上周关注度较高的产品安全漏洞

一、境外厂商产品漏洞

1、Partclone缓冲区溢出漏洞

Partclone是一套使用C语言编写的用于分区克隆和恢复的开源工具。攻击者可利用该漏洞执行任意代码。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10938

2、Quest KACE System Management Appliance命令注入漏洞（CNVD-2018-10906）

QuestKACE System Management Appliance是美国Quest Software公司的一款IT资产管理设备。攻击者可利用该漏洞注入任意命令并以root权限执行该命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10906

3、OpenDaylight Controller SQL注入漏洞

Opendaylight是美国Linux基金会的一个项目，是一套以社区为主导的开源软件定义网络框架。远程攻击者可利用该漏洞控制应用程序，访问或修改数据并利用底层数据库中的潜在的漏洞。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11035

4、Microsoft PowerPoint远程代码执行漏洞（CNVD-2018-10942）

MicrosoftOffice 2016 for Mac是美国微软（Microsoft）公司开发的一款基于Mac平台的办公软件套件产品。远程攻击者可借助特制的文件利用该漏洞在当前用户的上下文中执行任意代码。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10942

5、phpComasy CMS系统存在文件上传漏洞

phpComasyCMS是国外一款开源内容管理系统。攻击者可通过后台文件管理功能，上传恶意脚本文件，控制服务器。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-08754

二、境内厂商产品漏洞

1、多款Huawei服务器身份验证绕过漏洞

Huawei1288H V5等都是中国华为（Huawei）公司的不同型号的服务器设备。远程攻击者可通过特殊操作利用该漏洞绕过身份验证，获取敏感信息和高级别用户权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11076

2、PHPMyWind v5.4存在代码执行漏洞

PHPMyWind是一款基于PHPMySQL开发，符合W3C标准的建站引擎。攻击者可利用漏洞执行任意代码。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-08752

3、华夏化工网技术支持的化工网站存在SQL注入漏洞

华夏化工网是由上海丹帆网络科技有限公司创办的，是为化工行业提供安全、高效、多功能、系统配套的B2B电子商务平台的专业网站。攻击者可利用该漏洞获取网站敏感信息。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09518

4、Reolink摄像头远程命令执行漏洞

深圳市睿联数字技术有限公司致力于开发领先的互联网视频产品和视频内容服务，为消费市场提供安防、运动、娱乐、看护等各种细分应用的摄像机，并通过互联网提供直播，视频分享和视频云存储等内容服务。攻击者可利用该漏洞远程执行任意命令。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11079

5、ucms v1.4.5存在任意文件编辑漏洞

UCMS是一款简单的开源内容管理系统。攻击者可编辑任意的脚本文件，直接写入一句话木马，获取网站服务器控制权。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-08746

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。