2018

06/29

09:08

来源:
CNVD漏洞平台

微信

新浪

上周关注度较高的产品安全漏洞(20180618-20180624)

  一、境外厂商产品漏洞

  1、多款Canon产品身份验证绕过漏洞

  CanonLBP6650等都是日本佳能(Canon)公司的打印机设备。攻击者可利用该漏洞绕过/tlogin.cgi文件的管理员模式的身份验证。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11784

  2、fast-http-cli目录遍历漏洞

  fast-http-cli是一款基于命令行的HTTP服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。 

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11617

  3、shit-server目录遍历漏洞

  shit-server是一款文件服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11613

  4、wanggoujing123目录遍历漏洞

  wanggoujing123是一款Web服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11615

  5、myserver.alexcthomas18目录遍历漏洞

  myserver.alexcthomas18是一个文件服务器。攻击者可通过将"../"置于URL中利用该漏洞访问文件系统。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11649

  二、境内厂商产品漏洞

  1、雅视威(yestv)摄像头存在onvif协议匿名访问漏洞

  雅视威(yestv)摄像头是无线网络wifi智能监控器。攻击者可通过编写报文调用对应onvif接口对设备进行非法操作,可匿名访问。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09760

  2、奈特网络建站存在SQL注入漏洞

  陕西奈特科技发展有限公司是一间以网站建设与视觉设计开发和品牌网络营销推广为一体的网站设计公司。攻击者可利用该漏洞获取数据库敏感信息,并且在后台可以上传任意文件。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09530

  3、国微CMS学校站群系统存在SQL注入漏洞

  国微CMS(原PHP168 S系列)是国内政府、学校、集团平台的领导厂商,也是中国南方PHP领域最大的开源系统提供商。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09458

  4、一浪网络建站系统存在SQL注入漏洞

  合肥一浪网络科技有限公司是一家融创意、设计、制作、开发一体的专业网络设计公司。攻击者可利用漏洞获取数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09534

  5、YHCMS V2.6.5 R20160808版本存在SQL注入漏洞

  YHCMS是一套基于PHP+MYSQL为核心开发的专业营销型企业建站系统。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-10071

  说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

上周关注度较高的产品安全漏洞(20180618-20180624)

2018 21:08来源:CNVD漏洞平台

  一、境外厂商产品漏洞

  1、多款Canon产品身份验证绕过漏洞

  CanonLBP6650等都是日本佳能(Canon)公司的打印机设备。攻击者可利用该漏洞绕过/tlogin.cgi文件的管理员模式的身份验证。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11784

  2、fast-http-cli目录遍历漏洞

  fast-http-cli是一款基于命令行的HTTP服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。 

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11617

  3、shit-server目录遍历漏洞

  shit-server是一款文件服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11613

  4、wanggoujing123目录遍历漏洞

  wanggoujing123是一款Web服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11615

  5、myserver.alexcthomas18目录遍历漏洞

  myserver.alexcthomas18是一个文件服务器。攻击者可通过将"../"置于URL中利用该漏洞访问文件系统。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-11649

  二、境内厂商产品漏洞

  1、雅视威(yestv)摄像头存在onvif协议匿名访问漏洞

  雅视威(yestv)摄像头是无线网络wifi智能监控器。攻击者可通过编写报文调用对应onvif接口对设备进行非法操作,可匿名访问。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09760

  2、奈特网络建站存在SQL注入漏洞

  陕西奈特科技发展有限公司是一间以网站建设与视觉设计开发和品牌网络营销推广为一体的网站设计公司。攻击者可利用该漏洞获取数据库敏感信息,并且在后台可以上传任意文件。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09530

  3、国微CMS学校站群系统存在SQL注入漏洞

  国微CMS(原PHP168 S系列)是国内政府、学校、集团平台的领导厂商,也是中国南方PHP领域最大的开源系统提供商。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09458

  4、一浪网络建站系统存在SQL注入漏洞

  合肥一浪网络科技有限公司是一家融创意、设计、制作、开发一体的专业网络设计公司。攻击者可利用漏洞获取数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-09534

  5、YHCMS V2.6.5 R20160808版本存在SQL注入漏洞

  YHCMS是一套基于PHP+MYSQL为核心开发的专业营销型企业建站系统。攻击者可利用漏洞获得数据库敏感信息。

  参考链接:

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-10071

  说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

为你推荐

短视频平台为何频频成为行骗新工具?

随着移动终端的普及和网络的不断提速,“短、平、快”的短视频获得了大众的喜爱,茶余饭后刷刷“抖音”“快手”,成了人们娱乐减压方式之一,网红经济随之不断崛起……

来电显示暗藏黑色利益链 你的号码被“

同时,可以建立统一的查询、更正、举报、投诉等综合平台,只要是提供号码标记的App,都可以把数据接入到此平台,以便于用户查询和更正标记信息。

国家计算机病毒应急处理中心监测发现十

国家计算机病毒应急处理中心通过互联网监测发现,十款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及资费消耗、系统破坏、流氓行为和赌博四类。