星期
      您所在的位置:首页 > 网络安全
上周关注度较高的产品安全漏洞(20210118-20210124)
2021-01-29 08:41:18    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、WordPress Quiz and Survey Master plugin任意文件上传漏洞

WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress Quiz and Survey Master plugin是WordPress中的一个插件。WordPressQuiz and Survey Master plugin 7.0.1之前版本存在任意文件上传漏洞,攻击者可利用该漏洞上传任意文件并实现远程代码执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-04358

2、Mozilla Firefox内存破坏漏洞(CNVD-2021-04747)

Mozilla Firefox是一款流行的WEB浏览器。Mozilla Firefox处理WEB页内容存在内存破坏漏洞,远程攻击者可利用该漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-04747

3、SAP Netweaver AS JAVA授权问题漏洞

SAP Netweaver是德国思爱普(SAP)公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。SAP Netweaver AS JAVA(P2P Cluster Communication) 7.11、7.20、7.30、7.31、7.40和7.50版本存在授权问题漏洞。该漏洞源于程序未执行身份验证检查。攻击者可利用该漏洞调用某些仅限于管理员的功能,包括访问系统管理功能或完全关闭系统。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-03705

4、Linux kernel任意代码执行漏洞

Linux kernel是一种计算机操作系统内核,以C语言和汇编语言写成,符合POSIX标准,按GNU通用公共许可证发行。Linux kernel 5.10.4及更早版本中的drivers/net/wireless/marvell/mwifiex/join.c中的mwifiex_cmd_802_11_ad_hoc_start存在任意代码执行漏洞。攻击者可通过长SSID值利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-03993

5、DELL EMC Avamar Server路径遍历漏洞(CNVD-2021-05125)

DELL Dell EMC Avamar Server是美国戴尔(DELL)公司的一套用于服务器的完全虚拟化的备份和恢复软件。DELL EMC Avamar Server19.1、19.2、19.3版本存在路径遍历漏洞,该漏洞源于未经身份验证的远程攻击者在应用程序的底层操作系统上执行任意操作系统命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-05125

二、境内厂商产品漏洞

1、北京中成科信科技发展有限公司综合管理平台存在SQL注入漏洞(CNVD-2020-70838)

北京中成科信科技发展有限公司是一家旅游全产业链服务商。北京中成科信科技发展有限公司综合管理平台存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-70838

2、阿里旺旺(Windows客户端)存在dll劫持漏洞

阿里旺旺是一款网上聊天工具。阿里旺旺(Windows客户端)存在dll劫持漏洞。攻击者可利用该漏洞执行恶意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72484

3、天津指南车智能装备有限公司建站系统存在SQL注入漏洞

天津指南车智能装备有限公司是一家以仪器仪表产品销售、工程设计及管理咨询为一体的现代化高科技公司。天津指南车智能装备有限公司建站系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-73389

4、印象笔记(Windows客户端)存在dll劫持漏洞

印象笔记是一款实时搜索,标签分类,支持大数据库等功能,可以随时随地访问笔记,记录信息,查找资料等的办公软件。印象笔记(Windows客户端)存在dll劫持漏洞。攻击者可利用该漏洞执行恶意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-72487

5、鹏为软件股份有限公司CRM系统E4/标准版存在SQL注入漏洞

鹏为软件股份有限公司专注于CRM软件产品、解决方案及技术服务的创新型企业。鹏为软件股份有限公司CRM系统E4/标准版存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-73291