info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری‌های حیاتی هفته دوم دی‌ماه

در هفته اول سال ۲۰۲۰ با چندین آسیب‌پذیری در محصول مدیریت شبکۀ مرکز دادۀ سیسکو روبه‌رو بودیم که سطح خطر آن‌ها بالا و در یکی از موارد حیاتی تشخیص داده شد. درآنتی‌ویروس محبوب avira نیز آسیب‌پذیری از نوع سرریز بافر وجود دارد که به مهاجم امکان ارتقای امتیاز غیرمجاز می‌دهد. از دیگر محصولات آسیب‌پذیر بایستی به کتابخانۀ OpenCV، دستور shellcommand در PHP، سیستم مدیریت محتوای جوملا، کرنل لینوکس و بستر نرم‌افزاری Apache Solr اشاره کرد.

آسیب‌پذیری‌های هفته دوم دی‌ماه
نوع آسیب‌پذیری محصول آسیب‌پذیر شناسه آسیب‌پذیری

Authentication Bypass

Cisco Data Center Network Manager

CVE-2019-15975

CVE-2019-15976

CVE-2019-15977

SQL Injection

Cisco Data Center Network Manager

CVE-2019-15984

CVE-2019-15985

Path Traversal

Cisco Data Center Network Manager

CVE-2019-15980

CVE-2019-15981

CVE-2019-15982

Command Injection

Cisco Data Center Network Manager

CVE-2019-15978

CVE-2019-15979

XML External Entity Read Access

Cisco Data Center Network Manager

CVE-2019-15983

Unauthorized Access

Cisco Data Center Network Manager JBOSS EAP

CVE-2019-15999

Remote Code Execution

Apache Solr

CVE-2019-17558

privilege escalation

Avira Free Antivirus Kernel

CVE-2019-18568

memory corruption

Bento4 Ap4Sample.h GetOffset

CVE-2019-20090

privilege escalation

Cryptbond Network ToOwner()‎ privilege escalation

CVE-2018-19831

privilege escalation

D-Link DIR-859 UPnP Service gena.cgi privilege escalation

CVE-2019-17621

XML External Entity

Easy XML Editor XML Data

CVE-2019-19031

memory corruption

ezXML ezxml_char_content()‎

CVE-2019-20202

memory corruption

ezXML ezxml_decode

CVE-2019-20200

privilege escalation

GitLab Community Edition/Enterprise Edition Access Control privilege escalation

CVE-2018-20501
CVE-2018-20489
CVE-2018-20493

CVE-2018-20498

CVE-2018-20494

information disclosure

GitLab Community Edition/Enterprise Edition

CVE-2018-20495

CVE-2018-20488

privilege escalation

GitLab Community Edition/Enterprise Edition privilege escalation

CVE-2018-20499

Request Forgery

GitLab Community Edition/Enterprise Edition Server- Side

CVE-2018-20497

privilege escalation

GitLab Enterprise Edition Access Control privilege escalation

CVE-2018-20507

SQL Injection

GMS Webservice Module

CVE-2019-7478

Cross-Site Scripting

Joomla!‎ Jomres component

CVE-2013-3931

SQL Injection

Joomla!‎ Jomres component

CVE-2013-3932

memory corruption

libsixel fromgif.c gif_init_frame

CVE-2019-20094

memory corruption

libsixel fromgif.c gif_out_code

CVE-2019-20140

memory corruption

Linux Kernel f2fs Filesystem ttm_page_alloc.c.‎ ttm_put_pages

CVE-2019-19927

privilege escalation

NewIntelTechMedia NETM()‎ privilege escalation

CVE-2018-19832

buffer overflow

OpenCV in the data structure

CVE-2019-5063

CVE-2019-5064

Cross-Site scripting‪(XSS)‬

Open-Xchange(OX) AppSuite

CVE-2013-6242

CVE-2013-7485

Command Injection

php-shellcommand

CVE-2019-10774

memory corruption

QEMU Virtio Out-of-Bounds

CVE-2013-2016

directory traversal

Ricoh MarcomCentral FPProducerInternetServer.exe

CVE-2019-7751

Improper Authentication

SSSD access-provider flaw, handling the setup of the user's SELinux user contex

CVE-2012-3462

Remote Code Execution

Tiny File Manager Upload

CVE-2019-16790

privilege escalation

TinyWall Controller Debug Memory privilege escalation

CVE-2019-19470

XML External Entity

XMLBlueprint XML Data

CVE-2019-19032

integer overflow

libImaging/TiffDecode.c in Pillow

CVE-2020-5310

buffer overflow

XnView stack-based

CVE-2013-3246

Code Execution

Winmap Invalid pointer Dereeference leading to Arbitrary

CVE-2013-4695