上周关注度较高的产品安全漏洞(20190107-20190113)

一、境外厂商产品漏洞

1、Wifi-soft's Unibox Controllers远程命令注入漏洞（CNVD-2019-00771）

Wifi-soft'sUnibox Controllers是适用于所有大型和小型场所的快节奏的网络控制器。攻击者可利用漏洞注入任意代码。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-00771

2、Microsoft Windows DHCP Client远程代码执行漏洞

MicrosoftWindows 10等都是美国微软（Microsoft）公司发布的一系列操作系统。攻击者可利用漏洞在受影响的系统上下文中执行任意代码。失败的攻击尝试可能会导致拒绝服务条件。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-00764

3、Deltek Ajera Timesheets代码执行漏洞

DeltekAjera Timesheets是美国Deltek公司的一套ERP（企业资源计划）解决方案。远程攻击者可利用该漏洞执行代码。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-00655

4、IBM API Connect信息泄露漏洞（CNVD-2019-00559）

IBMAPI Connect（又名APIConnect）是美国IBM公司的一套用于管理API生命周期的集成解决方案。攻击者可利用该漏洞获取高度敏感的信息。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-00559

5、SIEMENS CP1604和CP1616设备拒绝服务漏洞

SIEMENSCP1604是用于将PCI-104系统连接到PROFINET IO。允许攻击者提取内部通信数据或导致拒绝服务情况。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2019-00987

二、境内厂商产品漏洞

1、ThinkPHP 5.0.x存在远程代码执行漏洞

ThinkPHP是一款兼容性高、部署简单的轻量级国产PHP开发框架。攻击者利用该漏洞，可在未经授权的情况下，对目标网站进行远程命令执行攻击。

参考链接：http://www.cnvd.org.cn/webinfo/show/4855

2、HansCMS V6.0.0存在SQL注入漏洞

合肥汉思信息技术有限责任公司致力于研发医院信息化和智能化系统软件产品、综合卫生管理平台软件产品，以及系列化终端产品等，是国内领先的数字化医院整体解决方案提供商。攻击者可利用该漏洞获取数据库敏感信息。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-25894

3、zzzcms V1.5.7php正式版后台存在代码执行漏洞（CNVD-2018-25899）

zzzcms是一款免费开源的建站系统，主要面对广大站长使用。攻击者可利用该漏洞执行任意代码。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-25899

4、云优CMS企业网站管理系统In***.php文件存在命令执行漏洞

云优CMS企业网站管理系统（YUNUCMS）是一套基于PHP+MYSQL为核心开发的专业营销型企业建站系统。攻击者可利用该漏洞写入木马文件，从而获取网站服务器控制权。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-26074

5、PHPCMS ty***.php文件存在代码注入漏洞

PHPCMS是一套基于PHP和Mysql架构的网站内容管理系统。攻击者可利用漏洞件写入任意内容，从而获取webshell并执行任意命令。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-26039

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

（编辑：CNVD） | 已有0条评论