正文
一、境外厂商产品漏洞
1、Insteon Hub缓冲区溢出漏洞
Insteon Hub是美国Insteon公司的一款Insteon中央控制器产品。该产品可远程控制家中的灯泡、墙壁开关、空调等。攻击者可通过发送已认证的HTTP请求利用该漏洞执行代码或造成设备崩溃。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14858
2、3CX跨站脚本漏洞
3CX是美国3CX公司的一款IP电话设备。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14787
3、UTStar WA3002G4身份验证绕过漏洞
UTStar WA3002G4是美国UTStarcom公司的一款调制解调器。攻击者可利用此漏洞直接访问管理员设置并从HTML源中获取明文凭据。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14853
4、Cisco Web Security Appliance跨站脚本漏洞(CNVD-2018-14779)
Cisco Web Security Appliance(WSA)是美国思科(Cisco)公司的一套Web安全设备。该设备提供基于SaaS的访问控制、实时网络报告和追踪、制定安全策略等功能。远程攻击者可通过诱使该界面用户点击特制的链接利用该漏洞在该界面的上下文中执行任意脚本代码或访问基于浏览器的敏感信息。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14779
5、Kamailio分段错误漏洞
Kamailio是德国FhG FOKUS研究所研发的一款开源基于GPL的SIP(Session InitiationProtocol,会话初始协议)服务器。攻击者可借助带有两个‘To’的包头和一个空的‘To’标签的特制SIP消息利用该漏洞执行任意代码或造成拒绝服务(段错误和崩溃)。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14993
二、境内厂商产品漏洞
1、Tenda AC7缓冲区溢出漏洞
Tenda AC7、AC9和AC10都是中国腾达(Tenda)公司的无线路由器产品。攻击者可借助较长的‘limitSpeed’或‘limitSpeedup’参数利用该漏洞造成拒绝服务。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-14983
2、北京拓尔思信息技术股份有限公司TRS MAS infogate插件存在反射型跨站脚本漏洞
TRS MAS是基于移动互联网时代音视频的使用特点,推出的一套通用型媒资管理系统。攻击者可利用该漏洞通过构造XSS语句,进行弹框操作,获得用户cookie等信息。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-00612
3、英威腾VS系列人机界面编程软件存在内存读取越界漏洞
深圳市英威腾电气股份有限公司是电气传动、工业控制、新能源领域的产品与服务供应商。攻击者可利用漏洞导致内存读取越界,造成拒绝服务漏洞,若漏洞利用成功,还可能造成任意代码执行。
参考链接:
