Adob​​ePlugsDreamweaverSQLInjectionFlaw

Adob​​ePlugsDreamweaverSQLInjectionFlaw

Web工具供应商AdobeSystems已承认其MacromediaDreamweaver套件生成的代码可能允许SQL注入攻击。

根据Adobe的一份咨询报告,该漏洞已得到确认在Dreamweaver8.0.2及更早版本上。它会影响ColdFusion,PHPmySQL,ASP,ASP.NET和JSP服务器模型。

“如果数据库服务器配置为允许通过数据库调用执行本地系统命令,则此漏洞也可能允许本地代码执行,“向Adobe报告此问题的安全研究员BrianGallagher说。

Dreamweaver提供RAD(快速应用程序设计)工具,用于为各种服务器模型创建Internet和Intranet应用程序(数据库和语言)。

存在安全问题,因为这些函数自动生成的代码无法正确验证输入,并且容易受到远程用户的SQL注入攻击,Gallagher解释道。

思科补丁AVS欺骗漏洞

网络路由和交换巨头思科系统公司发布了新版AVS(应用程序速度系统)软件,以修复“中等关键”漏洞,使用户面临安全绕过的风险欺骗攻击。

/zimages/5/28571.gif点击此处阅读有关AdobePhotoshop和Illustrator的最新补丁。

在网上发布的警报中,该公司表示该问题会影响CiscoAVS3120和CiscoAVS3110。

问题是由不安全的默认设置引起的,该设置允许任何人将设备用作能够处理嵌入在HTTPPOST请求中的数据的任何TCP服务的开放中继。思科表示,恶意攻击者可利用此设备将该设备用作开放式中继。

根据Ciscos安全响应团队的说法,该问题被积极利用来发送未经请求的商业电子邮件并模糊真正的发起人。

Verisigni-NAV插件中的代码执行错误

Verisignsi-NavActiveX控件的“高度关键”缺陷可能会使用户面临系统访问攻击的风险,来自TippingPointsZeroDayInitiative的警告。

此漏洞已由Verisign修复,允许远程攻击者在Verisigni-NavActiveX控件的易受攻击的安装上执行任意代码。“根据警报,”目标必须访问恶意网页,需要用户交互来利用此漏洞。

“VUpdater.Install”ActiveX控件中存在特定缺陷,用于在MicrosoftInternetExplorer,Outlook和OutlookExpress产品中为IDN(国际化域名)提供原生支持。

“由于”InstallProduct“例程中缺少对MicrosoftCabinet(.CAB)文件的验证,该公司表示,攻击者可以指定在当前用户的上下文中运行的任意可执行文件。

/zimages/5/28571.gif查看eWEEK.coms以获取最新的安全新闻,评论和分析。有关网络安全问题的见解,请访问eWEEK.com安全中心编辑LarrySeltzers博客。

(责任编辑:吉美彩票官网)

本文地址:http://www.jinworld.com/zhengwu/zhengce/201908/2918.html

上一篇:FortifyUnitesWithFindbugs 下一篇:没有了