大家好,小編近日將國內主流網絡安全媒體發佈的重要網絡安全漏洞進行了梳理彙總,在這裡分享給大家學習。讓我們來共同提升網絡安全防範意識吧!
1. VIVOTEK FD8177存在命令注入高危漏洞
VIVOTEK FD8177是晶睿通訊(Vivotek)公司一款網絡攝像機產品。該產品存在命令注入高危漏洞,遠程攻擊者可藉助eventscript.cgi文件利用該漏洞執行任意代碼。可影響Vivotek FD8177 <xxxxxx-vvtk-xx06a>
2. Adobe ColdFusion存在任意文件上傳高危漏洞
Adobe ColdFusion是美國奧多比(Adobe)公司一套快速應用程序開發平臺,包括集成開發環境和腳本語言。Adobe ColdFusion存在任意文件上傳高危漏洞,攻擊者可利用此漏洞將任意文件上傳到受影響計算機,並且在受影響計算機應用程序上執行任意代碼。可影響Adobe ColdFusion <=2018 Update 2、Adobe ColdFusion <=2016 Update 9、Adobe ColdFusion <=11 Update 17產品。廠商已發佈漏洞修復程序。
3. Drobo 5N2存在系統命令注入高危漏洞
Drobo 5N2 NAS是美國Drobo公司一款網絡存儲設備(NAS),該設備具有數據共享、數據備份、遠程訪問和災備恢復等功能。Drobo 5N2 NAS存在命令注入高危漏洞,攻擊者可通過發送特製POST請求利用該漏洞以root身份執行任意系統命令。可影響Drobo Drobo 5N2 NAS 4.0.5-13.28.96115產品。廠商尚未提供漏洞修復方案,請關注廠商主頁更新。
4. Brocade Fabric OS存在權限提升高危漏洞
Brocade Fabric OS(FOS)是美國博科通訊系統(Brocade)公司一套使用在交換機和路由器等設備中的嵌入式操作系統。Brocade FOS命令行接口的configdownload命令存在權限提升高危漏洞,本地攻擊者可利用該漏洞繞過受限制shell並獲取root訪問權限。可影響Broadcom Fabric OS <8.2.1、Broadcom Fabric OS <8.1.2f、Broadcom Fabric OS <8.0.2f、Broadcom Fabric OS <7.4.2d產品。廠商已發佈漏洞修復程序。
5. 飛利浦智能無線音箱web服務formPlayURL網絡接口存在命令執行高危漏洞
飛利浦智能無線音箱是一款可聯網的基於人工智能的音樂播放器,該產品無線音箱web服務formPlayURL網絡接口存在命令執行高危漏洞,攻擊者可利用該漏洞執行命令。可影響飛利浦智能無線音箱(AW6005A/93型號) v1.1.1.0915產品。廠商尚未提供漏洞修復方案,請關注廠商主頁更新。
6. HTTL存在遠程命令執行高危漏洞
HTTL(又名Hyper-Text Template Language)是一款開源的Java模板引擎,主要用於動態HTML頁面輸出。該產品中‘decodeXml’函數存遠程命令執行高危漏洞,遠程攻擊者可利用該漏洞遠程執行命令。可影響HTTL <=1.0.11產品。廠商尚未提供漏洞修復方案,請關注廠商主頁更新。
7. CA Unified Infrastructure Management存在缺乏認證高危漏洞
CA Unified Infrastructure Management是一種功能強大的統一IT監控解決方案,可幫助組織提供可靠、靈活的IT服務。該產品存在缺乏認證高危漏洞,遠程攻擊者可利用該漏洞進行讀/寫文件等各種攻擊。可影響CA Unified Infrastructure Management 8.5.1/8.5/8.4.7產品。廠商已發佈漏洞修復程序。
8. Joomla組件HWDVideoShare 存在SQL注入高危漏洞
Joomla是一套開源的內容管理系統(CMS)。該系統組件HWDVideoShare存在SQL注入高危漏洞,遠程攻擊者利用該漏洞可執行不同參數的任意SQL命令。可影響Joomla HWDVideoShare 1.5產品。廠商尚未提供漏洞修復方案,請關注廠商主頁更新。
9. Moxa NPort W2x50A存在操作系統命令注入高危漏洞
Moxa NPort W2x50A是摩莎(Moxa)公司一款用於將工業串口設備連上網絡的串口通訊服務器。該產品中web server功能存在操作系統命令注入高危漏洞,攻擊者可通過發送特製HTTP POST請求利用該漏洞以root用戶身份運行操作系統命令。可影響Moxa NPort W2x50A <2.2 Build_18082311產品。目前廠商已發佈升級補丁以修復漏洞。
10. Paessler AG PRTG Network Monitor存在跨站腳本中危漏洞
Paessler AG PRTG Network Monitor是德國Paessler AG公司一款全功能網絡監控管理軟件。該產品存在跨站腳本中危漏洞,遠程攻擊者可藉助‘searchtext’參數利用該漏洞注入任意Web腳本或HTML。可影響Paessler AG Paessler PRTG Network Monitor 7.1.3.3378產品。廠商尚未提供漏洞修復方案,請關注廠商主頁更新。
11.Xiaomi perseus-p-oss MIX 3存在整數溢出高危漏洞
Xiaomiperseus-p-oss MIX3是中國小米科技(Xiaomi)公司一款智能手機。該手機存在整數溢出高危漏洞,漏洞源於程序未能檢查‘count’參數,攻擊者可利用該漏洞造成OOPS錯誤。可影響Xiaomiperseus-p-oss MIX 3 <=3 2018-11-26產品。廠商尚未提供漏洞修復方案,請關注廠商主頁更新。
12.網站安全狗(Apache版)存在webshell繞過高危漏洞
網站安全狗(Apache版)是一款集網站內容安全防護、網站資源保護及網站流量保護功能為一體的服務器工具。網站安全狗(Apache版)存在webshell繞過高危漏洞,攻擊者利用該漏洞執行系統命令。可影響網站安全狗(Apache版)V4.0產品。廠商尚未提供漏洞修補方案,請關注廠商主頁及時更新。
13. GreenCMS存在文件上傳高危漏洞
GreenCMS是南京工業大學綠蔭工作室開發的一款基於ThinkPHP內容管理系統,該系統存在文件上傳高危漏洞,攻擊者利用該漏洞上傳任意文件。可影響GreenCMSv2.3.0603產品。廠商尚未提供漏洞修復方案,請關注廠商主頁更新。
14.Microsoft Outlook存在遠程代碼執行高危漏洞
MicrosoftOutlook是美國微軟(Microsoft)公司一款Office套件中捆綁的電子郵件客戶端軟件,可管理電子郵件、聯繫人和日曆等。MicrosoftOutlook存在遠程代碼執行高危漏洞,該漏洞源於程序未能正確處理內存對象,遠程攻擊者藉助特製文件利用該漏洞在當前用戶安全上下文中執行操作。可影響MicrosoftOutlook 2010 SP2、MicrosoftOutlook 2013 RT SP1、Microsoftoutlook 2016/2019 、MicrosoftOffice 365 ProPlus產品。廠商已發佈漏洞修復程序。
15. Drobo5N2存在系統命令注入高危漏洞
Drobo5N2NAS是美國Drobo公司一款網絡存儲設備(NAS),設備具有數據共享、數據備份、遠程訪問和災備恢復等功能。該產品中/DroboAccess/enable_user端點存在命令注入高危漏洞。攻擊者藉助‘username’URL參數利用該漏洞執行系統命令。可影響Drobo5N2 NAS 4.0.5-13.28.96115產品。廠商尚未提供漏洞修復方案,請關注廠商主頁更新。
16.Nablarch存在拒絕服務高危漏洞
Nablarch是一款基於中間件模式的Java應用程序框架。該框架存在拒絕服務高危漏洞,遠程攻擊者利用該漏洞洩露信息或造成系統停止運行。可影響NablarchNablarch 5、NablarchNablarch 5u13產品。目前廠商已發佈升級補丁以修復漏洞。
17.Nokia 8810 4G設備KaiOSGecko組件存在拒絕服務高危漏洞
Nokia88104G是一款諾基亞手機。該手機中Gecko組件存在拒絕服務高危漏洞,攻擊者藉助特製頁面利用該漏洞執行代碼或造成拒絕服務。可影響KaiOSNokia 88104G產品。廠商尚未提供漏洞修復方案,請關注廠商主頁更新。
18.Mozilla Firefox存在內存破壞高危漏洞
MozillaFirefox是美國Mozilla基金會開發的一款開源Web瀏覽器。該瀏覽器存在內存破壞高危漏洞,攻擊者利用該漏洞破壞內存並造成越邊界讀取。可影響MozillaFirefox <65產品。廠商已發佈漏洞修復程序。
19.Teracue ENC-400存在命令注入高危漏洞
TeracueENC-400是德國Teracue公司一款便攜式多流編碼器。該產品中loginform存在命令注入高危漏洞,該漏洞源於程序未能進行任何轉義或驗證操作便將用戶輸入傳遞到shell命令,攻擊者利用該漏洞執行代碼。可影響TeracueENC-400產品。廠商已發佈了漏洞修復程序。
20.rdesktop存在整數溢出高危漏洞
rdesktop是一個用於連接Windows遠程桌面服務的開源UNIX客戶端。該產品存在整數溢出高危漏洞,攻擊者利用該漏洞導致process_bitmap_updates()函數發生越界寫入,導致內存破壞,實現遠程代碼執行。可影響rdesktop<=1.8.3產品。廠商已發佈漏洞修復程序。
/<xxxxxx-vvtk-xx06a>閱讀更多 寧夏網警巡查執法 的文章
