一、境外厂商产品漏洞

1、OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞

OAuth（OpenAuthorization）是一个关于授权的开放网络标准。攻击者可通过登录受害者账号，获取存储在第三方移动应用上的敏感信息。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622

2、Siemens DESIGO PX固件文件上传漏洞

SIEMENS楼宇自控系统DesigoPX可编程自动化站提供灵活的解决方案。未经身份验证的远程攻击者利用该漏洞上传恶意固件。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-01794

3、Advantech WebAccess/SCADA目录遍历漏洞

AdvantechWebAccess是一个基于浏览器的人机界面HMI软件包，以及监控和数据采集SCADA。攻击者可利用漏洞读取目标设备目录结构中的文件。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-01709

4、Cisco StarOS命令注入漏洞

CiscoASR 5000 Series routers是美国思科（Cisco）公司的一款5000系列安全路由器设备。本地攻击者可利用该漏洞以root权限执行任意命令。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-02053

5、Oracle PeopleSoft ProductsPeopleSoft Enterprise FSCM组件存在未明漏洞 （CNVD-2018-01718）

OraclePeopleSoft是美国甲骨文（Oracle）公司的一套企业人力资本管理解决方案。攻击者可利用该漏洞未授权访问数据，影响数据的保密性。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-01718

二、境内厂商产品漏洞

1、DSmall多用户商城系统存在SQL注入漏洞

DSmall多用户商城系统是德尚网络为企业级客户研发的多供货商、多店铺入驻的平台级商城系统。攻击者可利用该漏洞获得数据库敏感信息。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-00128

2、郑州擎天文化传播有限公司网站建设系统存在SQL注入漏洞

郑州擎天科技有限公司专注于在信息科技领域中向客户提供网络商业解决方案。攻击者可利用该漏洞获得数据库敏感信息。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-00137

3、NetMizer日志管理系统qq.php文件存在远程命令执行漏洞

NetMizer日志管理系统是一套独立的日志管理和分析工具。攻击者可利用漏洞上传webshell，获得服务器权限。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-37548

4、东莞市金鼓网络科技有限公司网站建设系统存在SQL注入漏洞

东莞市金鼓网络科技有限公司是一家网络公司，专注于网站设计及网络营销领域。攻击者可利用漏洞获得数据库敏感信息。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2017-37682

5、TP-Link WVR、WAR和ER设备任意命令执行漏洞（CNVD-2018-01907）

TP-LinkWVR、WAR和ER devices都是中国普联（TP-LINK）公司的路由器产品。远程攻击者利用该漏洞可通过向pptp_client.lua文件的new-mppeencryption变量注入并执行命令。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-01907

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。