|
各大廠牌軟硬體高風險弱點摘
要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| cloudfoundry |
capi-release |
1 |
CAPI(Cloud Controller)1.101.0之前的版本容易受到拒絕服務攻擊,未經身份驗證的惡意攻擊者可以將特製的YAML文件發送到某些節點,從而導致YAML解析器消耗過多的CPU和RAM。 |
CVE-2020-5423
|
| hp |
edgeline_infrastructure_manager |
1 |
在HPE Edgeline Infrastructure Manager中也發現了一個安全漏洞,也稱為HPE Edgeline Infrastructure Management軟體。
可以遠端利用此漏洞繞過身份驗證,從而導致執行任意指令,獲得特權訪問,導致拒絕服務以及更改配置。 |
CVE-2020-7199
|
| huawei |
fusioncompute |
1 |
FusionCompute 6.3.0、6.3.1、6.5.0、6.5.1和8.0.0版本具有特權升級漏洞。
由於權限管理不當,具有權限的攻擊者可以訪問某些特定文件,並在受影響的產品中獲得管理員特權, 成功的利用將導致特權升級。 |
CVE-2020-9114
|
| huawei |
manageone |
1 |
ManageOne版本6.5.1.1.B010、6.5.1.1.B020、6.5.1.1.B030、
6.5.1.1.B040,.6.5.1.1.B050、8.0.0和8.0.1具有指令注入漏洞。
具有高特權的攻擊者可以通過元件上的某些操作來利用此漏洞。 由於某些參數的輸入驗證不足,攻擊者可以利用此漏洞向目標設備注入指令。 |
CVE-2020-9115
|
| ibm |
cloud_pak_for_security |
1 |
在IBM Cloud Pak for Security 1.3.0.1(CP4S)版本可能易受CVS注入攻擊。
由於對csv文件內容的驗證不正確,遠端攻擊者可以在系統上執行任意指令。 IBM X-Force ID:185367。 |
CVE-2020-4627
|
| linux |
linux_kernel |
1 |
在Linux核心的IP語音H.323連接跟蹤功能處理ipv6埠1720上的連接時,發現了一個記憶體寫入缺陷。此漏洞使未經身份驗證的遠端用戶造成系統服務中止, 此漏洞面臨的最大威脅是機密性,完整性和系統可用性。 |
CVE-2020-14305
|
| mitsubishielectric |
r00cpu_firmware |
1 |
具有韌體49的Mitsubishi MELSEC iQ-R系列的PLC,允許未經身份驗證的攻擊者通過網絡發送惡意封包來停止工業過程。 這種拒絕服務攻擊暴露了不正確的輸入驗證。
停止後為了恢復生產,需要對PLC進行實體訪問,並且設備狀態會丟失。
這與R04CPU,RJ71GF11-T2,R04CPU和RJ71GF11-T2有關。 |
CVE-2020-16850
|
| pcanalyser |
pc_analyser |
1 |
在David Espenschied PC Analyzer 版本4.10(包含4.10)以前發現了一個問題。
PCADRVX64.SYS核心驅動程序開啟了IOCTL功能,該功能允許低權限用戶讀取和寫入任意實體記憶體,這可能會導致任意的Ring-0程式碼執行和特權升級。 |
CVE-2020-28922
|
| pcanalyser |
pc_analyser |
1 |
在David Espenschied PC Analyzer 版本4.10(包含4.10)以前發現了一個問題。
PCADRVX64.SYS核心驅動程序公開了IOCTL功能,該功能允許低權限用戶任意讀取和寫入特定於模型的寄存器(MSRs),這可能會導致任意的Ring-0程式碼執行和特權升級。 |
CVE-2020-28921
|
| synology |
safeaccess |
1 |
在版本1.2.3-0234之前的Synology
SafeAccess中request.cgi中的SQL注入漏洞允許遠端攻擊者通過domain參數執行任意SQL指令。 |
CVE-2020-27660
|
| ucms_project |
ucms |
1 |
UCMS 1.5.0中存在文件上傳漏洞,攻擊者可以利用此漏洞獲取伺服器管理權限。 |
CVE-2020-25537
|
| westerndigital |
my_cloud_os_5 |
1 |
在版本5.06.115之前的Western Digital My Cloud OS 5設備上發現一個問題。由於URI路徑驗證不充分,繞過NAS Admin身份驗證的漏洞,漏洞可能允許未經身份驗證的用戶通過Cookie在設備上執行特權指令。 |
CVE-2020-28971
|
| westerndigital |
my_cloud_os_5 |
1 |
在版本5.06.115之前的Western Digital My Cloud OS 5設備上發現一個問題。
繞過NAS Admin身份驗證的漏洞,漏洞可能允許未經身份驗證的用戶通過Cookie在設備上執行特權指令。
(此外,經過身份驗證的管理員可以使用上傳端點來上傳可執行的PHP腳本。) |
CVE-2020-28970
|
| westerndigital |
my_cloud_os_5 |
1 |
在版本5.06.115之前的Western Digital My Cloud OS 5設備上,NAS Admin儀表板具有繞過身份驗證的漏洞,該漏洞可能允許未經身份驗證的用戶在設備上執行特權指令。 |
CVE-2020-28940
|
| zeroshell |
zeroshell |
1 |
Zeroshell 3.9.3在/ cgi-bin / kerbynet StartSessionSubmit參數中包含一個命令注入漏洞,該漏洞可能允許未經身份驗證的攻擊者使用shell元字符和%0a字符執行系統指令。 |
CVE-2020-29390
|