正文
一、境外厂商产品漏洞
1、Baseon Lantronix MSS设备信息泄露漏洞
BaseonLantronix MSS devices是美国Lantronix公司的一款串口通讯服务器设备。攻击者可利用该漏洞登录到TELNET。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-12415
2、Emerson Liebert IntelliSlot Web Card设备设计漏洞
EmersonLiebert IntelliSlot Web Card devices
是美国艾默生电气(
EmersonElectric
)公司的一款智能网卡产品。远程攻击者可借助
config/configUser.htm
或
config/configTelnet.htm URI
利用该漏洞重新配置访问控制。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-12418
3、Brickstream 2300设备信息泄露漏洞
Brickstream2300 devices
是一款客流量统计和分析传感器设备。远程攻击者可通过对
basic.html#ipsettings
或
basic.html#datadelivery URI
发送直接请求利用该漏洞获取敏感信息。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-12420
4、Apache Tomcat CORS Filter安全绕过漏洞
ApacheTomcat
是美国阿帕奇(
Apache
)软件基金会下属的
Jakarta
项目的一款轻量级
Web
应用服务器,它主要用于开发和调试
JSP
程序,适用于中小型系统。
CORS Filter
是其中的一个提供跨源资源共享功能的组件。攻击者可以利用该漏洞绕过某些安全限制来执行未经授权的操作。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-12671
5、Medtronic MyCareLink Patient Monitor暴露危险方法或功能漏洞
MyCareLinkPatient Monitor
是
Medtronic
公司开发的患者监护仪产品。攻击者可利用该漏洞来访问监视器通信接口的调试功能。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-12411
二、境内厂商产品漏洞
1
、
D-Link DIR-890L A2
访问控制不当漏洞
D-Link DIR-890L是友讯(D-Link)公司的无线路由器产品。攻击者可以披露接入点使用的CAPTCHA并且可以选择加载他们选择的CAPTCHA,导致未经授权的登录尝试访问点。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-12491
2
、多款
Huawei
产品越界读取漏洞
HuaweiDP300
等都是中国华为(
Huawei
)公司的产品。
DP300
是一款视频会议终端。
RP200
是一款视频会议一体机设备。远程攻击者可通过控制对端设备并篡改发给目标设备的
SCCP
(
Signalling Connection Control Part
)消息利用该漏洞造成服务异常。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-12543
3
、北京杰控
FameView
组态软件存在代码执行漏洞
FameView
组态软件是北京杰控公司是一家集多年工程应用和服务经验,基于
Windows
操作系统,独立研制开发的高性能组态监控软件的公司,可提供经济完善自动化解决方案。攻击者可以利用恶意软件在目标系统上执行任意代码
DLL
文件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-11001
