上周关注度较高的产品安全漏洞(20180521-20180527)

以下内容转载自公众号：CNVD漏洞平台

微信号：CNVDTS

一、境外厂商产品漏洞
1 、 Phoenix Contact managed FL SWITCH 缓冲区溢出漏洞

PhoenixContact是德国工业自动化、连接性和接口解决方案提供商。攻击者可通过精心设计的cookie插入到GET请求中，以导致缓冲区溢出，从而启动拒绝服务攻击并执行任意代码。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-10149

2 、 Siemens Milestone XProtect Video ManagementSoftware 反序列化权限提升漏洞

SiemensMilestone XProtect Video Management Software是一套用于管理监控视频等内容的视频管理软件。远程攻击者可利用该漏洞执行代码。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-10185

3 、 Apache Solr XML 外部实体注入漏洞（ CNVD-2018-10076 ）

ApacheSolr是美国阿帕奇（Apache）软件基金会的一款基于Lucene的搜索服务器。攻击者可利用该漏洞读取Solr服务器及内部网络上的任意本地文件。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-10076

4 、 VMware Workstation 和 Fusion 提权漏洞

VMwareFusion是美国威睿（VMware）公司的一套专用于在苹果机（Mac）上运行Windows应用程序的的虚拟机软件。本地攻击者可利用该漏洞绕过签名检测，从而提升权限。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-10312

5 、 NVIDIA Tegra 移动处理器 BootROM Recovery Mode 缓冲区溢出漏洞

NVIDIATegra mobile processors是美国英伟达（NVIDIA）公司的一款中央处理器产品。攻击者可利用该漏洞执行未验证的代码。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-10171

二、境内厂商产品漏洞
1 、网站安全狗（ IIS 版） V4.0 存在 SQL 注入漏洞

网站安全狗IIS版是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。攻击者可利用该漏洞获取数据库敏感信息。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-07628

2 、 Gxlcms 新闻系统 DataAction.class.php 存在代码执行漏洞

Gxlcms新闻系统是一个以php+mysql进行开发的新闻类cms内容管理系统。攻击者可利用漏洞获取webshell。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-08143

3 、 ShopsN v2.2.6