上周关注度较高的产品安全漏洞(20181105-20181111)

正文

一、境外厂商产品漏洞

1、Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞

Struts2是第二代基于Model-View-Controller（MVC）模型的java企业级web应用框架，成为国内外较为流行的容器软件中间件。攻击者可以在未经授权的情况下，执行任意代码并可获取目标系统的所有权限。

参考链接：

http://www.cnvd.org.cn/webinfo/show/4751

2、IBM DB2权限访问控制漏洞

IBM DB2是美国IBM公司的一套关系型数据库管理系统。攻击者可通过加载恶意共享库利用该漏洞获取对DB2实例账户的完整访问权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-22923

3、Cisco Meraki Local Status Page权限提升漏洞

Cisco Meraki是云管理解决方案。允许经过身份验证的远程攻击者修改设备配置文件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-22756

4、Dell OpenManage Network Manager访问控制不当漏洞

Dell OpenManage Network Manager (OMNM)可以管理异构网络环境的整个生命周期。攻击者可以利用漏洞部署后门并将权限升级到root帐户。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-22523

5、Google Android Framework权限提升漏洞（CNVD-2018-22760）

安卓（Android）是一种基于Linux的自由及开放源代码的操作系统，由谷歌公司和开放手机联盟领导及开发。攻击者利用漏洞可提升权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-22760

二、境内厂商产品漏洞

1、IBOS企业协同管理软件4.5.4版本存在命令执行漏洞

IBOS企业协同管理软件是一个基于PHP开发的协同办公管理系统。允许攻击者远程执行命令，获得服务器权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-19939

2、云优CMS企业网站管理系统 v1.1.4 分站版存在代码执行漏洞

云优CMS企业网站管理系统是一套基于PHP+MYSQL为核心开发的专业营销型企业建站系统。攻击者可利用该漏洞获取网站服务器控制权。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-20699

3、Foscam OptiCam i5设计漏洞

Foscam OptiCam i5是中国福斯康姆（Foscam）公司的一款IP摄像机。攻击者可利用该漏洞控制设备。

参考链接：

请到「今天看啥」查看全文