PDF《信息安全漏洞周报》

2 跨站请求 伪造 CNNVD-201901-894 Phoenix Contact Phoenix Contact FL SWITCH 跨站请求伪造 漏洞 是 高危

3 缓冲区错 误CNNVD-201901-1034 ACD Systems ACD Systems Canvas Draw 缓冲区错误漏洞 是 高危 1. Advantech WebAccess/SCADA 授权问题漏洞 (CNNVD-201901-888) Advantech WebAccess/SCADA 是研华(Advantech)公司的一套 基于浏览器架构的 SCADA 软件. 该软件支持动态图形显示和实时数据 控制,并提供远程控制和管理自动化设备的功能. Advantech WebAccess/SCADA 8.3 版本中存在授权问题漏洞.攻 击者可利用该漏洞绕过身份验证,上传恶意数据.

5 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://support.advantech.com/support/DownloadSRDetail_ New.aspx?SR_ID=1-MS9MJV&

Doc_Source=Download 2. Phoenix Contact FL SWITCH 跨站请求伪造漏洞 (CNNVD-201901-894) Phoenix Contact FL SWITCH 是德国菲尼克斯电气(Phoenix Contact)集团的一款工业级以太网交换机. Phoenix Contact FL SWITCH 3xxx 1.35 之前版本、4xxx 1.35 之前版本和 48xx 1.35 之前版本中存在跨站请求伪造漏洞.远程攻击 者可通过发送畸形的 HTTP 请求利用该漏洞执行未授权的操作. 目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://www.phoenixcontact.com 3. ACD Systems Canvas Draw 缓冲区错误漏洞 (CNNVD-201901-1034) ACD Systems Canvas Draw 是美国 ACD Systems 公司的一款图形 编辑工具,它主要用于创建和编辑图像等. ACD Systems Canvas Draw 5.0.0.28 版本中的 CALS Raster 文 件解析功能存在越界写入漏洞. 攻击者可借助特制的 CAL 图像利用该 漏洞覆盖任意数据,执行代码. 目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://www.acdsystems.com/

二、接报漏洞情况

2019 年1月28 日至

2 月10 日接报漏洞

1224 个,其中信息技术

6 产品漏洞 (通用型漏洞)

8 个, 网络信息系统漏洞 (事件型漏洞)

1216 个. 表5漏洞报送情况

1 上海斗象信息科技 有限公司

760 0

760 2 网神信息技术(北京)股份有限公司

341 0

341 3 四川虹微技术有限 公司

48 0

48 4 中新网络信息安全 股份有限公司

21 1

20 5 内蒙古奥创科技有 限公司

17 0

17 6 北京圣博润高新技 术股份有限公司

12 0

12 7 北京数字观星科技 有限公司

11 0

11 8 上海三零卫士信息 安全有限公司

4 4

0 9 国发中新(北京) 科技发展有限公司

3 0

3 10 安徽锋刃信息科技 有限公司

2 2

0 11 河南听潮盛世信息 技术有限公司

2 0

2 12 西安交大捷普网络 科技有限公司

1 0

1 13 亚信科技(成都) 有限公司

1 1

0 14 河南听潮盛世信息 技术有限公司

1 0

1 报送总计

1224 8

1216 序号报送单位 漏洞总量 通用型 漏洞 事件型 漏洞 ........