上周关注度较高的产品安全漏洞(20181126-20181202

正文

一、境外厂商产品漏洞

1、Oracle Database Server存在未明漏洞（CNVD-2018-24127）

OracleDatabase Server是美国甲骨文（Oracle）公司的一套关系数据库管理系统。攻击者可利用该漏洞控制组件，影响数据的保密性、完整性和可用性。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-24127

2、Google Android debugfs模块缓冲区溢出漏洞

Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。攻击者可利用该漏洞执行代码或造成拒绝服务。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-24301

3、Apache Hadoop权限提升漏洞（CNVD-2018-24261）

ApacheHadoop是美国阿帕奇（Apache）软件基金会的一套开源的分布式系统基础架构。攻击者可利用该漏洞以root权限执行任意命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-24261

4、IBM Rational EngineeringLifecycle Manager XML外部实体注入漏洞（CNVD-2018-24366）

IBMRational Engineering Lifecycle Manager是美国IBM公司的一套工程生命周期管理软件。攻击者可利用该漏洞泄露敏感信息或消耗内存资源。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-24366

5、多款Siemens产品开放重定向漏洞

SiemensSIMATIC HMI Comfort Panels等都是德国西门子（Siemens）公司的用于操控和监控机器和设备的HMI软件。攻击者可借助恶意的链接利用该漏洞将用户重定向到不可信的网站。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-24247

二、境内厂商产品漏洞

1、PHPCMS 2008存在代码注入漏洞

PHPCMS网站内容管理系统是采用OOP（面向对象）方式自主开发的框架，是国内主流CMS系统之一。攻击者利用该漏洞，可在未授权的情况下实现对网站文件的写入。

参考链接：

http://www.cnvd.org.cn/webinfo/show/4779

2、H3C ER2100n存在拒绝服务漏洞

H3CER2100n是一款企业级路由器。攻击者可以利用此漏洞造成拒绝服务。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-22111

3、Xiaomi Mi Router 3命令注入漏洞

XiaomiMi Router 3是中国小米（Xiaomi）公司的一款无线路由器产品。攻击者可借助‘payload’URL参数利用该漏洞执行任意系统命令。

参考链接：

请到「今天看啥」查看全文