2018

06/29

09:08

来源:
CNVD漏洞平台

微信

新浪

上周关注度较高的产品安全漏洞(20180618-20180624)

  一、境外厂商产品漏洞

  1、多款Canon产品身份验证绕过漏洞

  CanonLBP6650等都是日本佳能(Canon)公司的打印机设备。攻击者可利用该漏洞绕过/tlogin.cgi文件的管理员模式的身份验证。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11784

  2、fast-http-cli目录遍历漏洞

  fast-http-cli是一款基于命令行的HTTP服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。 

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11617

  3、shit-server目录遍历漏洞

  shit-server是一款文件服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11613

  4、wanggoujing123目录遍历漏洞

  wanggoujing123是一款Web服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11615

  5、myserver.alexcthomas18目录遍历漏洞

  myserver.alexcthomas18是一个文件服务器。攻击者可通过将"../"置于URL中利用该漏洞访问文件系统。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11649

  二、境内厂商产品漏洞

  1、雅视威(yestv)摄像头存在onvif协议匿名访问漏洞

  雅视威(yestv)摄像头是无线网络wifi智能监控器。攻击者可通过编写报文调用对应onvif接口对设备进行非法操作,可匿名访问。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09760

  2、奈特网络建站存在SQL注入漏洞

  陕西奈特科技发展有限公司是一间以网站建设与视觉设计开发和品牌网络营销推广为一体的网站设计公司。攻击者可利用该漏洞获取数据库敏感信息,并且在后台可以上传任意文件。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09530

  3、国微CMS学校站群系统存在SQL注入漏洞

  国微CMS(原PHP168 S系列)是国内政府、学校、集团平台的领导厂商,也是中国南方PHP领域最大的开源系统提供商。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09458

  4、一浪网络建站系统存在SQL注入漏洞

  合肥一浪网络科技有限公司是一家融创意、设计、制作、开发一体的专业网络设计公司。攻击者可利用漏洞获取数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09534

  5、YHCMS V2.6.5 R20160808版本存在SQL注入漏洞

  YHCMS是一套基于PHP+MYSQL为核心开发的专业营销型企业建站系统。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-10071

  说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

上周关注度较高的产品安全漏洞(20180618-20180624)

2018 21:08来源:CNVD漏洞平台

  一、境外厂商产品漏洞

  1、多款Canon产品身份验证绕过漏洞

  CanonLBP6650等都是日本佳能(Canon)公司的打印机设备。攻击者可利用该漏洞绕过/tlogin.cgi文件的管理员模式的身份验证。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11784

  2、fast-http-cli目录遍历漏洞

  fast-http-cli是一款基于命令行的HTTP服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。 

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11617

  3、shit-server目录遍历漏洞

  shit-server是一款文件服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11613

  4、wanggoujing123目录遍历漏洞

  wanggoujing123是一款Web服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11615

  5、myserver.alexcthomas18目录遍历漏洞

  myserver.alexcthomas18是一个文件服务器。攻击者可通过将"../"置于URL中利用该漏洞访问文件系统。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11649

  二、境内厂商产品漏洞

  1、雅视威(yestv)摄像头存在onvif协议匿名访问漏洞

  雅视威(yestv)摄像头是无线网络wifi智能监控器。攻击者可通过编写报文调用对应onvif接口对设备进行非法操作,可匿名访问。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09760

  2、奈特网络建站存在SQL注入漏洞

  陕西奈特科技发展有限公司是一间以网站建设与视觉设计开发和品牌网络营销推广为一体的网站设计公司。攻击者可利用该漏洞获取数据库敏感信息,并且在后台可以上传任意文件。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09530

  3、国微CMS学校站群系统存在SQL注入漏洞

  国微CMS(原PHP168 S系列)是国内政府、学校、集团平台的领导厂商,也是中国南方PHP领域最大的开源系统提供商。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09458

  4、一浪网络建站系统存在SQL注入漏洞

  合肥一浪网络科技有限公司是一家融创意、设计、制作、开发一体的专业网络设计公司。攻击者可利用漏洞获取数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09534

  5、YHCMS V2.6.5 R20160808版本存在SQL注入漏洞

  YHCMS是一套基于PHP+MYSQL为核心开发的专业营销型企业建站系统。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-10071

  说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

为你推荐

国家计算机病毒应急处理中心监测发现六

国家计算机病毒应急处理中心近日通过互联网监测发现,六款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及恶意传播和隐私窃取两类。

关于Xbash恶意软件的预警提示

近期,多家安全厂商监测发现一款主要针对Linux和Windows服务器、具备勒索和挖矿功能的恶意软件Xbash,该恶意软件具有自我传播和快速扩散的能力……

关于Struts2存在高危漏洞的预警提示

2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。