大家好,小编近日将国内主流网络安全媒体发布的重要网络安全漏洞进行了梳理汇总,在这里分享给大家学习。让我们来共同提升网络安全防范意识吧!
1. Google Chrome Media 存在资源管理错误高危漏洞
Google Chrome是美国谷歌(Google)公司一款Web浏览器,Media是其中一个多媒体组件。Google Chrome中的media组件存在资源管理错误高危漏洞,远程攻击者可借助特制的网站利用该漏洞在系统上执行任意代码。可影响Google Chrome 77.0.3865.75之前版本产品。目前厂商已发布升级补丁修复漏洞。
2. CommScope ARRIS TR4400存在身份验证绕过高危漏洞
CommScope ARRIS TR4400是美国康普(CommScope)公司一款无线路由器。该产品存在身份验证绕过高危漏洞,攻击者可利用该漏洞访问路由器管理界面。可影响CommScope ARRIS TR4400 <=A1.00.004-180301产品。目前厂商已发布升级补丁以修复漏洞。
3. CloudBees Jenkins Script Security Plugin 存在输入验证错误高危漏洞
CloudBees Jenkins(Hudson Labs)是美国CloudBees公司一套基于Java开发的持续集成工具,该产品主要用于监控持续的软件版本发布、测试项目和一些定时执行的任务,Script Security Plugin是使用在其中的一个脚本安全插件。CloudBees Jenkins Script Security Plugin中存在沙盒绕过高危漏洞,攻击者可利用该漏洞执行代码。可影响CloudBees Jenkins Script Security Plugin 1.62及之前版本产品。厂商已发布升级补丁以修复漏洞。
4. FlameCMS 存在SQL注入高危漏洞
FlameCMS是一套基于PHP的开源内容管理系统(CMS)。该系统中的account/login.php文件存在SQL注入高危漏洞,漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令。可影响FlameCMS 3.3.5版本产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。
5. 牛酷信息科技 NIUSHOP 存在跨站请求伪造中危漏洞
牛酷信息科技NIUSHOP是中国牛酷信息科技公司的一套开源的电子商务系统。该系统中存在跨站请求伪造中危漏洞,该漏洞源于WEB应用未充分验证请求是否来自可信用户,攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。可影响NIUSHOP V1.11产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。
6. 智蜂网科技 ifw8 Router ROM存在信息泄露中危漏洞
智蜂网科技ifw8 Router ROM是中国智蜂网科技公司的一套路由器操作系统。该操作系统存在信息泄露中危漏洞,攻击者可通过读取action/usermanager.htm HTML源码利用该漏洞泄露凭证。可影响ifw8 Router ROM v4.31版本产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。
7. Fuji Xerox DocuShare 存在跨站脚本中危漏洞
Fuji Xerox DocuShare是日本富士施乐(Fuji Xerox)公司一套基于Web文档内容管理的解决方案,产品支持存储文档、图像或视频,支持业务流程自动化、支持文档内容共享和协作等。Fuji Xerox DocuShare中的webExMeetingLogin.jsp和deleteWebExMeetingCheck.jsp文件中的webEx模块存在跨站脚本中危漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证,攻击者可利用该漏洞执行客户端代码。可影响Fuji Xerox DocuShare 7.0.0.C1.609及之前版本产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。
8. GetSimple CMS 存在跨站脚本中危漏洞
GetSimple CMS是一套使用PHP语言编写的内容管理系统(CMS)。GetSimple CMS中的admin/theme-edit.php文件存在跨站脚本高危漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证,攻击者可利用该漏洞执行客户端代码。可影响GetSimple CMS v3.3.15版本产品。目前厂商已发布升级补丁以修复漏洞。
9. Sensorweb ScadaBR 存在跨站脚本中危漏洞
Sensorweb ScadaBR是Sensorweb公司一套用于开发自动化数据采集和监控应用程序的开源软件。Sensorweb ScadaBR中存在跨站脚本中危漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证,攻击者可利用该漏洞执行客户端代码。可影响Sensorweb ScadaBR 1.0CE版本产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。
10. phpMyAdmin 存在跨站请求伪造中危漏洞
phpMyAdmin是phpMyAdmin团队的一套免费、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。phpMyAdmin存在跨站请求伪造中危漏洞,该漏洞源于WEB应用未充分验证请求是否来自可信用户,攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。可影响phpMyAdmin 4.9.0.1版本产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。