近日重点网络安全漏洞情况摘报
大家好,小编近日将国内主流网络安全媒体发布的重要网络安全漏洞进行了梳理汇总,在这里分享给大家学习。让我们来共同提升网络安全防范意识吧!
1. Huawei AP4050DN-E存在鉴权不当高危漏洞
Huawei AP4050DN-E是华为(Huawei)公司的一款无线访问接入点设备。该产品存在鉴权不当高危漏洞,该漏洞源于程序未能正确地对串口实现身份验证,攻击者可利用该漏洞连接受影响的设备并执行一系列的命令。可影响Huawei AP4050DN-E V200R009C00产品。目前厂商已发布升级补丁以修复漏洞。
2. D-Link DIR-878存在缓冲区溢出高危漏洞
D-Link DIR-878是台湾友讯(D-Link)公司的一款无线路由器。D-Link DIR-878 1.12B01版本中存在缓冲区溢出高危漏洞,远程攻击者可借助‘HNAP_AUTH’HTTP报头利用该漏洞执行代码。可影响D-Link DIR-878 1.12B01产品。目前厂商尚未提供漏洞修复方案,请关注厂商主页更新。
3.冰点订餐宝Pur***文件存在SQL注入高危漏洞
冰点订餐宝是一款单位企业内部食堂订餐管理软件,通过手机APP微信订餐,用于食堂订餐消费管理。冰点订餐宝Pur***文件存在SQL注入高危漏洞,攻击者可利用该漏洞获取数据库敏感信息。可影响冰点订餐宝系统V6.6.4.19044产品。目前厂商未发布修复方案及修复补丁,请关注厂商主页。
4.超级CMS存在文件上传高危漏洞
超级CMS内容管理系统由SEO研究中心(moonseo.cn)为了解决网站优化问题而研发的一套产品。超级CMS存在文件上传高危漏洞,攻击者可以利用漏洞上传恶意文件,获取服务器权限。可影响超级CMS 2.18产品。目前厂商未发布修复方案及修复补丁,请关注厂商主页。
5.天目MVC网站管理系统存在SQL注入高危漏洞
TEMMOKUMVC是邳州天目网络科技有限公司开发的一款PHP+MYSQL产品,采用自主MVC构架,适用大型及中小型企业的开源MVC。天目MVC网站管理系统前台存在SQL注入高危漏洞,攻击者可以利用该漏洞获取数据库信息。可影响天目MVC网站管理系统T-1.24产品。目前厂商已发布升级补丁以修复漏洞。
6.智睿学校选课系统存在SQL注入高危漏洞
智睿学校选课系统定位学校教育开发的系统,专业针对的中学,大专院校学生在线选课,成绩查询系统,为综合一体校园信息系统。智睿学校选课系统存在SQL注入高危漏洞,攻击者利用漏洞可获得数据库敏感信息。可影响智睿学校选课系统v4.6.0产品。目前厂商尚未提供修复方案,请关注厂商主页更新。
7.信呼OA系统存在SQL注入高危漏洞
信呼协同办公系统是一款开源的且跨平台的办公系统。信呼OA系统存在SQL注入高危漏洞,攻击者利用漏洞可获得数据库敏感信息。可影响信呼协同办公系统v1.8.7产品。目前厂商尚未提供修复方案,请关注厂商主页更新。
8. Apache Mesos存在代码执行高危漏洞
Apache Mesos是美国阿帕奇(Apache)软件基金会的一套支持Hadoop、ElasticSearch和Spark等应用架构的开源群集管理软件。Apache Mesos中存在代码执行高危漏洞,攻击者可借助特制的Docker镜像利用该漏洞在主机上以root权限执行代码。可影响Apache Mesos 1.4.*、Apache Mesos >=1.4.0,<=1.4.2、Apache Mesos >=1.6.0,<=1.6.1产品。目前厂商已发布升级补丁以修复漏洞。
9. Siemens Spectrum Power存在命令注入高危漏洞
Siemens Spectrum Power是一款为控制和监视系统的SCADA,通信和数据建模提供基本组件的系统。Siemens Spectrum Power存在命令注入高危漏洞,攻击者可利用该漏洞执行操作系统命令。可影响Siemens Spectrum Power 4产品。目前厂商尚未提供漏洞修复方案,请关注厂商主页更新。
10. Shimo VPN存在权限提升高危漏洞
Shimo VPN是一款基于macOS平台的VPN(虚拟私人网络)软件。该产品助手服务的writeConfig功能存在权限提升高危漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证,攻击者可利用该漏洞获取root权限。可影响Shimo VPN 4.1.5.1产品。目前厂商尚未提供漏洞修复方案,请关注厂商主页更新。