1. 首页
  2. SECDNA漏洞信息

5月13日【SECDNA漏洞信息】  星期日

5月13日【SECDNA漏洞信息】  星期日

1、齐博建站系统 v7.0存在跨站脚本漏洞,该漏洞源于系统未对用户输入的数据进行过滤所致。攻击者可利用该漏洞获取cookie信息,进而获取admin权限。厂商尚未提供漏洞修复方案。

2、emlog 5.3.1版本存在任意文件删除漏洞。该漏洞源于程序未对参数进行过滤所致。攻击者可利用该漏洞删除任意文件或目录。厂商尚未提供漏洞修复方案。

3、Linux kernel 4.16-rc7之前版本,net/dccp/output.c文件中的‘dccp_write_xmit()’函数存在安全漏洞。本地攻击者可借助大量特制的系统调用,利用该漏洞造成拒绝服务(空指针逆向引用)。目前厂商已发布升级补丁以修复漏洞。

4、LiteCart 2.1.2版本中存在安全漏洞,该漏洞源于public_html/logs/not_found.log文件可以无限扩大,并且当调用不存在的URL时程序会将整个public_html/logs/not_found.log文件加载到RAM中。远程攻击者可利用该漏洞造成拒绝服务(内存消耗)。厂商尚未提供漏洞修复方案。

5、在spring-integration-zip.v1.0.1.RELEASE之前的版本中,恶意用户通过在压缩文件中构造包含有特定文件名称的文件(受影响文件格式有bzip2, tar, xz, war, cpio, 7z),应用程序使用spring-integration-zip进行解压时,会导致跨目录任意写入文件,进而有可能被Getshell,远程控制。厂商已经更新升级。

【微语】
永远不要把人拿来比较,每个人都与众不同,重要的是要找到最适合自己的差异性。——《偷影子的人》

以上信息来源于互联网,由【SecZone&清职院】搜集并整理.

月13日【SECDNA漏洞信息】 

月13日【SECDNA漏洞信息】 

本文来自www.qypt.org。发布者:Manage,转转请注明出处:https://www.qypt.org/secdnaloophole/947.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息