上周关注度较高的产品安全漏洞(20190415-20190421)

一、境外厂商产品漏洞

1、Joomla组件iPhone homepage icon参数SQL注入漏洞

Joomla是一套开源的内容管理系统(CMS)。 攻击者可利用漏洞获取数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10039

2、Nagios XI SQL注入漏洞（CNVD-2019-10017）

Nagios XI是基于Nagios Core构建的商业监控解决方案，包括仪表板、基于Web的配置、高级报告及丰富的数据可视化。 攻击者可通过使用fusekeys和恶意用户ID通过API利用该漏洞执行任意SQL命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10017

3、Google Android System远程代码执行漏洞（CNVD-2019-10473）

Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。 攻击者可利用该漏洞实现远程代码执行。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10473

4、Siemens SINEMA未经授权访问漏洞

Siemens是一家全球领先的科技企业,凭借电气化、自动化和数字化领域的创新,在发电和输配电、基础设施、工业自动化、驱动和软件等领域为客户提供解决方案的一家公司。 攻击者可以利用该漏洞获取未经授权的访问并执行未经授权的操作。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10133

5、Microsoft Windows Win32k权限提升漏洞（CNVD-2019-10041）

Windows是美国微软公司研发的一套操作系统，Windows采用了图形化模式GUI。 攻击者可利用该漏洞在内核模式下运行任意代码，从而可安装程序，查看、更改或删除数据，或创建具有完全用户权限的新帐户。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-10041

二、境内厂商产品漏洞

1、怡护养老机构运营管理系统存在SQL注入漏洞

怡养老机构运营管理系统是大象通信开发的一套养老机构信息化管理系统。 允许远程攻击者利用此漏洞提交恶意SQL语句，可以获取数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-09076

2、中环留言板v3.2登录处存在SQL注入漏洞

中环留言板是一款由中环工作室采用oop开发的在线留言系统。 中环留言板v3.2后台登录未能进行充分过滤允许攻击者利用漏洞进行sql注入以及万能密码登录。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-08282

3、HYBBS前台存在命令执行漏洞

HYBBS是一款基于HYPHP框架开发的MVC结构的程序。 攻击者可利用该漏洞获取网站服务器控制权。

参考链接：