中国重庆市公安局主办
  → 您现在的位置: 重庆市公安局公众信息网网络安全管理
近期关注度较高的产品安全漏洞(20181231-20190106)
来自:|时间:2019年02月09日【字号: 】 【打印】 【关闭

一、境外厂商产品漏洞

1Cisco Energy Management Suite XML外部实体注入漏洞

CiscoEnergy Management Suite是美国思科(Cisco)公司的一套能源管理套件。远程攻击者可利用该漏洞读取和写入信息。

2DENX U-Boot缓冲区溢出漏洞

DENXSoftware Engineering Das U-Boot是德国DENX Software Engineering公司的一套可以从AES加密文件读取设备配置的引导加载程序。本地攻击者可利用该漏洞在U-Boot实例的上下文中执行任意代码。

3Microsoft Internet Explorer脚本引擎远程代码执行漏洞

MicrosoftInternet ExplorerIE)是美国微软(Microsoft)公司开发的一款Web浏览器。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,破坏内存。

4Google Android Qualcomm组件缓冲区溢出漏洞(CNVD-2019-00124

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。攻击者可利用该漏洞造成内存破坏。

5SugarCRM(portal_get_related_notes) SQL注入漏洞

SugarCRM是美国SugarCRM公司的一套开源的客户关系管理系统(CRM)。攻击者可利用漏洞从数据库中读取敏感数据。

二、境内厂商产品漏洞

1TP-Link Archer C5远程命令执行漏洞

TP-LINKArcher C5是中国普联(TP-LINK)公司的一款无线路由器产品。攻击者可借助配置文件的‘wan_dyn_hostname’参数利用该漏洞执行命令。

2、微赞CMS mo***.php文件存在文件上传漏洞

微赞CMS是免费源码分析学习系统。允许攻击者上传任意文件,获得服务器权限。

3、上海求创科技有限公司建站系统存在SQL注入漏洞

上海求创科技有限公司是一家专注于为客户提供高端网站策划、网站建设、网页设计、品牌网络营销以及相关的基于互联网应用服务的专业公司。攻击者可利用漏洞获取数据库敏感信息。

4EnterCRM后台存在文件上传漏洞

杭州恩软信息技术有限公司是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司。允许攻击者上传webshell,获得服务器权限。

5、百度WebUploader组件存在文件上传漏洞

WebUploader是由BaiduWebFE(FEX)团队开发的一个简单的以HTML5为主,FLASH为辅的现代文件上传组件。攻击者可利用漏洞直接上传或简单绕过限制上传脚本文件,执行系统命令,获取网站服务器权限。

网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【返回首页