星期
      您所在的位置:首页 > 网络安全
上周关注度较高的产品安全漏洞(20210201-20210207)
2021-02-10 21:58:54    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、Veritas NetBackup和Veritas NetBackup Opscenter访问控制错误漏洞

Veritas NetBackup和Veritas NetBackup Opscenter都是美国Veritas公司的产品。Veritas NetBackup是一个应用于为企业环境的提供备份、恢复功能的存储服务。该软件支持对勒索软件的检测和对元数据、虚拟环境等环境数据的备份保护。Veritas NetBackup Opscenter是一个对Veritas NetBackup备份系统提供管理功能的软件。NetBackup 8.3.0.1及之前版本和OpsCenter 8.3.0.1及之前版本存在安全漏洞,攻击者可利用该漏洞作为系统或管理员执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-08148

2、Oracle Business Intelligence Enterprise Edition信息泄露漏洞

Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle Fusion Middleware的Oracle Business Intelligence Enterprise Edition 5.5.0.0、11.1.1.9.0、12.2.1.3.0和12.2.1.4.0版本的Analytics Web Dashboards组件存在信息泄露漏洞。未经身份认证的攻击者可利用该漏洞通过HTTP网络访问破坏Oracle Business Intelligence Enterprise Edition,对Oracle Business Intelligence Enterprise Edition某些可访问数据进行未授权更新、插入和删除,并对其可访问数据的子集进行未授权读取访问。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-08012

3、Python dill模块存在命令执行漏洞

Python是一种跨平台的计算机程序设计语言。dill是python序列化模块pickle的拓展。Python dill模块存在命令执行漏洞。攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-00796

4、Cisco IOS XR拒绝服务漏洞(CNVD-2021-09295)

Cisco IOS XR软件是用于服务提供商网络的模块化和完全分布式的网络操作系统。Cisco IOS XR的IPv6协议处理存在拒绝服务漏洞。该漏洞源于该软件未正确转发具有IPv6节点本地多播组地址目标并在管理界面上接收的IPv6数据包。攻击者可利用该漏洞导致网络性能下降或拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-09295

5、Cisco Data Center Network Manager路径遍历漏洞(CNVD-2021-09308)

Cisco Data Center Network Manager (DCNM)是Cisco的一套数据中心网络管理器,可对网络进行多协议管理,并对交换机的运行状况和性能提供故障排除功能。Cisco Data Center Network Manager 11.4(1)之前版本的某个REST API端点存在路径遍历漏洞。该漏洞源于实施的路径限制不足。攻击者可通过向受影响的设备发送特制HTTP请求利用该漏洞覆盖或列出受影响设备上的任意文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-09308

二、境内厂商产品漏洞

1、重庆逐越光电科技有限公司WMCMS存在代码执行漏洞(CNVD-2020-75026)

WMCMS是一套基于PHP MYSQL为核心开发、免费开源的专业中文标签建站系统。重庆逐越光电科技有限公司WMCMS存在代码执行漏洞。攻击者可利用该漏洞获取服务器管理权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-75026

2、源码智造编辑器客户端软件存在命令执行漏洞

源码智造编辑器是编程猫最新上线的一款全新的硬件编程客户端。源码智造编辑器客户端软件存在命令执行漏洞,攻击者可利用该漏洞在客户端进程中注入可执行DLL文件,执行任意功能。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-00053

3、PP视频(Windows客户端)存在dll劫持漏洞

PP视频是一款在线媒体播放器。

PP视频(Windows客户端)存在dll劫持漏洞。攻击者可利用该漏洞加载恶意dll,执行恶意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-02800

4、智慧门店系统存在命令执行漏洞

智慧门店系统是由金蝶软件为零售门店量身打造的一款门店管理系统,无需购买新机,原有的收银设备可适配该系统,可多台收银机、手机、电脑一起用,实现数据同步。智慧门店系统存在命令执行漏洞,攻击者可利用该漏洞在客户端进程中注入可执行DLL文件,执行任意功能。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-00050

5、北京尚网汇智科技有限公司建站系统存在SQL注入漏洞

北京尚网汇智科技有限公司专业从事网站建设,网站设计,中小型企业管理软件开发。北京尚网汇智科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-73491

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。