雷神众测漏洞周报 2020.1.6-2020.1.12.-4

声明

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的副本，包括版权声明等全部内容。声明雷神众测允许，不得任意修改或增减此文章内容，不得以任何方式将其用于商业目的。

目录

1  Citrix Application Delivery Controller和Citrix Gateway远程代码执行

 2  PixelStor 5000 K:4.0.1580-20150629远程代码执行

 3  EyouCMS v1.4.1存在命令执行漏洞

 4  Jeecms v9.3后台存在文件上传漏洞

漏洞详情

1. Citrix Application Delivery Controller和Citrix Gateway远程代码执行

漏洞介绍：

NetScaler ADC的Citrix应用程序交付控制器（ADC）和以前称为NetScaler Gateway的Citrix Gateway中，已发现一个漏洞，如果利用该漏洞，则可能允许未经身份验证的攻击者执行任意代码执行。

影响危害：

•Citrix ADC和Citrix Gateway版本13.0所有受支持的内部版本

•Citrix ADC和NetScaler Gateway版本12.1所有受支持的内部版本

•Citrix ADC和NetScaler Gateway版本12.0所有受支持的内部版本

•Citrix ADC和NetScaler Gateway版本11.1所有受支持的内部版本

•Citrix NetScaler ADC和NetScaler Gateway版本10.5所有受支持的内部版本

影响范围：

Cisco Cisco Data Center Network Manager <11.3(1)

漏洞编号：

CVE-2019-19781

修复方案：

更新对应补丁

来源：exploit-db

2.PixelStor 5000 K:4.0.1580-20150629远程代码执行

漏洞介绍：

在Rasilient PixelStor 5000 K：4.0.1580-20150629中发现了一个被归类为严重的漏洞。受此问题影响的是文件languageOptions.php的未知代码块。将参数lang作为参数的一部分进行操作会导致特权提升漏洞（代码执行）。

影响危害：

影响范围：

PixelStor 5000

漏洞编号：

CVE-2020-6756

修复方案：

更新对应补丁。

来源：exploit-db

3. EyouCMS v1.4.1存在命令执行漏洞

漏洞介绍：

EyouCms是基于TP5.0框架为核心开发的免费+开源的企业内容管理系统,专注企业建站用户需求。

影响危害：

EyouCMS v1.4.1存在命令执行漏洞，攻击者可以利用漏洞执行任意系统命令获取服务器权限。

影响范围：

海南赞赞网络科技有限公司 EyouCms V1.4.1

漏洞编号：

修复方案：

检测上传的sql文件，禁止使用恶意sql语句与危险函数。

来源：CNVD

4.  Jeecms v9.3后台存在文件上传漏洞

漏洞介绍：

JEECMS是江西金磊科技发展有限公司开发的一款支持微信小程序、微信公众号/服务号、栏目模型、内容模型交叉自定义、以及具备支付和财务结算的内容电商为一体的内容管理系统。

影响危害：

Jeecms v9.3后台存在文件上传漏洞，攻击者可利用该漏洞获取服务器权限。

影响范围：

江西金磊科技发展有限公司 jeecms v9.3

漏洞编号：

修复方案：

对后台文件上传处做白名单处理或升级版本。

来源：CNVD

专注渗透测试技术

全球最新网络攻击技术

END