針對高風險 CVE 最新評分
以下資訊為近期常見漏洞和風險(CVEs)列表的清單。
列表為CVSS評分(Common Vulnerability Scoring System,常見漏洞評分系統)代表了該漏洞的嚴重程度,最低為0,最高為10。
沒有正式CVE-ID,為Imperva發現並緩解的漏洞,目前還沒有分配到CVE。
| CVE ID | 漏洞描述 | 評分 |
| CVE-2015-2353 | 在Apache Groovy 1.7.0到2.4.3中的runtime/MethodClosure.java中的MethodClosure 允許遠程攻擊者,通過一個精心製作的序列化objcet執行任意代碼或導致拒絕服務。 |
7.5 |
| CVE-2018-8823 | modules/bamegamenu/ajax_phpcode.php中的Responsive Mega Menu Pro模塊1.0.32 for PrestaShop 1.5.5.0 to 1.7.2.5允許遠程攻擊者通過代碼參數執行任意PHP代碼。 | 7.5 |
| CVE-2019-9082 | 3.2.4之前的ThinkPHP與開源BMS v1.1.1等產品一樣,允許通過 public//?s=index//think/ /app/ invokefunction&function= call_user_func_array&vars[0]=
system&vars[1][]= |
10 |
| CVE-2019-13382 | 在Fortinet FortiOS 6.0.0至6.0.4、5.6.0至5.6.8及5.4.1至5.4.10的SSL VPN web portal下存在不當授權漏洞,允許未經認證的攻擊者通過特製的HTTP請求修改SSL VPN web portal用戶的密碼。 | 5 |
| CVE-2020-13167 | Netsweeper通過6.4.3允許未經授權的遠程代碼執行,因為webadmin/tools/unixlogin.php(帶有特定的Referer頭)啟動了一個帶有客戶端提供參數的命令行,並允許注入shell元字符。 | |
| No Official CVE-ID | BigTree CMS在/index.php/admin/developer/settings/create/腳本中存在漏洞,當輸入到 ‘settings’的POST參數時,會被觸發,但沒有進行適當的排除。這可能會允許經過驗證的遠程攻擊者執行任意代碼。 | 9 |
| No Official CVE-ID | Joomla!包含一個缺陷,允許在受限路徑之外進行。這個問題是由於mod_random_image沒有正確地對輸入進行排除,特別是通過’文件夾’參數提供的路徑遍歷式攻擊(例如’…/’)。通過特製的請求,遠程攻擊者可能會產生不明的影響。 | 10 |