上周关注度较高的产品安全漏洞(20190311-20190317)

正文

一、境外厂商产品漏洞

1、Microsoft Windows Win32k提权漏洞

MicrosoftWindows 10等都是美国微软（Microsoft）公司发布的一系列操作系统。攻击者可利用该漏洞在内核模式中运行任意代码。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-03921

2、Adobe Acrobat和Reader内存错误引用洞（CNVD-2019-06908）

AdobeAcrobat和Reader都是美国奥多比（Adobe）公司的产品。远程攻击者可利用该漏洞执行任意代码。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-06908

3、IBM DB2权限提升漏洞（CNVD-2019-07257）

IBMDB2是美国IBM公司的一套关系型数据库管理系统。攻击者可借助恶意的共享库利用该漏洞获取root权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-07257

4、Martem TELEM GW6/GWM提权漏洞

MartemTELEM GW6/GWM都是爱沙尼亚Martem公司的数据处理器产品。攻击者可通过使用默认凭证连接RTU利用该漏洞修改/上传新的系统配置或控制RTU。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-07031

5、Google Android System组件权限提升漏洞（CNVD-2019-07377）

安卓（Android）是一种基于Linux的自由及开放源代码的操作系统，由谷歌公司和开放手机联盟领导及开发。攻击者可利用该漏洞实现权限提升。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-07377

二、境内厂商产品漏洞

1、MetInfo 6.1.3版本后台存在文件写入漏洞

MetInfo是长沙米拓信息技术有限公司的一套使用PHP和Mysql开发的内容管理系统（CMS）。攻击者可利用该漏洞获取网站服务器控制权。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-06194

2、Shop7z网上购物系统时尚版前台Sh***.asp文件存在SQL注入漏洞

Shop7z网上购物系统是ASP网上开店平台软件，提供全面的基于互联网解决方案的应用服务。攻击者可利用漏洞获取数据库敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-05767

3、青岛商至信网络科技有限公司建站系统存在SQL注入漏洞

青岛商至信网络科技有限公司，是一家专业从事电子商务、网络营销、软件开发、IDC及相关网络增值服务的高科技专业化公司。攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

请到「今天看啥」查看全文