CNVD发布近期关注度较高的产品安全漏洞(20200323-20200329)

境外厂商产品漏洞

1、GitLab不当授权漏洞

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。GitLab（ 区版和企业版）6.8版本至11.11版本中存在安全漏洞。攻击者可通过发送特制的请求利用该漏洞绕过登录限制。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-18982

2、Vesta Control Panel作系统命令注入漏洞

Vesta Control Panel（VestaCP）是一个开源的虚拟主机控制面板。VestaCP 0.9.7版本至0.9.8-23版本中存在操作系统命令注入漏洞。攻击者可利用该漏洞提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-18981

3、WordPress Kiboko Chained Quiz plugin SQL注入漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客 站。WordPress Kiboko ChainedQuiz 1.0.9之前版本中的controllers/quizzes.php脚本存在SQL注入漏洞。远程攻击者可借助‘answer’和‘answers’参数利用该漏洞执行任意SQL命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-18984

4、Red Hat JBoss Application Server信息泄露漏洞

Red Hat JBoss Application Server是美国红帽（Red Hat）公司的一款基于Java EE的开源的应用服务器。该产品具有启动超快、轻量、模块化设计、热部署和并行部署、简洁管理、域管理及第一类元件等特性。Red Hat JBoss ApplicationServer 7.1.1之前的7版本中存在信息泄露漏洞，该漏洞源于mod_cluster没有以相同的方法处理默认的主机名。攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-19223

5、Andover Continuum代码注入漏洞

Andover Continuum是Schneider Electric（施耐德电气）推出的BACnet楼宇管理系统。Andover Continuum存在代码注入漏洞。该漏洞源于对代码生成的控制不当。攻击者可利用该漏洞读取应用服务器文件系统上的文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-19527

境内厂商产品漏洞

1、LILIN DVR远程命令执行漏洞

LILIN（广州利凌电子有限公司）创立于1988年，是中国最早从事安全防范产品研发、制造的生产厂家之一。LILIN DVR存在远程命令执行漏洞，远程攻击者可利用该漏洞以root身份在目标设备上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-19256

2、金蝶K3WISE创新管理平台存在命令执行漏洞

金蝶K3WISE创新管理平台是一款最新的金蝶K3WISE。金蝶K3WISE创新管理平台存在命令执行漏洞。攻击者可利用漏洞远程执行命令，获得服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-15107

3、极速Office 2019存在内存破坏漏洞

极速Office是由北京海腾时代科技有限公司研发的一款自主可控办公学习类软件。极速Office 2019存在内存破坏漏洞，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-15528

4、软众Office办公软件(RZoffice)存在内存破坏漏洞

软众Office办公软件(RZoffice)是一款office办公软件，该软件兼容MS Office，由文字处理、电子表格、演示文稿三部分组成。软众Office办公软件(RZoffice)存在内存破坏漏洞，攻击者可利用该漏洞导致拒绝服务或代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-15531

5、福昕PDF阅读器存在DLL劫持漏洞

福昕PDF阅读器是一款电子书阅读器。福昕PDF阅读器存在DLL劫持漏洞。攻击者可利用该漏洞加载伪造恶意dll文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-15069

说明：关注度分析由CNVD秘书处根据互联 用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。