2018

06/29

09:08

来源:
CNVD漏洞平台

微信

新浪

上周关注度较高的产品安全漏洞(20180618-20180624)

  一、境外厂商产品漏洞

  1、多款Canon产品身份验证绕过漏洞

  CanonLBP6650等都是日本佳能(Canon)公司的打印机设备。攻击者可利用该漏洞绕过/tlogin.cgi文件的管理员模式的身份验证。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11784

  2、fast-http-cli目录遍历漏洞

  fast-http-cli是一款基于命令行的HTTP服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。 

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11617

  3、shit-server目录遍历漏洞

  shit-server是一款文件服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11613

  4、wanggoujing123目录遍历漏洞

  wanggoujing123是一款Web服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11615

  5、myserver.alexcthomas18目录遍历漏洞

  myserver.alexcthomas18是一个文件服务器。攻击者可通过将"../"置于URL中利用该漏洞访问文件系统。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11649

  二、境内厂商产品漏洞

  1、雅视威(yestv)摄像头存在onvif协议匿名访问漏洞

  雅视威(yestv)摄像头是无线网络wifi智能监控器。攻击者可通过编写报文调用对应onvif接口对设备进行非法操作,可匿名访问。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09760

  2、奈特网络建站存在SQL注入漏洞

  陕西奈特科技发展有限公司是一间以网站建设与视觉设计开发和品牌网络营销推广为一体的网站设计公司。攻击者可利用该漏洞获取数据库敏感信息,并且在后台可以上传任意文件。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09530

  3、国微CMS学校站群系统存在SQL注入漏洞

  国微CMS(原PHP168 S系列)是国内政府、学校、集团平台的领导厂商,也是中国南方PHP领域最大的开源系统提供商。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09458

  4、一浪网络建站系统存在SQL注入漏洞

  合肥一浪网络科技有限公司是一家融创意、设计、制作、开发一体的专业网络设计公司。攻击者可利用漏洞获取数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09534

  5、YHCMS V2.6.5 R20160808版本存在SQL注入漏洞

  YHCMS是一套基于PHP+MYSQL为核心开发的专业营销型企业建站系统。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-10071

  说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

上周关注度较高的产品安全漏洞(20180618-20180624)

2018 21:08来源:CNVD漏洞平台

  一、境外厂商产品漏洞

  1、多款Canon产品身份验证绕过漏洞

  CanonLBP6650等都是日本佳能(Canon)公司的打印机设备。攻击者可利用该漏洞绕过/tlogin.cgi文件的管理员模式的身份验证。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11784

  2、fast-http-cli目录遍历漏洞

  fast-http-cli是一款基于命令行的HTTP服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。 

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11617

  3、shit-server目录遍历漏洞

  shit-server是一款文件服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11613

  4、wanggoujing123目录遍历漏洞

  wanggoujing123是一款Web服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11615

  5、myserver.alexcthomas18目录遍历漏洞

  myserver.alexcthomas18是一个文件服务器。攻击者可通过将"../"置于URL中利用该漏洞访问文件系统。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11649

  二、境内厂商产品漏洞

  1、雅视威(yestv)摄像头存在onvif协议匿名访问漏洞

  雅视威(yestv)摄像头是无线网络wifi智能监控器。攻击者可通过编写报文调用对应onvif接口对设备进行非法操作,可匿名访问。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09760

  2、奈特网络建站存在SQL注入漏洞

  陕西奈特科技发展有限公司是一间以网站建设与视觉设计开发和品牌网络营销推广为一体的网站设计公司。攻击者可利用该漏洞获取数据库敏感信息,并且在后台可以上传任意文件。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09530

  3、国微CMS学校站群系统存在SQL注入漏洞

  国微CMS(原PHP168 S系列)是国内政府、学校、集团平台的领导厂商,也是中国南方PHP领域最大的开源系统提供商。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09458

  4、一浪网络建站系统存在SQL注入漏洞

  合肥一浪网络科技有限公司是一家融创意、设计、制作、开发一体的专业网络设计公司。攻击者可利用漏洞获取数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09534

  5、YHCMS V2.6.5 R20160808版本存在SQL注入漏洞

  YHCMS是一套基于PHP+MYSQL为核心开发的专业营销型企业建站系统。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-10071

  说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

为你推荐

国家计算机病毒应急处理中心监测发现十

近日在净网行动中,国家计算机病毒应急处理中心通过互联网监测发现,10款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及隐私窃取、恶意传播、资费消耗、系统破坏……

钓鱼邮件攻击防范指南

钓鱼邮件是指黑客伪装成同事、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马……

关于华硕路由器存在跨站脚本攻击漏洞的

近日,国家信息安全漏洞共享平台CNVD收录了台湾华硕电脑股份有限公司开发的型号为RT-AC58U的路由器存在反射型跨站脚本攻击漏洞(CNVD编号:CNVD-2018-21251)。