針對高風險 CVE 最新評分
以下資訊為近期常見漏洞和風險(CVEs)列表的清單。
列表為CVSS評分(Common Vulnerability Scoring System,常見漏洞評分系統)代表了該漏洞的嚴重程度,最低為0,最高為10。
沒有正式CVE-ID,為Imperva發現並緩解的漏洞,目前還沒有分配到CVE。
| CVE ID | DESCRIPTION | CVSS SCORE |
| CVE- 2015- 2353 |
在Apache Groovy 1.7.0到2.4.3中的runtime/MethodClosure.java中的MethodClosure允許遠程攻擊者,通過一個精心製作的序列化objcet執行任意代碼或導致拒絕服務。 | 7.5分 |
| CVE- 2018- 8823 |
modules/bamegamenu/ajax_phpcode.php中的Responsive Mega Menu (Horizontal+Vertical+Dropdown) Pro模塊1.0.32 for PrestaShop 1.5.5.0 to 1.7.2.5允許遠程攻擊者通過代碼參數執行任意PHP代碼。 | 7.5分 |
| CVE- 2019- 9082 |
3.2.4之前的ThinkPHP與開源BMS v1.1.1等產品一樣,允許通過 public//?s=index//think/ /app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][] =後面的命令進行遠程命令執行。 | 10分 |
| CVE- 2018- 13382 |
在Fortinet FortiOS 6.0.0至6.0.4、5.6.0至5.6.8及5.4.1至5.4.10的SSL VPN web portal下存在不當授權漏洞,允許未經認證的攻擊者通過特製的HTTP請求修改SSL VPN web portal用戶的密碼。 | 5 分 |
| CVE- 2020- 13167 |
Netsweeper通過6.4.3允許未經授權的遠程代碼執行,因為webadmin/tools/unixlogin.php(帶有特定的Referer頭)啟動了一個帶有客戶端提供參數的命令行,並允許注入shell元字符。 | |
| NO OFFICIAL CVE-ID |
BigTree CMS在/index.php/admin/developer/settings/create/腳本中存在漏洞,當輸入到 ‘settings’的POST參數時,會被觸發,但沒有進行適當的排除。這可能會允許經過驗證的遠程攻擊者執行任意代碼。 | 9分 |
| NO OFFICIAL CVE-ID |
Joomla!包含一個缺陷,允許在受限路徑之外進行。這個問題是由於mod_random_image沒有正確地對輸入進行排除,特別是通過’文件夾’參數提供的路徑遍歷式攻擊(例如’…/’)。通過特製的請求,遠程攻擊者可能會產生不明的影響。 | 10分 |