漏洞扫描工具原理/温州互引信息技术有限公司BossCMS存在任意文件删除漏洞_新手攻防教学
一、境外厂商产品漏洞
1、存在命令执行漏洞
是由 Inc.开发的一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
参考链接:
2、代码问题漏洞
是一款使用PHP语言编写的开源Web框架。存在代码问题漏洞,该漏洞源于软件中的old() 函数中发现了不可信数据的反序列化。远程攻击者可利用该漏洞注入带有该漏洞的可自动加载的任意对象,并可能在服务器上执行现有的PHP代码。
参考链接:
3、 XI路径遍历漏洞(CNVD-2022-08733)
XI是美国公司的一套IT基础设施监控解决方案。该方案支持对应用、服务、操作系统等进行监控和预警。 2.0.9之前版本存在安全漏洞,攻击者可以通过该漏洞任意删除本地系统上的文件。
参考链接:
4、 Leave SQL注入漏洞
Leave 是一个在线休假管理系统。 Leave 在v1版本存在SQL注入漏洞,该漏洞源于软件对于///Login.php的参数缺少有效的过滤和转义,攻击者可利用该漏洞通过用户名参数执行任意SQL命令。
参考链接:
5、 访问控制错误漏洞(CNVD-2022-09214)
是捷克()公司的一套分布式构建管理和持续集成工具。该工具提供持续单元测试、代码质量分析和构建问题分析报告等功能。 存在访问控制错误漏洞,该漏洞源于产品缺少X-Frame-请求头,攻击者可利用该漏洞绕过安全限制。
参考链接:
二、境内厂商产品漏洞
1、温州互引信息技术有限公司存在任意文件删除漏洞
是温州互引信息技术有限公司开发的一款基于自主研发PHP框架MySQL架构的内容管理系统。温州互引信息技术有限公司存在任意文件删除漏洞 ,攻击者可利用该漏洞删除任意文件。
参考链接:
2、北京亚控科技发展有限公司客户端开发系统存在信息泄露漏洞(CNVD-2022-03682)
北京亚控科技发展有限公司是一家自动化软件平台高科技企业。北京亚控科技发展有限公司客户端开发系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
3、涂鸦智能app与涂鸦转换器(智能插座)存在逻辑缺陷漏洞
涂鸦智能是IoT云平台,连接品牌、OEM 厂商、开发者和连锁零售商的智能化需求,提供一站式人工智能物联网的PaaS级解决方案,涵盖了硬件开发、全球云、智慧商业平台开发,提供全面生态赋能。涂鸦智能app与涂鸦转换器(智能插座)存在逻辑缺陷漏洞,该漏洞源于在涂鸦智能app与涂鸦转换器(智能插座)通信的过程中未使用安全的加密算法( AES/ECB),攻击者可利用漏洞获取加密消息指令,来重新构造消息报文(修改)以及计算相应的校验。
参考链接:
4、北京亚控科技发展有限公司运行系统客户端存在信息泄露漏洞
北京亚控科技发展有限公司自主研发的是一款纯B/S架构面向工业监控领域的web端组态产品。北京亚控科技发展有限公司运行系统客户端存在信息泄露漏洞,攻击者可以利用该漏洞获取系统账号密码和数据库密码等敏感信息。
参考链接:
5、泛微OA存在命令执行漏洞(CNVD-2022-06870)
上海泛微网络科技股份有限公司专注于协同管理OA软件领域,并致力于以协同OA为核心帮助企业构建全新的移动办公平台。泛微OA存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
参考链接:
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
~
网络安全学习,我们一起交流
~