上周关注度较高的产品安全漏洞(20180618-20180624)

正文

一、境外厂商产品漏洞

1、多款Canon产品身份验证绕过漏洞

CanonLBP6650等都是日本佳能（Canon）公司的打印机设备。攻击者可利用该漏洞绕过/tlogin.cgi文件的管理员模式的身份验证。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11784

2、fast-http-cli目录遍历漏洞

fast-http-cli是一款基于命令行的HTTP服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11617

3、shit-server目录遍历漏洞

shit-server是一款文件服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11613

4、wanggoujing123目录遍历漏洞

wanggoujing123是一款Web服务器。攻击者可通过在URL中放置‘../’序列利用该漏洞获取文件系统的访问权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11615

5、myserver.alexcthomas18目录遍历漏洞

myserver.alexcthomas18是一个文件服务器。攻击者可通过将"../"置于URL中利用该漏洞访问文件系统。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11649

二、境内厂商产品漏洞
1 、雅视威（ yestv ）摄像头存在 onvif 协议匿名访问漏洞

雅视威（yestv）摄像头是无线网络wifi智能监控器。攻击者可通过编写报文调用对应onvif接口对设备进行非法操作，可匿名访问。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09760

2 、奈特网络建站存在 SQL 注入漏洞

陕西奈特科技发展有限公司是一间以网站建设与视觉设计开发和品牌网络营销推广为一体的网站设计公司。攻击者可利用该漏洞获取数据库敏感信息，并且在后台可以上传任意文件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09530

3 、国微 CMS 学校站群系统存在 SQL 注入漏洞

国微CMS(原PHP168 S系列)是国内政府、学校、集团平台的领导厂商，也是中国南方PHP领域最大的开源系统提供商。攻击者可利用漏洞获得数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09458

4

请到「今天看啥」查看全文