一、境外厂商产品漏洞
1、Oracle MySQL Server拒绝服务漏洞(CNVD-2019-11754)
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。攻击者可利用该漏洞造成拒绝服务(挂起或频繁崩溃),影响数据的可用性。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-11754
2、NagiosXI提权漏洞
Nagios XI是一款网络监控软件,为企业提供网络、服务器和应用程序监控解决方案。攻击者可利用该漏洞获取root权限。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-11627
3、joomla! jdo***组件sen***模块存在SQL注入漏洞
joomla!是一款开放源码的内容管理系统(CMS)。joomla! jdo***组件sen***模块存在SQL注入漏洞。允许攻击者利用漏洞获取数据库敏感信息。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-09870
4、Spring Boot Actuator命令执行漏洞
Actuators是Spring Boot简化Spring开发过程中所提出的四个主要特性中的一个特性。攻击者可通过构造恶意请求利用该漏洞执行任意命令。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-11630
5、Citrix/NetScaler SD-WAN Center未授权远程命令执行漏洞
Citrix SD-WAN Center是Citrix公司旗下的一个集中管理系统。远程攻击者可利用该漏洞以root权限执行任意命令。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-11629
二、境内厂商产品漏洞
1、HNCMS搜索模块存在SQL注入漏洞
HNCMS是一套基于PHP+MYSQL为核心开发、免费 + 开源的中文标签建站系统。攻击者可利用漏洞获取数据库敏感信息。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-09087
2、OFCMS后台editUploadImage方法存在文件上传漏洞
OFCMS 是一个基于java技术研发的内容管理系统。攻击者利用漏洞可上传webshell,获得服务器权限。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08514
3、中国蚁剑XSS与RCE漏洞
中国蚁剑(antSword)是一款开源的跨平台网站管理工具。中国蚁剑存在XSS与RCE漏洞,攻击者可利用该漏洞执行代码。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-11628
4、WTCMS存在文件上传漏洞
WTCMS是一套基于Thinkphp的内容管理系统(CMS)。攻击者可利用该漏洞获取网站服务器控制权。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-09108
5、爱客CMS 2.0存在文件上传漏洞
爱客CMS是一款采用PHP + Mysql架构、多语言、响应式展示,适合个人网站建设的CMS建站系统。攻击者可利用该漏洞获取网站服务器控制权。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-09109
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。