网络安全
大家好,小编近日将国内主流网络安全媒体发布的重要网络安全漏洞进行了梳理汇总,在这里分享给大家学习。让我们来共同提升网络安全防范意识吧!
01用友NC Cloudy存在文件上传高危漏洞
用友NC Cloudy应用于大型企业的数字化云平台,服务大型企业业务创新、管理变革,实现数字化转型。用友NC Cloud存在文件上传高危漏洞,攻击者可利用漏洞上传webshell,获取服务器权限。可影响NC Cloud 1909产品。厂商尚未提供漏洞修补方案,请关注厂商主页及时更新。
02SDCMS存在文件上传高危漏洞
时代网站信息管理系统(简称:SDCMS)是成都生动网络科技有限公司基于asp+access进行开发的门户网站系统。SDCMS存在文件上传高危漏洞,攻击者可利用漏洞上传webshell,获取服务器权限。可影响SDCMS 2.0产品。厂商尚未提供漏洞修补方案,请关注厂商主页及时更新。
03CentOS Web Panel存在SQL注入高危漏洞
CentOS Web Panel(CWP)是一款免费的虚拟主机控制面板。CentOS Web Panel中的某.php文件存在SQL注入高危漏洞,该漏洞源于程序未能正确验证用户提供的字符串,攻击者可利用该漏洞获取敏感信息。可影响cwp-e17.0.9.8.923产品。厂商尚未提供漏洞修补方案,请关注厂商主页及时更新。
04IBM WebSphere Application Sever存在跨站脚本高危漏洞
IBM WebSphere Application Server(WAS)是美国IBM公司一款应用服务器产品。IBM WAS存在跨站脚本高危漏洞,该漏洞源于程序未能正确处理文件目录路径,本地攻击者可利用该漏洞以较高的权限执行任意代码。可影响IBM IBM WebSphere Application Server 7.0/8.0/9.0等产品。厂商已发布漏洞修复程序。
05Red Hat CloudForms存在操作系统命令注入高危漏洞
Red Hat CloudForms是美国红帽(Red Hat)公司的一套混合基础架构管理平台。该平台可跨越虚拟机、云、容器和物理基础架构,为用户提供部署、管理等功能。Red Hat CloudForms中存在操作系统命令注入高危漏洞,该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等,攻击者可利用该漏洞执行非法操作系统命令。可影响Red Hat CloudForms产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。
06Mozilla Firefox存在缓冲区溢出高危漏洞
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox中存在缓冲区溢出高危漏洞,攻击者可借助JPEG图像利用该漏洞造成越界写入,造成系统内存损坏或导致崩溃。可影响Mozilla Firefox <78产品。厂商已发布升级补丁以修复漏洞。
07Pulse Secure Pulse Conncet Secure存在授权问题高危漏洞
Pulse Secure Pulse Connect Secure(又名PCS,前称Juniper Junos Pulse)是美国Pulse Secure公司的一套SSL VPN解决方案。Pulse Secure PCS存在授权问题高危漏洞,攻击者可利用该漏洞绕过身份验证。可影响Pulse Secure Pulse Connect Secure <9.1R8产品。厂商已发布漏洞修复程序。
08Apache Airflow存在远程代码执行高危漏洞
Apache Airflow是美国阿帕奇(Apache)软件基金会的一套用于创建、管理和监控工作流程的开源平台,该平台具有可扩展和动态监控等特点。Apache Airflow中存在远程代码执行高危漏洞,该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未能正确过滤其中的特殊元素,攻击者可利用该漏洞远程执行恶意代码。可影响Apache Airflow <=1.10.10产品。厂商已发布了漏洞修复程序。
09Sick Package Analytics存在输入验证错误高危漏洞
Sick Package Analytics是德国西克(Sick)公司的一套用于自动识别系统的系统性能监控软件。SICK Package Analytics中存在输入验证错误高危漏洞,该漏洞源于网络系统或产品未对输入数据进行正确验证,攻击者可借助特制请求利用该漏洞绕过安全验证,并写入文件。可影响Sick Package Analytics <=V04.0.0产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。
10Teltonika TRB245存在不当输入验证高危漏洞
Teltonika TRB245是立陶宛Teltonika公司的一款蜂窝网络网关产品。Teltonika TRB245的固件存在不当输入验证高危漏洞,远程攻击者可借助恶意的备份压缩文件利用该漏洞获取root权限。可影响Teltonika TRB245 TRB2_R_00.02.04.01产品。厂商已发布了漏洞修复程序。