澎湃Logo
下载客户端

登录

无障碍
  • +1

【安全提示】CNVD发布上周关注度较高的产品安全漏洞

2021-07-14 09:41
来源:澎湃新闻·澎湃号·媒体
字号

以下文章来源于CNVD漏洞平台 ,作者CNVD

CNVD漏洞平台

国家信息安全漏洞共享平台(China National Vulnerability Database)是由国家计算机网络应急技术处理协调中心联合重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。

(20210705-202100711)

一、境外厂商产品漏洞

1、IBM Planning Analytics跨站脚本漏洞

IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。IBM Planning Analytics Local 中存在跨站脚本漏洞,该漏洞源于这个漏洞允许用户在Web UI中嵌入任意的JavaScript代码,攻击者可通过该漏洞导致在可信会话中暴露凭据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-47643

2、Sylius未授权访问漏洞

Sylius是波兰Sylius公司的一套基于Symfony框架的开源电子商务平台。Sylius在1.9.5和1.10.0-RC之前的版本中存在安全漏洞,该漏洞源于在Sylius所下订单的部分细节(订单ID、订单号、商品总数和令牌值)暴露给未授权用户。攻击者可利用该漏洞获取一些额外的重要敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-47648

3、IBM PlanningAnalytics跨站请求伪造漏洞

IBMPlanning Analytics是美国IBM公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。IBMPlanning Analytics 存在跨站请求伪造漏洞,该漏洞源于未充分验证请求是否来自可信用户。攻击者可利用该漏洞执行来自网站信任的用户传输的恶意和未经授权的操作。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-47646

4、Joomla! SP PageBuilder存在任意文件删除漏洞

SP PageBuilder插件是一个免费的页面构建组件,用户可以在joomla网站上使用它来设计和编辑网站页面内容。Joomla!SP Page Builder存在任意文件删除漏洞,攻击可以利用该漏洞删除目标服务器上任意文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39312

5、MicrosoftSharePoint信息泄露漏洞(CNVD-2021-48895)

MicrosoftSharePoint是美国微软公司的一套企业业务协作平台。MicrosoftSharePoint存在信息泄露漏洞,远程攻击者可利用该漏洞提交特殊的请求,获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-48895

二、境内厂商产品漏洞

1、vivo手机接口存在未授权访问漏洞

广东天宸网络科技有限公司经营范围包括:计算机软硬件技术开发与销售;互联网和移动互联网软件产品的技术开发与销售;移动通讯设备及软件的设计等。vivo手机接口存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-40225

2、OP20系列画面设置工具存在拒绝服务漏洞

OP20是无锡信捷电气股份有限公司开发的画面编辑软件。OP20系列画面设置工具存在拒绝服务漏洞,攻击者可利用该漏洞造成拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39840

3、深圳市万网博通科技有限公司全息AI网络运维平台存在弱口令漏洞

深圳市万网博通投资管理有限合伙企业(有限合伙)(简称TG万网博通),致力于网络通信产品及物联网安全管控平台的开发、应用,是下一代弱电智能化网络解决方案及物联网安全解决方案厂商。深圳市万网博通科技有限公司全息AI网络运维平台存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39849

4、锐捷网络股份有限公司无线smartweb管理系统存在越权漏洞

锐捷网络股份有限公司是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。锐捷网络股份有限公司无线smartweb管理系统存在越权漏洞,攻击者可利用该漏洞越权访问系统。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39842

5、北京百卓网络技术有限公司Smart多业务安全网关智能管理平台存在SQL注入漏洞(CNVD-2021-39833)

北京百卓网络技术有限公司是一家致力于构建下一代安全互联网的高新技术企业。北京百卓网络技术有限公司Smart多业务安全网关智能管理平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39833

来源:CNVD漏洞平台

原标题:《【安全提示】CNVD发布上周关注度较高的产品安全漏洞》

阅读原文

    本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。

    +1
    收藏
    我要举报
            查看更多

            扫码下载澎湃新闻客户端

            Android版

            iPhone版

            iPad版

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈