上周关注度较高的产品安全漏洞(20190422-20190428)

正文

一、境外厂商产品漏洞

1、Oracle MySQL Server拒绝服务漏洞（CNVD-2019-11754）

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。攻击者可利用该漏洞造成拒绝服务（挂起或频繁崩溃），影响数据的可用性。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-11754

2、NagiosXI提权漏洞

Nagios XI是一款网络监控软件，为企业提供网络、服务器和应用程序监控解决方案。攻击者可利用该漏洞获取root权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-11627

3、joomla! jdo***组件sen***模块存在SQL注入漏洞

joomla!是一款开放源码的内容管理系统(CMS)。joomla! jdo***组件sen***模块存在SQL注入漏洞。允许攻击者利用漏洞获取数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-09870

4、Spring Boot Actuator命令执行漏洞

Actuators是Spring Boot简化Spring开发过程中所提出的四个主要特性中的一个特性。攻击者可通过构造恶意请求利用该漏洞执行任意命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-11630

5、Citrix/NetScaler SD-WAN Center未授权远程命令执行漏洞

Citrix SD-WAN Center是Citrix公司旗下的一个集中管理系统。远程攻击者可利用该漏洞以root权限执行任意命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-11629

二、境内厂商产品漏洞

1、HNCMS搜索模块存在SQL注入漏洞

HNCMS是一套基于PHP+MYSQL为核心开发、免费 + 开源的中文标签建站系统。攻击者可利用漏洞获取数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-09087

2、OFCMS后台editUploadImage方法存在文件上传漏洞

OFCMS 是一个基于java技术研发的内容管理系统。攻击者利用漏洞可上传webshell，获得服务器权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-08514

3、中国蚁剑XSS与RCE漏洞

中国蚁剑(antSword)是一款开源的跨平台网站管理工具。中国蚁剑存在XSS与RCE漏洞，攻击者可利用该漏洞执行代码。

参考链接：

请到「今天看啥」查看全文