一、境外厂商产品漏洞

1、IBM DB2任意代码执行漏洞

IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2 存在任意代码执行漏洞，攻击者可利用该漏洞可以创建一个恶意的DLL，然后将其放到IBM DB2的当前目录中，以便执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-68350

2、Microsoft Visual Studio Code远程代码执行漏洞

Microsoft Visual Studio Code是美国微软（Microsoft）公司的一款开源的代码编辑器。Microsoft Visual StudioCode存在安全漏洞。攻击者可利用该漏洞在当前用户的上下文中运行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-68539

3、Oracle WebLogic Console存在命令执行漏洞（CNVD-2020-59803）

WebLogic Server是Oracle公司出品的基于JavaEE架构的中间件，用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。Oracle Weblogic Server存在命令执行漏洞。攻击者可利用漏洞执行任意恶意代码，获取系统控制权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-59803

4、IBM Spectrum Protect Plus硬编码凭据漏洞

IBM Spectrum Protect Plus是用于虚拟环境的数据保护和可用性解决方案，可在几分钟内完成部署，并在一小时内为您的环境提供保护。IBM Spectrum Protect Plus10.1.0 - 10.1.6存在硬编码凭据漏洞。攻击者可利用该漏洞获取密码、加密密钥等硬编码凭据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-67637

5、Microsoft Windows内核权限提升漏洞

Microsoft Windows是美国微软（Microsoft）公司的一种桌面操作系统。Microsoft Windows存在内核权限提升漏洞，攻击者可利用该漏洞可以在内核模式中运行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-68845

 

二、境内厂商产品漏洞

1、浙江齐治科技股份有限公司齐治堡垒机v5.0存在命令执行漏洞（CNVD-2020-59415）

齐治科技是一家由运维管理专家创立、专注于运维操作的产品型公司。浙江齐治科技股份有限公司齐治堡垒机v5.0存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-59415

2、极速Office 2019 ForWindows存在命令执行漏洞

极速Office是由北京海腾时代科技有限公司研发的一款自主可控办公学习类软件。极速Office 2019 For Windows存在命令执行漏洞，攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-62765

3、紫金桥监控组态软件存在远程栈溢出漏洞（CNVD-2020-59818）

紫金桥监控组态软件是一款专业的紫金桥监控组态软件，采用C/S体系结构，拥有数据库处理技术和图形系统。紫金桥监控组态软件存在远程栈溢出漏洞。攻击者可利用漏洞导致web服务崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-59818

4、Haiwell（海为）云组态软件Cloud SCADA存在DLL劫持漏洞

Haiwell（海为）云组态软件Cloud SCADA是厦门海为科技有限公司研发的基于.NET Framework的工业自动化监控管理平台软件。Haiwell（海为）云组态软件Cloud SCADA存在DLL劫持漏洞。攻击者可利用该漏洞加载恶意dll，执行恶意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-59817

5、北京九州云腾科技有限公司IDaaS平台存在逻辑缺陷漏洞

IDaaS平台是九州云腾提供的云身份服务平台，在传统的账户、认证、授权、审计的4A基础上加上我们特有的应用商店，形成5A平台，可以为企业用户提供统一门户，并且开发者可以基于此平台进行快速开发和应用集成。北京九州云腾科技有限公司IDaaS平台存在逻辑缺陷漏洞。攻击者可利用漏洞绕过验证重置任意用户密码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-59464

 

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

本文始发于微信公众号（CNVD漏洞平台）：上周关注度较高的产品安全漏洞(20201130-20201206)