上周关注度较高的产品安全漏洞(20200928-20201011)

一、境外厂商产品漏洞

1、Google Android MediaProvider权限控制漏洞

Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。Android-11版本MediaProvider中存在权限控制漏洞。该漏洞源于权限绕过，攻击者可利用该漏洞访问ContentResolver和MediaStore条目，从而导致本地特权提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-54674

2、Artifex Ghostscript代码执行漏洞

Artifex Ghostscript是美国Artifex Software公司的一款开源的PostScript（一种用于电子产业和桌面出版领域的页面描述语言和编程语言）解析器，它可显示Postscript文件以及在非Postscript打印机上打印Postscript文件。Artifex Ghostscript 9.24之前版本中存在安全漏洞，该漏洞源于在处理/invalidaccess异常时，程序没有正确的检测‘restoration of privilege（权限恢复）’。攻击者可通过提交特制的PostScript利用该漏洞执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-54477

3、Telmat AccessLog代码注入漏洞

Telmat AccessLog是法国Telmat的一种访问日志监控产品。该产品可以根据访问日志保护公共和专用网络。Telmat AccessLog 6.0（TAL_20180415）之前版本存在代码注入漏洞，该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏获取root shell权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-54312

4、Zoho ManageEngine Applications Manager SQL注入漏洞（CNVD-2020-54780）

ZOHO ManageEngine ApplicationsManager是美国卓豪（ZOHO）公司的一套IT运维管理解决方案。该产品具有应用性能管理、故障管理、报表生成和SLA管理等功能。Zoho ManageEngineApplications Manager 14740之前版本存在SQL注入漏洞，该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-54780

5、Observium SQL注入漏洞（CNVD-2020-54789）

Observium是一款低维护自动发现网络监视平台，支持多种设备类型、平台和操作系统。Observium存在SQL注入漏洞。攻击者可通过includes/authenticate.inc.php中的默认URI的Cookie header利用该漏洞注入恶意SQL语句，从而可实现认证绕过。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-54789

二、境内厂商产品漏洞

1、赛博网游加速器存在本地提权漏洞

赛博加速器是乐至（上海）科技有限公司旗下一款针对网络游戏加速的软件，能有效解决外服游戏的延迟高、登录难、频掉线等问题，保证流畅的游戏环境。赛博网游加速器存在本地提权漏洞，攻击者可利用该漏洞获取服务器管理权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-53550

2、安徽希望网络科技有限公司建站系统存在SQL注入漏洞（CNVD-2020-48244）

安徽希望网络科技有限公司是一家主要从事网站建设、网络推广和网络营销的互联网基础产品服务商。安徽希望网络科技有限公司建站系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-48244

3、北京网瑞达科技有限公司资源访问控制系统（WebVPN）存在命令执行漏洞

资源访问控制系统（WebVPN）是一款为用户提供免客户端的资源便捷访问工具。北京网瑞达科技有限公司资源访问控制系统（WebVPN）存在命令执行漏洞，攻击者可利用该漏洞获取网站服务器控制权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-54319

4、石家庄帝易广告有限公司建站系统存在SQL注入漏洞

石家庄帝易广告有限公司是一家致力于企业品牌策划和营销策划的公司。石家庄帝易广告有限公司建站系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-54841

5、北京四方继保自动化股份有限公司CyberControl存在命令执行漏洞

CyberControl是一套可运行于多种操作系统的可灵活定制的自动化监控软件平台，面向的应用领域包括从大型工业系统的监控主站到基于平板电脑的就地监控系统。北京四方继保自动化股份有限公司CyberControl存在命令执行漏洞。攻击者可利用漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-53356

 

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

本文始发于微信公众号（CNVD漏洞平台）：上周关注度较高的产品安全漏洞(20200928-20201011)