近日重点网络安全漏洞情况摘报(2019.03.12)

  • 2019年04月16日 10:30
  • 点击:[]

1. VIVOTEK FD8177存在命令注入高危漏洞


VIVOTEK FD8177是晶睿通讯(Vivotek)公司一款网络摄像机产品。该产品存在命令注入高危漏洞,远程攻击者可借助eventscript.cgi文件利用该漏洞执行任意代码。可影响Vivotek FD8177 <XXXXXX-VVTK-xx06a产品。厂商已发布漏洞修复程序。


2. Adobe ColdFusion存在任意文件上传高危漏洞


Adobe ColdFusion是美国奥多比(Adobe)公司一套快速应用程序开发平台,包括集成开发环境和脚本语言。Adobe ColdFusion存在任意文件上传高危漏洞,攻击者可利用此漏洞将任意文件上传到受影响计算机,并且在受影响计算机应用程序上执行任意代码。可影响Adobe ColdFusion <=2018 Update 2、Adobe ColdFusion <=2016 Update 9、Adobe ColdFusion <=11 Update 17产品。厂商已发布漏洞修复程序。


3. Drobo 5N2存在系统命令注入高危漏洞


Drobo 5N2 NAS是美国Drobo公司一款网络存储设备(NAS),该设备具有数据共享、数据备份、远程访问和灾备恢复等功能。Drobo 5N2 NAS存在命令注入高危漏洞,攻击者可通过发送特制POST请求利用该漏洞以root身份执行任意系统命令。可影响Drobo Drobo 5N2 NAS 4.0.5-13.28.96115产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。


4. Brocade Fabric OS存在权限提升高危漏洞


Brocade Fabric OS(FOS)是美国博科通讯系统(Brocade)公司一套使用在交换机和路由器等设备中的嵌入式操作系统。Brocade FOS命令行接口的configdownload命令存在权限提升高危漏洞,本地攻击者可利用该漏洞绕过受限制shell并获取root访问权限。可影响Broadcom Fabric OS <8.2.1、Broadcom Fabric OS <8.1.2f、Broadcom Fabric OS <8.0.2f、Broadcom Fabric OS <7.4.2d产品。厂商已发布漏洞修复程序。


5. 飞利浦智能无线音箱web服务formPlayURL网络接口存在命令执行高危漏洞


飞利浦智能无线音箱是一款可联网的基于人工智能的音乐播放器,该产品无线音箱web服务formPlayURL网络接口存在命令执行高危漏洞,攻击者可利用该漏洞执行命令。可影响飞利浦智能无线音箱(AW6005A/93型号) v1.1.1.0915产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。


6. HTTL存在远程命令执行高危漏洞


HTTL(又名Hyper-Text Template Language)是一款开源的Java模板引擎,主要用于动态HTML页面输出。该产品中‘decodeXml’函数存远程命令执行高危漏洞,远程攻击者可利用该漏洞远程执行命令。可影响HTTL <=1.0.11产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。


7. CA Unified Infrastructure Management存在缺乏认证高危漏洞


CA Unified Infrastructure Management是一种功能强大的统一IT监控解决方案,可帮助组织提供可靠、灵活的IT服务。该产品存在缺乏认证高危漏洞,远程攻击者可利用该漏洞进行读/写文件等各种攻击。可影响CA Unified Infrastructure Management 8.5.1/8.5/8.4.7产品。厂商已发布漏洞修复程序。


8. Joomla组件HWDVideoShare 存在SQL注入高危漏洞


Joomla是一套开源的内容管理系统(CMS)。该系统组件HWDVideoShare存在SQL注入高危漏洞,远程攻击者利用该漏洞可执行不同参数的任意SQL命令。可影响Joomla HWDVideoShare 1.5产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。


9. Moxa NPort W2x50A存在操作系统命令注入高危漏洞


Moxa NPort W2x50A是摩莎(Moxa)公司一款用于将工业串口设备连上网络的串口通讯服务器。该产品中web server功能存在操作系统命令注入高危漏洞,攻击者可通过发送特制HTTP POST请求利用该漏洞以root用户身份运行操作系统命令。可影响Moxa NPort W2x50A <2.2 Build_18082311产品。目前厂商已发布升级补丁以修复漏洞。


10. Paessler AG PRTG Network Monitor存在跨站脚本中危漏洞


Paessler AG PRTG Network Monitor是德国Paessler AG公司一款全功能网络监控管理软件。该产品存在跨站脚本中危漏洞,远程攻击者可借助‘searchtext’参数利用该漏洞注入任意Web脚本或HTML。可影响Paessler AG Paessler PRTG Network Monitor 7.1.3.3378产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。


11.Xiaomi perseus-p-oss MIX 3存在整数溢出高危漏洞


Xiaomiperseus-p-oss MIX3是中国小米科技(Xiaomi)公司一款智能手机。该手机存在整数溢出高危漏洞,漏洞源于程序未能检查‘count’参数,攻击者可利用该漏洞造成OOPS错误。可影响Xiaomiperseus-p-oss MIX 3 <=3 2018-11-26产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。


12.网站安全狗(Apache版)存在webshell绕过高危漏洞


网站安全狗(Apache版)是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。网站安全狗(Apache版)存在webshell绕过高危漏洞,攻击者利用该漏洞执行系统命令。可影响网站安全狗(Apache版)V4.0产品。厂商尚未提供漏洞修补方案,请关注厂商主页及时更新。


13. GreenCMS存在文件上传高危漏洞


GreenCMS是南京工业大学绿荫工作室开发的一款基于ThinkPHP内容管理系统,该系统存在文件上传高危漏洞,攻击者利用该漏洞上传任意文件。可影响GreenCMSv2.3.0603产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。


14.Microsoft Outlook存在远程代码执行高危漏洞


MicrosoftOutlook是美国微软(Microsoft)公司一款Office套件中捆绑的电子邮件客户端软件,可管理电子邮件、联系人和日历等。MicrosoftOutlook存在远程代码执行高危漏洞,该漏洞源于程序未能正确处理内存对象,远程攻击者借助特制文件利用该漏洞在当前用户安全上下文中执行操作。可影响MicrosoftOutlook 2010 SP2MicrosoftOutlook 2013 RT SP1Microsoftoutlook 2016/2019 MicrosoftOffice 365 ProPlus产品。厂商已发布漏洞修复程序。


15. Drobo5N2存在系统命令注入高危漏洞


Drobo5N2NAS是美国Drobo公司一款网络存储设备(NAS),设备具有数据共享、数据备份、远程访问和灾备恢复等功能。该产品中/DroboAccess/enable_user端点存在命令注入高危漏洞。攻击者借助‘username’URL参数利用该漏洞执行系统命令。可影响Drobo5N2 NAS 4.0.5-13.28.96115产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。


16.Nablarch存在拒绝服务高危漏洞


Nablarch是一款基于中间件模式的Java应用程序框架。该框架存在拒绝服务高危漏洞,远程攻击者利用该漏洞泄露信息或造成系统停止运行。可影响NablarchNablarch 5、NablarchNablarch 5u13产品。目前厂商已发布升级补丁以修复漏洞。


17.Nokia 8810 4G设备KaiOSGecko组件存在拒绝服务高危漏洞


Nokia88104G是一款诺基亚手机。该手机中Gecko组件存在拒绝服务高危漏洞,攻击者借助特制页面利用该漏洞执行代码或造成拒绝服务。可影响KaiOSNokia 88104G产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。


18.Mozilla Firefox存在内存破坏高危漏洞


MozillaFirefox是美国Mozilla基金会开发的一款开源Web浏览器。该浏览器存在内存破坏高危漏洞,攻击者利用该漏洞破坏内存并造成越边界读取。可影响MozillaFirefox <65产品。厂商已发布漏洞修复程序。


19.Teracue ENC-400存在命令注入高危漏洞

 

TeracueENC-400是德国Teracue公司一款便携式多流编码器。该产品中loginform存在命令注入高危漏洞,该漏洞源于程序未能进行任何转义或验证操作便将用户输入传递到shell命令,攻击者利用该漏洞执行代码。可影响TeracueENC-400产品。厂商已发布了漏洞修复程序。


20.rdesktop存在整数溢出高危漏洞


rdesktop是一个用于连接Windows远程桌面服务的开源UNIX客户端。该产品存在整数溢出高危漏洞,攻击者利用该漏洞导致process_bitmap_updates()函数发生越界写入,导致内存破坏,实现远程代码执行。可影响rdesktop<=1.8.3产品。厂商已发布漏洞修复程序。


上一条:注意!重大安全漏洞曝光:你的安卓手机、iPhone、电脑都不安全了!(2018.01.05)
下一条:关于对IE浏览器零日漏洞及时更新补丁的通报(2019.01.03)

关闭