正文
一、境外厂商产品漏洞
1、Yealink Yeahlink Ultra-elegant IP Phone SIP-T41P命令注入漏洞
Yealink Yeahlink Ultra-elegant IP Phone SIP-T41P是中国亿联(Yealink)公司的一款IP电话机。使用66.83.0.35版本固件的Yealink Yeahlink Ultra-elegant IP Phone SIP-T41P中的network diagnostic功能存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-16224
2、VFront跨站脚本漏洞
VFront是一套使用PHP和Javascript编写的用于MySQL或PostgreSQL数据库的开源前端管理工具。Vfront 0.99.5版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-16223
3、Atlassian Crowd和Atlassian Crowd Data Center命令执行漏洞
Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品。Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center是Crowd的集群部署版。Atlassian Crowd和Atlassian Crowd Data Center中存在安全漏洞。攻击者可利用该漏洞执行任意代码/命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-16230
4、Schneider Electric 1st Gen Pelco Sarix Enhanced Camera命令注入漏洞(CNVD-2019-16259)
Schneider Electric 1st Gen Pelco Sarix Enhanced Camera是法国施耐德电气(Schneider Electric)公司的一系列固定式IP摄像机。Schneider Electric 1st Gen Pelco Sarix Enhanced Camera中基于Web的GUI存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-16259
5、Oracle Weblogic wls9 async组件反序列化远程命令执行漏洞
WebLogic是美国Oracle公司出品的一个application server,是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。Oracle Weblogic wls9 async组件存在反序列化远程命令执行漏洞。攻击者可通过构造HTTP请求,远程执行代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-11873
二、境内厂商产品漏洞
1、PHPOK pl***.php存在文件上传漏洞
PHPOK是一套采用PHP+MYSQL语言开发的企业站CMS系统。PHPOK pl***.php存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器控制权。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-13597
2、QCMS网站管理系统ca***.php存在文件上传漏洞(CNVD-2019-13600)
QCMS网站管理系统是通过MVC架构开发的一套PHP轻量级系统。QCMS网站管理系统ca***.php存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器控制权。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2019-13600
3、HadSky轻论坛系统存在代码执行漏洞(CNVD-2019-14572)
HadSky轻论坛系统是一款对个人用户免费开放的论坛系统。HadSky轻论坛系统存在代码执行漏洞,攻击者可利用该漏洞获取网站服务器控制权。
