2015年04月08日漏洞特征库升级公告
发表日期:2015-04-08 17:38:00
CVE-2015-0339 |
Adobe Flash Player内存破坏漏洞 |
Adobe Flash Player存在内存破坏漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码或造成拒绝服务。 |
CVE-2015-1605 |
Dell Asset Manager多个SQL注入漏洞 |
戴尔scriptlogic资产管理公司(又名任务的工作区资产管理公司)允许远程攻击者通过未明向量(1 )getclientpackage.aspx或(2 )getprocessedpackage.aspx执行任意SQL命令。 |
CVE-2015-0049 |
Microsoft Internet Explorer远程内存破坏漏洞 |
Microsoft Internet Explorer 8、10版本存在远程内存破坏漏洞,远程攻击者通过构造的网站,利用此漏洞可执行任意代码或造成拒绝服务。 |
CVE-2015-0204 |
OpenSSL中间人攻击安全绕过漏洞 |
OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。 |
CVE-2015-0044 |
Microsoft Internet Explorer远程内存破坏漏洞 |
Microsoft Internet Explorer 8、9版本存在远程内存破坏漏洞,远程攻击者通过构造的网站,利用此漏洞可执行任意代码或造成拒绝服务。 |
CVE-2014-9375 |
Lexmark Markvision Enterprise LibraryFileUploadServlet servlet路径遍历漏洞 |
Lexmark Markvision Enterprise 的LibraryFileUploadServlet 存在目录遍历弱点,远端攻击者可藉由ZIP压缩的特殊方法写入并执行任意档案。 |
CVE-2015-0321 |
Adobe Flash Player未明内存破坏漏洞 |
Adobe Flash Player是一款Flash文件处理程序。 Adobe Flash Player存在一个未明内存破坏漏洞,允许攻击者构建恶意SWF文件,诱使用户解析,可以应用程序上下文执行任意代码。 |
CVE-2015-0329 |
Adobe Flash Player CVE-2015-0329未明内存破坏漏洞 |
Adobe Flash Player是一款Flash文件处理程序。 Adobe Flash Player存在一个未明内存破坏漏洞,允许攻击者构建恶意SWF文件,诱使用户解析,可以应用程序上下文执行任意代码。
|
CVE-2014-9308 |
WordPress Shopping Cart插件'banneruploaderscript.php'任意文件上传漏洞 |
WordPress Shopping Cart 3.0.4及其他版本在实现上存在不受限制文件上传漏洞,由于banneruploaderscript.php内存在不正确的if语句,任何注册的用户都可以上传任意文件。攻击者可利用此漏洞上传任意文件到受影响计算机。 |
CVE-2014-7884 |
HP ArcSight Logger多个远程安全漏洞 |
HP ArcSight Logger是日志管理软件工具。 |
CVE-2015-0231 |
PHP不完整修复释放后重利用远程代码执行漏洞
|
PHP 5.4.x、5.5.x、5.6.x版本,ext/standard/var_unserializer.re的process_nested_data函数存在释放后重利用漏洞,远程攻击者通过构造的未序列化调用,错误处理对象序列化属性内重复的数字键,利用此漏洞可执行任意代码。 |
CVE-2014-8386 |
Advantech AdamView多个栈缓冲区溢出漏洞 |
Advantech AdamView解析'.gni'文件中的display属性参数时存在基于栈的缓冲区溢出,允许攻击者构建恶意WEB页,诱使用户解析,可使应用程序崩溃或执行任意代码。 |
CVE-2014-3513 |
OpenSSL信息泄露漏洞
|
OpenSSL 1.0.1j之前版本解析DTLS SRTP扩展数据的实现上存在内存泄露漏洞,攻击者通过发送一系列构造的握手信息造成OpenSSL无法释放64k的内存,导致内存泄露及拒绝服务。 |
CVE-2015-0334 |
Adobe Flash Player类型混淆远程代码执行漏洞 |
Adobe Flash Player存在类型混淆漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码。 |
CVE-2014-7288 |
Symantec Encryption Management Server本地命令注入漏洞 |
Symantec Encryption Management Server 3.3.2 MP6之前版本、Symantec PGP Universal Server 3.3.2 MP6之前版本存在shell命令行注入漏洞,恶意管理员提交数据库备份的请求时,利用此漏洞可获取服务器的访问特权。 |
CVE-2015-0030 |
Microsoft Internet Explorer远程内存破坏漏洞 |
Microsoft Internet Explorer 6-8版本存在远程内存破坏漏洞,远程攻击者通过构造的网站,利用此漏洞可执行任意代码或造成拒绝服务。 |
CVE-2015-0337 |
Adobe Flash Player跨域安全限制绕过漏洞 |
Adobe Flash Player存在跨域安全限制绕过漏洞,攻击者可利用此漏洞绕过某些同源策略限制。 |
CVE-2015-1427 |
ElasticSearch远程代码执行漏洞 |
漏洞出现在脚本查询模块,默认搜索引擎支持使用脚本代码(MVEL)作为表达式进行数据操作,MVEL会被脚本语言引擎换成Groovy,并且加入了沙盒进行控制,危险的代码会在这里被拦截。但是安全研究人员发现,沙盒限制存在过滤不严的情况,攻击者可以通过MVEL构造执行任意java代码,导致远程代码执行。 |
CVE-2015-0309 |
Adobe Flash Player and AIR未明堆缓冲区溢出漏洞 |
Adobe Flash Player/AIR存在一个堆的缓冲区溢出漏洞,允许攻击者构建恶意SWF文件,诱使用户解析,可以应用程序上下文执行任意代码。 |
CVE-014-3567 |
OpenSSL会话票证内存泄露漏洞
|
OpenSSL SSL/TLS/DTLS服务器收到会话票证后会先检查其完整性,检查失败后OpenSSL会无法释放内存,造成内存泄露。通过发送大量的无效会话票证,攻击者可利用此漏洞造成拒绝服务。 |
CVE-2014-9566 |
多个Solarwinds产品core Orion服务SQL注入漏洞 |
Solarwinds多个产品包含的auxiliary/gather/solarwinds_orion_sqli不正确过滤用户提交的输入,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。 |
CVE-2015-1629 |
Microsoft Exchange Server ExchangeDLP跨站脚本执行漏洞 |
Microsoft Exchange Server没有正确过滤Outlook Web App内的页面内容,存在权限提升安全漏洞,通过修改Outlook Web App内的某些属性,然后诱使用户浏览目标Outlook Web App站点,攻击者可利用这些漏洞在当前用户上下文中运行脚本。 |