上周关注度较高的产品安全漏洞(20201207-20201213)

发布者:信息中心发布时间:2020-12-14浏览次数:650

一、境外厂商产品漏洞
      1、Apache Struts远程代码执行漏洞(CNVD-2020-69833)

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。Apache Struts存在远程代码执行漏洞。攻击者可通过精心构造的请求执行远程代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-69833

2、GNU Binutils缓冲区溢出漏洞(CNVD-2020-70959)

GNU Binutils(GNU Binary Utilities或binutils)是GNU社区的开发的一组编程语言工具程序。该程序主要用于处理多种格式的目标文件,并提供有连接器、汇编器和其他用于目标文件和档案的工具。GNU Binutils 2.34版本存在缓冲区溢出漏洞,该漏洞源于无效的进程符号表,GNU Binutils 2.34中的二进制文件描述符(BFD)存在一个拒绝服务漏洞。目前没有详细的漏洞细节提供。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-70959

3、Cloudbees Jenkins Chaos Monkey Plugin授权问题漏洞

Cloudbees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。CVS Plugin是使用在其中的一个CVS版本控制系统插件。Jenkins Chaos MonkeyPlugin 0.3版本及之前版本存在授权问题漏洞,该漏洞源于未能在几个HTTP端点执行权限检查,允许攻击者可利用该漏洞使用总体读权限来生成负载和产生内存泄漏。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-70264

4、Hancom Office 2020存在内存破坏漏洞(CNVD-2020-62415)

Hancom Office 2020提供了一组功能丰富的桌面生产力应用程序,用于执行诸如文字处理,电子表格建模,图形表示以及使用PDF等常见任务。Hancom Office 2020存在内存破坏漏洞,攻击者可利用该漏洞造成程序崩溃。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-62415

5、WordPress DiveBook plugin SQL注入漏洞

WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress DiveBook plugin1.1.4版本存在SQL注入漏洞,该漏洞源于divelog中注入SQL。允许未经身份验证的用户通过divelog.php过滤潜水员参数从数据库中检索数据。目前没有详细的漏洞细节提供。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-70956


二、境内厂商产品漏洞
      1、深圳华制智能制造技术有限公司华制云工业互联网平台存在SQL注入漏洞

华制智能总部位于中国深圳,致力于全球化技术创新,先后在德国、日本、美国等国设立海外办公室与研究院。华制智能以工业互联网平台为核心载体,聚焦设备互联、制造协同、运营管控、数据智能等应用场景,提供卓越的产品与解决方案。深圳华制智能制造技术有限公司华制云工业互联网平台存在SQL注入漏洞,攻击者可以利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-62374

2、力控科技ForceControl存在拒绝服务漏洞

Forcecontrol是一款监控组态软件,主要用于数据采集与监视控制。力控科技ForceControl存在拒绝服务漏洞,攻击者可利用该漏洞导致软件崩溃重启。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-62358

3、南京新迪生态神Windows网络Web版存在缓冲区溢出漏洞(CNVD-2020-62383)

南京新迪生软件技术有限公司是一家专业研发销售工控通用组态及嵌入式软件的高新技术企业。南京新迪生态神Windows网络Web版存在缓冲区溢出漏洞,攻击者可利用该漏洞造成拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-62383

4、力控科技ForceControl httpsvr.exe存在缓冲区溢出漏洞

Forcecontrol是一款监控组态软件,主要用于数据采集与监视控制。力控科技ForceControl httpsvr.exe存在缓冲区溢出漏洞,攻击者可利用该漏洞导致远程拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-62363

5、南京新迪生态神Windows网络Web版存在越界访问漏洞

南京新迪生软件技术有限公司是一家专业研发销售工控通用组态及嵌入式软件的高新技术企业。南京新迪生态神Windows网络Web版存在越界访问漏洞,攻击者可利用该漏洞造成拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-62380

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。