上周关注度较高的产品安全漏洞(20200921-20200927)

一、境外厂商产品漏洞

1、Microsoft Windows ActiveX Installer Service权限提升漏洞（CNVD-2020-52928）

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows ActiveXInstaller Service存在权限提升漏洞，该漏洞源于Windows ActiveX安装程序服务未能正确处理内存，攻击者可通过运行特制应用程序利用该漏洞提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-52928

2、Google Chrome数据验证不足漏洞（CNVD-2020-53300）

Chrome是由Google开发的一款设计简单、高效的Web浏览工具，其特点是简洁、快速。Google Chrome85.0.4183.121之前版本中的媒体存在数据验证不足漏洞。远程攻击者可通过特制HTML页面利用该漏洞导致堆损坏。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-53300

3、SUSE访问控制错误漏洞

SUSE Manager是德国SUSE公司的一套Linux服务器管理系统。该系统提供自动化软件管理、系统配置和监控等功能。spacewalk是一套开源的Linux系统管理解决方案。SUSE存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。目前没有详细的漏洞细节提供。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-52931

4、McAfee VirusScan Enterprise权限许可和访问控制问题漏洞

McAfee VirusScan Enterprise（VSE）是美国迈克菲（McAfee）公司的一套杀毒软件。该软件提供全方位的安全防护、扫描内存以查找恶意代码和为远程系统优化更新等功能。McAfee VSE 8.8 Patch 14之前版本中的Microsoft Windows client(McTray.exe)存在权限许可和访问控制问题漏洞。本地攻击者可通过运行McAfee Tray利用该漏洞以较高的权限与On-Access Scan Messages -Threat Alert窗口进行交互。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-53290

5、We-COM OpenData CMS SQL注入漏洞

We-COM OpenData CMS是意大利We-COM公司的一套内容管理系统（CMS）。We-COM OpenData CMS 2.0版本中存在SQL注入漏洞，该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证，攻击者可利用该漏洞执行非法SQL命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-53320

 

二、境内厂商产品漏洞

1、CLTPHP开源版存在文件删除漏洞

CLTPHP是基于ThinkPHP5开发，后台采用Layui框架的内容管理系统。CLTPHP开源版存在文件删除漏洞。攻击者可利用漏洞删除任意文件，导致程序崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-50712

2、北京为因软件WeLive在线客服系统存在文件上传漏洞

WeLive客服系统采用WebSocket通讯技术，基于PHP开发，不依赖官方服务器。支持客户端浏览器与远程主机之间进行全双工通信，即允许服务器主动推送信息给客户端，具有节约带宽、实时性强等特点。北京为因软件WeLive在线客服系统存在文件上传漏洞，攻击者可利用漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-52594

3、鱼跃cms存在命令执行漏洞

鱼跃CMS是由鲶鱼CMS官方开发的一款专门面向于企业应用的内容管理系统。鱼跃CMS传承了鲶鱼CMS的诸多优点，并根据应用面向而发展出鱼跃CMS的独特品质，为企业建站以及相关工作提供了保障。鱼跃cms存在命令执行漏洞，攻击者可利用漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-51763

4、海南赞赞网络科技有限公司EyouCms存在文件上传漏洞（CNVD-2020-50721）

EyouCms是基于TP5.0框架为核心开发的免费+开源的企业内容管理系统。海南赞赞网络科技有限公司EyouCms存在文件上传漏洞。攻击者可利用漏洞上传webshell，获得服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-50721

5、深圳神州通达网络技术有限公司建站系统存在SQL注入漏洞（ CNVD-2020-50932 ）

深圳神州通达网络技术有限公司，提供腾讯企业邮箱、高端网站建设（PC网站，手机网站，微信公众账号）、SEO优化推广、企业微信等网络基础服务和网络营销推广服务。深圳神州通达网络技术有限公司建站系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-50932

 

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。