网安 - 专业的网络安全产业、社区、知识平台

上周关注度较高的产品安全漏洞(20210726-20210801)

一颗小胡椒2021-08-02 16:21:38

一、境外厂商产品漏洞

1、Oracle MySQL Server拒绝服务漏洞(CNVD-2021-54386)

Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。Oracle MySQL Server 8.0.25及更早版本中的Server: Optimizer组件存在拒绝服务漏洞。攻击者可利用该漏洞导致MySQL服务器挂起或频繁重复崩溃(完全拒绝服务)。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-54386

2、Cisco IP Phone CP-8865存在未授权访问漏洞

Cisco IP Phone CP-8865是一款企业级IP电话。Cisco IP Phone CP-8865存在未授权访问漏洞。攻击者可利用漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45365

3、ZOHO ManageEngine ADSelfService Plus远程代码执行漏洞

ManageEngine ADSelfService Plus是一款基于Web的自助服务应用程序,使终端用户可不依赖于帮助台而执行密码重置、帐户解锁、配置文件信息更新等任务。Zoho ManageEngine ADSelfService Plus 6101及更早版本在更改密码时存在远程代码执行漏洞。攻击者可利用该漏洞执行远程代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-55176

4、Axis M1011 Network Camera存在未授权访问漏洞

Axis是一家专为提供网络视频解决方案的IT公司。Axis M1011 Network Camera存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45701

5、Polaris Office windows版存在内存破坏漏洞

Polaris Office是一款兼容MS Word、Excel、PowerPoint和Adobe PDF等办公套件。Polaris Office windows版存在内存破坏漏洞。攻击者可利用该漏洞导致程序崩溃。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-43948

二、境内厂商产品漏洞

1、百卓网络Smart多业务安全网关智能管理平台存在逻辑缺陷漏洞

北京百卓网络技术有限公司(以下简称百卓网络)是一家致力于构建下一代安全互联网的高新技术企业。百卓网络Smart多业务安全网关智能管理平台存在逻辑缺陷漏洞。攻击者可利用漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45360

2、中威政府门户网站群管理系统存在文件上传漏洞

江苏中威科技软件系统有限公司,主要从事自主软件技术研究、产品研发;应用系统项目开发建设;技术咨询、方案顾问;云服务等业务。中威政府门户网站群管理系统存在文件上传漏洞,攻击者可利用漏洞上传webshell,获得服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45382

3、深圳市中电电力技术股份有限公司物业综合计费管理云平台存在SQL注入漏洞

物业综合计费管理系统基于云计算、物联网及先进的智能计费管理技术,实现电力系统智能用电数据与其他智能终端数据灵活接入,支持4G、RS-485、以太网等通信方式,使数据互联互通,实现网上在线充值、短信提醒及余额查询等。深圳市中电电力技术股份有限公司物业综合计费管理云平台存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45383

4、RPCMS存在文件上传漏洞(CNVD-2021-45388)

RPCMS是一款基于PHP MYSQL的轻量型内容管理/博客系统。RPCMS存在文件上传漏洞。攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45388

5、大唐电信科技股份有限公司NVS3000综合视频监控平台存在SQL注入漏洞(CNVD-2021-45156)

大唐电信科技股份有限公司是信息通信领域产品和综合解决方案提供商。大唐电信科技股份有限公司NVS3000综合视频监控平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45156

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

信息安全软件
本作品采用《CC 协议》,转载必须注明作者和本文链接
四川发布规划:信息安全产业规模将达到1500亿元
2021-11-24 15:10:13
信息安全产业是四川的特色产业。近日,《四川省“十四五”信息安全产业发展规划》正式出台,将推动四川省信息安全产业发展,为数字经济发展保驾护航。11月22日,省经信厅召开新闻发布会,对《规划》进行解读。
从云评估看云平台供应链安全
2022-07-31 15:20:50
云评估作为确保中国政府和关键基础设施领域云平台安全的重要措施,云平台的供应链安全也将会成为云评估关注的重点之一。
奇安信与吉大正元达成战略合作 联合助力网络安全产业生态发展
2022-07-20 17:24:26
双方将结合各自业务优势,进行能力融合,共同携手推出全方位解决方案。
信息安全技术 软件供应链安全要求》(征求意见稿)发布
2022-10-09 17:20:03
《安全要求》给出了软件供应链安全保护目标,规定了软件供应链组织管理和供应活动管理的安全要求;适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理,可为第三方机构开展软件供应链安全测试和评估提供依据,也可为主管监管部门提供参考。
专题·供应链安全 | 构建全流程软件供应链安全评估机制,维护我国网络空间安全
2021-11-16 10:25:13
软件产品和服务关系生产、生活的各个方面,软件供应链安全直接影响社会的稳定运行。
绘制软件供应链知识图谱,强化风险分析
2022-01-04 15:16:48
随着软件技术的飞速发展和软件开发技术的不断进步,软件开发和集成过程中常会应用第三方软件产品或开源组件,其供应链中软件的安全性和可靠性逐步成为软件产业面临的重要安全问题。近年来大量涌现的软件供应链安全事件则具有不同的特点,攻击软件供应链相较于攻击软件本身,难度和成本显著降低,影响范围一般显著扩大,并且由于攻击发生后被供应链上的多次传递所掩盖,难以被现有的计算机系统安全防范措施识别和处理。
工业信息安全快讯(12月)
2021-12-23 19:30:31
工业信息安全快讯
装备软件供应链网络安全风险分析与对策
2023-07-21 10:05:58
针对软件供应链的网络攻击,常常利用系统固有安全漏洞,或者预置的软件后门开展攻击活动,并通过软件供应链形成的网链结构将攻击效果向下游传播给供应链中所有参与者。近年来,软件供应链网络攻击事件频发,影响越来越大。据 Accenture 公司调查,2016 年 60% 以上的网络攻击是供应链攻击。装备软件供应链安全事关国家安全、军队安全,一旦出现安全风险将会给国家和军队带来重大安全挑战,产生的后果不堪设想。
软件供应链安全治理探索与实践
2023-03-03 15:14:39
各类攻防演练的结果证明,软件供应链攻击已成为投入低、见效快、易突破的有效方式。总体思路与原则:合规是底线,管理是准则,制度是要求,技术是支撑,服务是保障,流程是协作。安全管理制度的建立,能够规范软件供应链涉及的内部、外部角色的行为,同时提供制度性保障。其次,针对软件开发各阶段与存在的风险,引入对应的安全能力,提供技术支撑,确保安全质量。
一颗小胡椒
暂无描述