上周关注度较高的产品安全漏洞(20200309-20200315)

　　上周关注度较高的产品安全漏洞(20200309-20200315)

　　一、境外厂商产品漏洞

　　1、Microsoft Edge内存破坏漏洞（CNVD-2020-16694）

　　Edge是Microsoft公司为Windows 10打造的浏览器，特点是快速、安全。Microsoft Edge存在内存破坏漏洞。该漏洞源于Microsoft Edge未能正确访问内存中的对象。攻击者可利用该漏洞在当前用户的上下文中执行任意代码，从而可获得与当前用户相同的用户权限。参考链接：

　　2、Comtrend VR-3033命令注入漏洞

　　Comtrend VR-3033是一款高功率802.11n 300Mbps单线VDSL路由器。Comtrend VR-3033DE11-416SSG-C01_R02.A2pvI042j1.d26m存在命令注入漏洞。远程认证攻击者可通过ping和traceroute诊断页面利用该漏洞完全控制并破坏路由器管理的网络。

　　参考链接：

　　3、Apache ShardingSphere远程代码执行漏洞Apache ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈，它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar（计划中）这3款相互独立的产品组成。Apache ShardingSphere存在远程代码执行漏洞，攻击者可利用该漏洞通过精心构造数据达到远程代码执行目的。参考链接：4、WAGO PFC200命令注入漏洞（CNVD-2020-16842）WAGO PFC200是德国WAGO公司的一款可编程逻辑控制器（PLC）。WAGO PFC200 03.02.02(14)的iocheckd服务‘I/O-Check’功能存在命令注入漏洞。攻击者可通过特制XML缓存文件利用该漏洞注入OS命令。参考链接：5、Intel(R) Graphics Driver路径遍历漏洞Intel(R) Graphics Driver是英特尔公司的一款显卡驱动程序。Intel(R) Graphics Driver存在路径遍历漏洞。攻击者可利用漏洞提升权限或导致DOS。参考链接：

　　二、境内厂商产品漏洞1、D-Link DIR-825和TRENDnet TEW-632BRP命令注入漏洞D-Link DIR-825是一款AC 1200 Wi-Fi双频千兆(LAN/WAN)路由器。TRENDnet TEW-632BRP是一款300Mbps无线家用路由器。D-Link DIR-825和TRENDnet TEW-632BRP存在命令注入漏洞。远程攻击者可通过system_time.cgi POST请求中的date参数利用该漏洞执行任意命令。参考链接：2、广州本盈计算机科技*敏*感*词*建站系统存在SQL注入漏洞广州本盈计算机科技*敏*感*词*致力于构建互联网+商业生态，尤其专注于移动互联网领域，提供APP开发、系统开发，小程序及微信公众号二次开发、网站建设等服务。广州本盈计算机科技*敏*感*词*建站系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。参考链接：3、南昌卓蓝科技*敏*感*词*优采云采集器存在文件上传漏洞卓蓝科技*敏*感*词*以无人机为前导的服务型企业,以互联网+农业,进行精准农业大数据服务型公司。南昌卓蓝科技*敏*感*词*优采云采集器存在文件上传漏洞，攻击者可利用该漏洞获取网站管理员权限。参考链接：

　　4、青岛自动化仪表*敏*感*词*智能仪表集抄管理系统存在SQL注入漏洞智能仪表集抄管理系统是对能源行业部分数据的控制统计并进行管理的工业控制管理系统。青岛自动化仪表*敏*感*词*智能仪表集抄管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。参考链接：5、厦门服云信息科技*敏*感*词*网站安全狗存在SQL注入绕过漏洞网站安全狗(Apache版)是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。厦门服云信息科技*敏*感*词*网站安全狗存在SQL注入绕过漏洞。攻击者利用漏洞绕过安全狗，获取数据库敏感信息。参考链接：

　　说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。