专栏名称: 国家互联网应急中心CNCERT

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国网络安全应急体系的核心协调机构。

上周关注度较高的产品安全漏洞(20190218-20190224)

国家互联网应急中心CNCERT · 公众号 · · 2019-02-25 16:19

正文

一、境外厂商产品漏洞

1、Cisco Network Convergence System 1000 SeriesIOS XR Software信息泄露漏洞

CiscoNetwork Convergence System 1000 Series是美国思科（Cisco）公司的一套网络融合系统。攻击者可通过向目标设备发送恶意的请求利用该漏洞检索设备上的任意文件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-04942

2、WinRAR存在系列远程代码执行漏洞

WinRAR是一款压缩包管理器。漏洞攻击者利用上述漏洞，通过诱使用户使用WinRAR打开恶意构造的压缩包文件，将恶意代码写入系统启动目录或者写入恶意dll劫持其他软件进行执行，实现对用户主机的任意代码执行攻击。

参考链接：

http://www.cnvd.org.cn/webinfo/show/4903

3、多个厂商IP Camera未授权远程命令执行漏洞

Avidsen、RTJ、TENVIS等厂商网络摄像头。远程攻击者可以未经授权在设备上执行任意命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-04454

4、多款Apple产品WebKit内存破坏漏洞（CNVD-2019-04711）

AppleiOS、Safari和iCloud for Windows都是美国苹果（Apple）公司的产品。攻击者可借助恶意制作的网站内容利用该漏洞执行任意代码（内存破坏）。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-04711

5、Schneider Electric ModiconM221远程安全绕过漏洞

SchneiderElectric Modicon M221是法国施耐德电气（Schneider Electric）公司的一款可编程逻辑控制器产品。远程攻击者可利用该漏洞重启Modicon M221。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-05108

二、境内厂商产品漏洞

1、北京飞锐科技有限公司建站系统存在SQL注入漏洞

北京飞锐科技有限公司是一家互联网技术服务提供商。攻击者可利用漏洞获取数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-01509

2、道坦坦高速公路项目投资建设管理平台存在SQL注入漏洞

贵州道坦坦科技股份有限公司（简称：道坦坦）公司主营业务涵盖智慧交通、智慧物流两大板块。攻击者可利用漏洞获取数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-01527

3、长沙赛联网络技术有限公司建站系统存在SQL注入漏洞

长沙赛联网络技术有限公司是一家专业的网站建设公司。攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-04541