上周关注度较高的产品安全漏洞(20181231-20190106)

一、境外厂商产品漏洞

1、Cisco Energy Management Suite XML外部实体注入漏洞

Cisco Energy Management Suite是美国思科（Cisco）公司的一套能源管理套件。远程攻击者可利用该漏洞读取和写入信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-00346

2、DENX U-Boot缓冲区溢出漏洞

DENX Software Engineering Das U-Boot是德国DENX Software Engineering公司的一套可以从AES加密文件读取设备配置的引导加载程序。本地攻击者可利用该漏洞在U-Boot实例的上下文中执行任意代码。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-00333

3、Microsoft Internet Explorer脚本引擎远程代码执行漏洞

Microsoft Internet Explorer（IE）是美国微软（Microsoft）公司开发的一款Web浏览器。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码，破坏内存。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-00243

4、Google Android Qualcomm组件缓冲区溢出漏洞（CNVD-2019-00124）

Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。攻击者可利用该漏洞造成内存破坏。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-00124

5、SugarCRM (portal_get_related_notes) SQL注入漏洞

SugarCRM是美国SugarCRM公司的一套开源的客户关系管理系统（CRM）。攻击者可利用漏洞从数据库中读取敏感数据。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-00221

二、境内厂商产品漏洞

1、TP-Link Archer C5远程命令执行漏洞

TP-LINK Archer C5是中国普联（TP-LINK）公司的一款无线路由器产品。攻击者可借助配置文件的‘wan_dyn_hostname’参数利用该漏洞执行命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-00237

2、微赞CMS mo***.php文件存在文件上传漏洞

微赞CMS是免费源码分析学习系统。允许攻击者上传任意文件，获得服务器权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-26062

3、上海求创科技有限公司建站系统存在SQL注入漏洞

上海求创科技有限公司是一家专注于为客户提供高端网站策划、网站建设、网页设计、品牌网络营销以 及相关的基于互联网应用服务的专业公司。攻击者可利用漏洞获取数据库敏感信息。

参考链接：