上周关注度较高的产品安全漏洞(20190304-20190310)

正文

一、境外厂商产品漏洞

1、GPON路由器远程命令执行漏洞（CNVD-2019-06035）

GPON(Gigabit-CapablePON)技术是基于ITU-TG.984.x标准的最新一代宽带无源光综合接入标准。攻击者可利用该漏洞执行任意命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-06035

2、Adobe ColdFusion任意文件上传漏洞（CNVD-2018-18733）

AdobeColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。攻击者可利用此问题将任意文件上载到受影响的计算机；可能导致在易受攻击的应用程序上下文中执行任意代码。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-06048

3、Dell EMC RSA Archer信息泄露漏洞

DellEMC RSA Archer是美国戴尔（Dell）公司的一款企业IT治理和合规治理产品。攻击者可利用该漏洞获取信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-06041

4、IBM Cloud Private重定向漏洞

IBMCloud Private是美国IBM公司的一套企业私有云解决方案。远程攻击者可通过诱使用户访问特制的网站利用该漏洞伪造URL，实施钓鱼攻击，获取敏感信息或实施其他攻击。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-06162

5、Cisco NX-OS Software权限许可和访问控制漏洞

CiscoNexus 9500 R-Series Line Cards and Fabric Modules等都是美国思科（Cisco）公司的产品。本地攻击者可通过对设备进行身份验证并在Bash弹出框中输入特制的命令利用该漏洞将用户权限提升至root。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-06480

二、境内厂商产品漏洞

1、用友NC-IUFO报表系统存在SQL注入漏洞

用友NC-IUFO报表系统是面向企业的互联网解决方案。攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-05642

2、贝尔光猫后台dd***.cgi文件存在命令执行漏洞

上海诺基亚贝尔股份有限公司是一家为运营商和非运营商客户提供端到端的信息通信解决方案和高质量的服务的公司。攻击者可利用该漏洞执行任意命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-05639

3、YunGouCMS v7.1存在SQL注入漏洞

YunGouCMS是由韬龙网络针对云购模式提供的网站建站程序。攻击者可利用漏洞获取数据库敏感信息。

参考链接：

请到「今天看啥」查看全文