上周关注度较高的产品安全漏洞(20190401-20190407)
发布时间:2019-04-09一、境外厂商产品漏洞
1、VMware Fusion虚拟机端远程代码执行漏洞
VMware Fusion是VMware公司出品的一款适用于Mac操作系统的虚拟机软件。攻击者可通过VMware Fusion在本地启动的WebSocket API接口在所有已安装VMware Tools的虚拟机上利用该漏洞执行任意代码。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08856
2、Fortinet FortiOS堆缓冲区溢出漏洞
Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-09073
3、Advantech WebAccess/SCADA不正确的访问控制漏洞
Advantech WebAccess/SCADA是研华(Advantech)公司的一套基于浏览器架构的SCADA软件。该软件支持动态图形显示和实时数据控制,并提供远程控制和管理自动化设备的功能。攻击者可利用该漏洞导致拒绝服务。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08947
4、Joomla Sobi2 SobiPro组件SQL注入漏洞
Joomla是一套开源的内容管理系统(CMS)。攻击者可利用漏洞获取数据库敏感信息。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2019-08950
5、KindEditor编辑器存在目录遍历漏洞
KindEditor 是一套开源的在线HTML编辑器。攻击者可利用该漏洞获取敏感信息。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-06739
二、境内厂商产品漏洞
1、合优网络建站系统存在SQL注入漏洞
合优网络公司专注于在信息科技领域中向客户提供网络商业解决方案。攻击者可利用该漏洞获取数据库敏感信息。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-06369
2、海纳企业网站管理系统 V2.1存在代码执行漏洞
海纳企业网站管理系统是一款针对中小型企业网站开发的网站程序。攻击者可利用该漏洞获取网站权限。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-06370
3、SGO南方卫星导航平台软件存在任意代码执行漏洞
广州南方卫星导航仪器有限公司隶属于南方测绘集团,是国内首家贯通高精度GNSS技术产业链,实现规模化、市场化应用的国家高新技术企业。攻击者可利用该漏洞执行任意代码。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-07682
4、zzzphp V1.6.0后台存在代码执行漏洞
zzzphp是采用PHP开发的免费建站整站系统。攻击者可利用该漏洞注入任意代码并执行。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-05488
5、启明星工作日志Worklog 25.0系统前台存在SQL注入漏洞
启明星工作日志系统Worklog是一款构架企业内部协同办公的基于B/S的软件。攻击者可利用该漏洞对数据库进行操作。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-06367
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。