上网行为管理、下一代防火墙、WEB应用漏洞扫描系统、WEB应用防火墙、网络流量控制、广域网优化、安防监控、网络基础通信,创新前沿信息安全产品技术与服务供应商

上周关注度较高的产品安全漏洞(20161121-1127)



一、境外厂商产品漏洞

1、SIEMENS SIMATIC CP 1543-1设备权限提升漏洞

SIEMENS SIMATIC CP 1543-1是一台集成了防火墙、VPN、安全协议、数据加密等安全功能的通信处理器。远程攻击者利用漏洞可通过TIA-Portal和project-data的访问权限获得受影响设备的特权。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-11369

2、WordPress插件Answer My Question SQL注入漏洞

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。攻击者可以通过该漏洞控制应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-11379

3、ntpd存在拒绝服务高危漏洞

Network Time Protocol(NTP)是用于使计算机时间同步化的一种协议。NTPD(Network Time Protocoldaemon)是一个操作系统守护进程。攻击者可利用漏洞使Windows上的ntpd在接收过大的UDP数据包时停止工作,导致拒绝服务。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-11429

4、Drupal Core钓鱼攻击漏洞

Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Drupal 7.52之前的7.x版本和8.2.3之前的8.x版本中的Core存在安全漏洞。攻击者可通过构造恶意的URL利用该漏洞实施钓鱼攻击。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-11479

5、HDF5代码执行漏洞

HDF5是一个用于存储不同类型的图像和数据的文件格式。该漏洞源于库使用文件的值为数组分配空间。攻击者可利用该漏洞执行任意代码。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-11475


二、境内厂商产品漏洞

1、TRS Infogate插件SSRF漏洞

TRS Infogate为拓尔思公司开发的应用于全国政府、企事业单位WCM、IDS平台上的通用型插件。TRS Infogate插件中页面/wcm_url_test.jsp存在SSRF漏洞。攻击者可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-08575

2、多款Huawei产品拒绝服务漏洞(CNVD-2016-11388)

Huawei S9700等都是中国华为(Huawei)公司的S系列交换机。多款Huawei产品中存在拒绝服务漏洞,漏洞源于程序未能正确验证Multiprotocol LabelSwitching (MPLS)报文。远程攻击者可通过发送畸形的MPLS报文利用该漏洞造成拒绝服务。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-11388

3、多款mtk平台手机广升FOTA服务存在system权限提升漏洞(魅魔漏洞)

多款mtk平台手机广升FOTA服务存在system权限提升漏洞。由于使用广升FOTA服务的手机存在某绑定服务的系统app存在漏洞,可达到以system权限执行命令。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-11347

4、北京三维天地物资供应资源管理信息系统xxbh参数存在SQL注入漏洞

物资供应资源管理信息系统是一款在企业管理软件。北京三维天地物资供应资源管理信息系统xxbh参数存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-08701

5、山东浪潮政务审批平台ChannelList.aspx页面存在SQL注入漏洞

山东浪潮政务审批平台ChannelList.aspx页面存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感数据。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-08705

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

 




上一篇: IBM安全访问管理器的Web/移动多个漏洞
下一篇: 没有了!