星期
      您所在的位置:首页 > 网络安全
上周关注度较高的产品安全漏洞(20210111-20210117)
2021-01-18 16:24:07    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、Palo Alto Networks Cortex XDR Agent代码问题漏洞

Palo Alto Networks Cortex XDR Agent是马来西亚Palo Alto Networks公司的一个用于检测客户端设备安全性的客户端软件。Palo Alto Networks Cortex XDR存在安全漏洞,该漏洞源于在Windows平台上的代理中存在一个本地特权升级漏洞,攻击者可利用该漏洞经过身份使用系统特权执行程序。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-02823

2、Red Hat Ansible信息泄露漏洞

Red Hat Ansible是美国红帽(Red Hat)公司的一款计算机系统配置管理器。该产品可用于发布、管理和编排计算机系统。Red Hat Ansible snmp_facts存在信息泄露漏洞,该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-02809

3、Dell Wyse Management Suite开放重定向漏洞

Dell Wyse Management Suite是下一代管理解决方案,使您能够集中配置、监控、管理和优化Dell Wyse瘦客户端。Dell Wyse Management Suite 3.1之前版本存在开放重定向漏洞。攻击者可通过诱使用户点击恶意链接利用该漏洞将用户重定向到任意Web URL。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-02366

4、K7 Computing K7AntiVirus Premium缓冲区溢出漏洞(CNVD-2021-02815)

K7AntiVirus Premium是K7 Computing推出的一款安全套件,可提供对在线威胁和欺诈活动的可靠防护,从而可保护您免受病毒和网络攻击。K7 Computing K7AntiVirus Premium 15.1.0.53中的K7TSMngr.exe存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-02815

5、Adobe Experience Manager盲服务器端请求伪造漏洞

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在安全漏洞,该漏洞源于未能充分验证用户提供的输入。攻击者可以利用该漏洞访问位于本地网络中的敏感数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-02376

二、境内厂商产品漏洞

1、嘉兴想天信息科技有限公司OpenCenter前台存在命令执行漏洞

opencenter是一套通用用户中心及后台管理框架系统。嘉兴想天信息科技有限公司OpenCenter前台存在命令执行漏洞,攻击者可利用该漏洞通过远程执行命令,获取系统权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-70494

2、网伦天下智能(智慧)网伦天下(北京)智能科技有限公司智能轮胎监测管理系统存在文件上传漏洞

网伦天下(北京)智能科技有限公司是一家专注于商用车轮胎物联网的技术型企业,中国首条智能轮胎的合作开发单位,拥有多项发明专利和软件著作权,并获得了欧盟CE和北美FCC认证。网伦天下(北京)智能科技有限公司智能轮胎监测管理系统存在文件上传漏洞。攻击者可利用漏洞上传webshell,获得服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-73414

3、PDF猫分割合并软件存在dll劫持漏洞

PDF猫分割合并软件是一款将PDF文件进行合并操作的软件。PDF猫分割合并软件存在dll劫持漏洞,攻击者可利用该漏洞加载的dll未进行签名与文件校验,导致dll劫持。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-70511

4、FE业务协助平台存在SQL注入漏洞(CNVD-2020-69475)

珠海飞企软件有限公司(简称“飞企软件”)始创于1998年(原珠海用友软件有限公司成立于1998年),是一家专注于行业协同整合平台研发与服务的软件厂商。FE业务协助平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-69475

5、南京三商电脑软件开发有限公司建站系统存在SQL注入漏洞

南京三商电脑软件开发有限公司经营范围包括:计算机软件、信息软件的开发、制作等。南京三商电脑软件开发有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-70497