上周关注度较高的产品安全漏洞(20190114-20190120)

正文

一、境外厂商产品漏洞

1、IBM Security Identity Manager文件上传漏洞

BM Security Identity Manager（ISIM）是美国IBM公司的一套身份管理和治理解决方案。攻击者可利用该漏洞上传或传递带有危险文件类型的文件。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-01331

2、Apple macOS High Sierra Security逻辑缺陷漏洞

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。攻击者可利用该漏洞绕过管理员身份验证（无需管理员密码）。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-01541

3、Google Chrome WebAssembly代码执行漏洞

Google Chrome是美国谷歌（Google）公司开发的一款Web浏览器。远程攻击者可借助特制的HTML页面利用该漏洞在沙盒内中任意代码（越界读取和写入）。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-01112

4、Symantec Reporter CLI操作系统命令注入漏洞

Symantec Reporter CLI是美国赛门铁克（Symantec）公司的一款命令行工具。远程攻击者可利用该漏洞以提升的系统权限执行任意的操作系统命令。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-01680

5、Cisco IOS和IOS XE Software拒绝服务漏洞（CNVD-2019-01903）

Cisco IOS Software和IOS XE Software都是美国思科（Cisco）公司为其网络设备开发的操作系统。远程攻击者可通过向受影响设备和TACACS+服务器之间已存在的TACACS+会话注入特制的TACACS+数据包或伪造已知有效的TACACS+服务器并向受影响的系统发送特制的TACACS+数据包利用该漏洞造成受影响的设备重载，导致拒绝服务。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-01903

二、境内厂商产品漏洞

1、NA300 PLC存在命令注入漏洞

NA300 PLC是一款中型可编程控制器。攻击者可通过构造参数绕过检查，注入命令,获取服务器权限。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-26204

2、Huawei PCManager代码执行漏洞

Huawei PCManager是中国华为（Huawei）公司的一套电脑管理软件。攻击者可通过诱使用户安装并运行一个恶意应用程序利用该漏洞执行恶意代码，并读写内存。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-01684

3、多款Tenda产品httpd缓冲区溢出漏洞（CNVD-2019-01888）

Tenda AC7等都是中国腾达（Tenda）公司的无线路由器产品。攻击者可利用该漏洞造成拒绝服务（覆盖函数的返回值）。

请到「今天看啥」查看全文