一、境外厂商产品漏洞
1、Microsoft Azure特权提升漏洞
Microsoft Azure是一款开放的企业级云计算平台。Microsoft Azure功能验证访问密钥的方式存在安全漏洞,远程攻击者可利用该漏洞提交特殊的请求,在未有正确授权的情况下调用HTTP功能。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-57587
2、Foxit Reader和PhantomPDF缓冲区溢出漏洞(CNVD-2020-57568)
Reader是一套PDF文档阅读软件。Foxit Reader是一款PDF文档阅读器。V8是其中的一个开源JavaScript引擎。mPDF是一款使用PHP编写的用于将HTML转换成PDF文件的库。Foxit Reader 和 PhantomPDF 10.1版本存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-57568
3、HPE IntelligentManagement Center (iMC) ictExpertDownload表达式语言注入远程代码执行漏洞
HPE Intelligent Management Center (iMC)是美国惠普企业公司(Hewlett Packard Enterprise,HPE)的一套网络智能管理中心解决方案。该解决方案可提供整个网络范围的可视性,实现对资源、服务和用户的全面管理。HPE Intelligent ManagementCenter (iMC) 7.3 (E0705P07)之前版本存在安全漏洞。攻击者可利用该漏洞执行远程代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-58035
4、Adobe Magento文件上传列表绕过漏洞
Adobe Magento是美国奥多比(Adobe)公司的一套开源的PHP电子商务系统。该系统提供权限管理、搜索引擎和支付网关等功能。Magento Open Source是Magento的开源版本。Magento Commerce是Magento的商业版本。Adobe Magento文件上传允许列表绕过安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-57891
5、Juniper Networks JunosOS拒绝服务漏洞(CNVD-2020-57866)
Juniper Networks Junos OS是美国瞻博网络(Juniper Networks)公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。Junos OS Evolved是Junos OS的升级版。Junos OS存在安全漏洞,攻击者可利用该漏洞可以通过DNS过滤触发致命错误,以触发拒绝服务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-57866
二、境内厂商产品漏洞
1、佰联商城系统存在SQL注入漏洞
佰联商城系统是一套集电脑版商城+手机版网站+微商城(企业微信公众号二次开发)+掌销通移动商城+佰联轴承网(www.bearing.cn)全网推广宣传于一体的全新营销解决方案。佰联商城系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-57233
2、厦门网中网软件有限公司应用资源库平台存在文件上传漏洞
厦门网中网软件有限公司是专业从事会计类教学教学软件产品开发、服务、销售的企业。厦门网中网软件有限公司应用资源库平台存在文件上传漏洞。攻击者可利用漏洞上传webshell,获得服务器权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-57239
3、济南宇霞信息技术有限公司建站系统存在SQL注入漏洞
济南宇霞信息技术有限公司以互联网产品及相关服务为主营方向,是集网站建设与网络推广,IDC业务、软件开发,服务器托管,电信增值业务等综合服务为一体的企业。济南宇霞信息技术有限公司建站系统存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-57237
4、斧牛网游加速器存在dll劫持漏洞
斧牛网游加速器是一款网游加速工具。斧牛网游加速器存在dll劫持漏洞。攻击者可利用该漏洞执行恶意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-57235
5、云南华企优享网络科技有限公司建站系统存在SQL注入漏洞
云南华企优享网络科技有限公司是为客户提供知识产权及互联网服务。云南华企优享网络科技有限公司建站系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-57397
来源:CNVD漏洞平台