上周关注度较高的产品安全漏洞(20180827-20180902)

正文

一、境外厂商产品漏洞

1、Mutiny Monitoring Appliance命令注入漏洞

Mutiny Monitoring Appliance是英国Mutiny公司的一款网络监控设备。攻击者可利用该漏洞向文件名中注入任意的命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16948

2、Samsung SmartThings Hub STH-ETH-250 video-coreHTTP服务器注入漏洞

Samsung SmartThings Hub是韩国三星（Samsung）公司的一款智能家居管理设备。video-core HTTP server是其中的一个HTTP服务器。攻击者可通过发送HTTP请求利用该漏洞覆盖之前解析的HTTP方法、URL和body。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-17150

3、Netwave IP camera信息泄露漏洞

Netwave IP camera是荷兰Netwave SystemsB.V.公司生产的一款网络摄像机。远程攻击者可利用该漏洞泄露有关网络配置的敏感信息（例如：网络服务集标识和密码）。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16959

4、Schneider Electric PowerLogic PM5560跨站脚本漏洞

Schneider Electric PowerLogic PM5560是法国施耐德电气（Schneider Electric）公司的一款多功能功率计量电表设备。远程攻击者可通过操纵输入利用该漏洞执行JavaScript代码。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-17064

5、Kraftway 24F2XG Router信息泄露漏洞

Kraftway 24F2XG Router是俄罗斯Kraftway公司的一款无线路由器产品。远程攻击者可利用该漏洞实施中间人攻击，解密传递的数据。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16297

二、境内厂商产品漏洞

1、Huawei Mate 10 Pro手机FRP安全绕过漏洞

Huawei Mate 10 Pro是中国华为（Huawei）公司的智能手机产品。攻击者可利用该漏洞在使用FRP重新设置手机过程中，用PC连接手机并通过特定指令安装第三方桌面后可关闭开机向导，从而导致FRP功能绕过。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16535

2、多款Huawei产品插件签名绕过漏洞

Huawei HiRouter-CD20和WS5200-10都是中国华为（Huawei）公司发布的家庭路由器产品。攻击者可利用该漏洞通过篡改合法插件来构建恶意插件。当攻击者诱使用户安装该恶意插件后，由于设备未对插件进行充分校验，恶意插件将被安装到设备中。这将导致攻击者获取设备的root权限，并完全控制设备。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-16536

3 、 D-Link DIR-601 权限提升漏洞

D-Link DIR-601是友讯（D-Link）公司的一款无线路由器产品。本地攻击者可通过劫持POST请求的响应利用该漏洞获取管理权限。

请到「今天看啥」查看全文