星期
      您所在的位置:首页 > 网络安全
上周关注度较高的产品安全漏洞(20210308-20210314)
2021-03-18 16:22:21    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、Cisco SD-WAN拒绝服务漏洞

Cisco SD-WAN vEdge是美国思科(Cisco)公司的是一款路由器。该设备可为思科SD-WAN解决方案提供基本WAN,安全性和多云功能。Cisco SD-WAN vManage是美国思科(Cisco)公司的一款可提供软件定义网络功能的软件。该软件为网络虚拟化的一种方式。Cisco SD-WAN软件的符号链接(symlink)创建功能存在拒绝服务漏洞,该漏洞源于程序未对创建符号链接的输入进行正确验证检查,攻击者可通过在特定路径上创建指向目标文件的符号链接利用该漏洞覆盖受影响的系统上的root用户所拥有的任意文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-15775

2、Secomea GateManager文件上传漏洞

Secomea GateManager是丹麦Secomea公司的一款远程访问服务器产品。Secomea GateManager 9.4.621054022之前版本存在文件上传漏洞,该漏洞源于未经完整性检查的代码上传漏洞,攻击者可利用该漏洞在服务器上执行恶意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-15488

3、Secomea GateManager跨站脚本漏洞

GateManager是Secomea公司推出的一款VPN服务器。Secomea GateManager 9.4之前版本的web GUI存在跨站脚本漏洞。该漏洞源于输入验证不当。攻击者可利用该漏洞执行任意javascript代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-15492

4、Cisco SD-WAN缓冲区溢出漏洞

Cisco SD-WAN vEdge是美国思科(Cisco)公司的是一款路由器。该设备可为思科SD-WAN解决方案提供基本WAN,安全性和多云功能。Cisco SD-WAN vManage是美国思科(Cisco)公司的一款可提供软件定义网络功能的软件。该软件为网络虚拟化的一种方式。Cisco SD-WAN Software存在缓冲区溢出漏洞,该漏洞源于程序未对IP流量进行正确处理,未经身份认证的远程攻击者可通过向受影响设备发送特制的IP流量利用该漏洞导致缓冲区溢出,并以root特权在底层操作系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-15777

5、Secomea SiteManager输入验证错误漏洞

Secomea SiteManager是丹麦Secomea公司的一个应用软件。提供一个工业设备远程维护功能。Secomea SiteManager 9.4.620527004之前版本存在输入验证错误漏洞,该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问,攻击者可利用该漏洞可以使用配置的凭据从internet访问web UI。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-15489

二、境内厂商产品漏洞

1、北京良精志诚科技有限责任公司LJCMS存在文件上传漏洞(CNVD-2021-09681)

LJCMS是免费、开源的php企业网站管理系统。北京良精志诚科技有限责任公司LJCMS存在文件上传漏洞,攻击者可利用该漏洞获得服务器控制权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-09681

2、金蝶EAS Cloud存在目录遍历漏洞

金蝶EAS Cloud基于云计算技术,为大型集团企业提供一体化、智能化的业务解决方案。金蝶EAS Cloud存在目录遍历漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-09699

3、ZZCMS存在未授权访问漏洞(CNVD-2021-09684)

ZZCMS是一款完全开源基于PHP,ASP的产品招商网站管理系统、项目招商网站管理系统、企业网站管理系统。ZZCMS存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-09684

4、石家庄九赢网络科技有限公司建站系统存在SQL注入漏洞

石家庄九赢网络科技有限公司以网站建设、移动互联产品、720度全景展示、VI视觉设计为核心业务等。石家庄九赢网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-09973

5、爱青檬CMS存在SQL注入漏洞

爱青檬CMS是一个以php MySQL进行开发的php音乐网站。爱青檬CMS存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-09695