网站管理系统(cms),完全免费开源。梦想cms v1.4(lmxcms)后台存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器管理权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27927
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。