一、境外厂商产品漏洞1、Yealink Yeahlink Ultra-elegant IP Phone SIP-T41P命令注入漏洞Yealink Yeahlink Ultra-elegant IP Phone SIP-T41P是中国亿联(Yealink)公司的一款IP电话机。使用66.83.0.35版本固件的Yealink Yeahlink Ultra-elegant IP Phone SIP-T41P中的network diagnostic功能存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-162242、VFront跨站脚本漏洞VFront是一套使用PHP和Javascript编写的用于MySQL或PostgreSQL数据库的开源前端管理工具。Vfront 0.99.5版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-162233、Atlassian Crowd和Atlassian Crowd Data Center命
………………………………