近日重点网络安全漏洞情况摘报

大家好，小编近日将国内主流网络安全媒体发布的重要网络安全漏洞进行了梳理汇总，在这里分享给大家学习。让我们来共同提升网络安全防范意识吧!

1. 合肥拓野网络科技有限公司建站系统存在SQL注入漏洞

合肥拓野网络科技有限公司是一家主营网站建设、网站推广、网站设计、网站优化、网站营销等业务的公司。该公司建站系统存在SQL注入高危漏洞，攻击者可利用该漏洞获取数据库敏感信息。该漏洞可影响合肥拓野网络科技有限公司建站系统产品。厂商尚未提供修复方案，请关注厂商主页更新。

2. 通达OA2017存在文件包含高危漏洞

北京通达信科科技有限公司隶属于中国兵器工业信息中心，简称通达信科，是一支以协同管理软件研发与实施、服务与咨询为主营业务的高科技团队。该公司OA2017产品存在文件包含高危漏洞，攻击者可利用该漏洞获取服务器权限，影响通达OA 2017版产品。厂商已提供漏洞修复方案。

3. 浪潮政务服务云平台存在Shiro反序列化高危漏洞

浪潮集团有限公司（即浪潮集团）是一家业务涵盖云数据中心、云服务大数据、智慧城市、智慧企业四大产业，提供IT产品和服务的一家高科技公司。该公司政务服务云平台存在Shiro反序列化高危漏洞，攻击者可利用该漏洞获取服务器权限，影响浪潮政务审批平台ECGAP V2.0产品。厂商已提供漏洞修复方案。

4. Oracle Sun Systems Products Suite Solaris组件拒绝服务高危漏洞

Oracle Sun Systems Products Suite是美国甲骨文（Oracle）公司的一款Sun系统产品套件，Solaris是其中的一套计算机操作系统组件。该组件存在拒绝服务高危漏洞，攻击者可利用该漏洞未授权进行更新、插入或删除数据等操作，造成计算机系统拒绝服务，影响数据的完整性和可用性。该漏洞可影响Oracle Sun Systems Products Suite Solaris 11.4产品。厂商已发布了漏洞修复程序。

5. Moxa OnCell G3100-HSPA存在安全绕过高危漏洞

Moxa OnCell G3100-HSPA是中国台湾摩莎（Moxa）公司的一款G3100-HSPA系列蜂窝网络网关设备。该产品存在安全绕过高危漏洞，攻击者可利用该漏洞绕过身份验证并访问后台Web界面，并可执行任意操作，影响Moxa OnCell G3100-HSPA <1.4 Build 16062919产品。厂商已发布升级补丁予以修复漏洞。

6. Cisco Vision Dynamic Signage Director存在授权问题高危漏洞

Cisco Vision Dynamic Signage Director是美国思科（Cisco）公司的一套IPTV解决方案。该方案中的REST API界面存在授权问题漏洞，该漏洞源于程序未能充分验证HTTP请求，远程攻击者可通过发送特制的HTTP请求利用该漏洞绕过身份验证，以管理权限执行任意操作。该漏洞可影响Cisco Vision Dynamic Signage Director产品。厂商已发布漏洞修复程序。

7. Oracle Retail Applications Retail Xstore Office组件存在拒绝服务高危漏洞

Oracle Retail Applications是美国甲骨文（Oracle）公司的一套零售应用商店解决方案，该产品包括库存管理、销售管理和客户管理等。Retail Xstore Office是其中的一个基于Web的中央管理控制台组件。该组件中存在拒绝服务高危漏洞，攻击者可利用该漏洞进行未授权访问、更新、插入或删除数据等操作，造成目标系统拒绝服务，影响数据的保密性、可用性和完整性。该漏洞可影响Oracle Retail Applications Retail Xstore Office 7.1产品。厂商已发布漏洞修复程序。

8. CentOS Control Web Panel存在权限提升高危漏洞

CentOS Web Panel（CWP）是一款免费的虚拟主机控制面板。该产品中存在权限提升高危漏洞，攻击者可借助cwpsrv-xxx cookie利用该漏洞向/tmp目录上传特制的会话文件，进而获取root权限。该漏洞可影响CentOS Web Panel（CWP） 0.9.8.836产品。厂商已发布升级补丁以修复漏洞。

9. OECMS存在跨站请求伪造高危漏洞

OECMS是一套企业网站内容管理系统（CMS）。OECMS中的admincp.php文件存在跨站请求伪造高危漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户，攻击者可利用该漏洞向服务器发送非预期的请求达到远程执行命令操作，可影响OECMS产品。厂商尚未提供漏洞修复方案，请关注厂商主页更新。

10. 魔点门禁考勤存在越权访问中危漏洞

杭州魔点科技有限公司是一家人工智能技术与行业应用相结合的科技型企业，专注于人脸识别技术场景化应用及解决方案。魔点门禁考勤存在越权访问中危漏洞，攻击者可利用该漏洞获取敏感信息。厂商尚未提供漏洞修复方案，请关注厂商主页更新。

来源：宁夏网警巡查执法