近日重点网络安全漏洞情况摘报

大家好，小编近日将国内主流网络安全媒体发布的重要网络安全漏洞进行了梳理汇总，在这里分享给大家学习。让我们来共同提升网络安全防范意识吧!

1. 三一网络技术有限公司建站系统存在SQL注入高危漏洞

三一网络是一家专业网站建设公司,主要从事网站建设开发，网络营销推广，微信客户端开发等，为企业用户提供全套定制解决方案。当前发现三一网络技术有限公司建站系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息，影响三一网络技术有限公司建站系统产品。截止目前，厂商尚未提供修复方案，请关注厂商主页更新。

2. 利友CMS存在SQL注入高危漏洞

西安利友科技有限公司是一家主营域名注册、虚拟主机、网站策划、网站建设、网站推广、网站优化、软件开发、企业视频拍摄及网上宣传等业务的公司。当前发现利友CMS存在SQL注入高危漏洞，攻击者可利用该漏洞获取数据库敏感信息，影响西安利友科技有限公司建站系统产品。截止目前，厂商尚未提供漏洞修复方案，请关注厂商主页更新。

3. 宁波海曙橄榄树建站系统存在SQL注入高危漏洞

宁波海曙橄榄树建站系统是一个企业建站系统。该建站系统存在SQL注入高危漏洞，攻击者可利用该漏洞获取数据库敏感信息，影响宁波海曙橄榄树计算机科技有限公司建站系统产品。截止目前，厂商尚未提供漏洞修复方案，请关注厂商主页更新。

4. 超级CMS内容管理系统存在文件上传高危漏洞

超级CMS内容管理系统由SEO研究中心（moonseo.cn）为了解决网站优化问题而研发的一套产品，该产品采用面向对象方式自主研发的MVC框架开发，是一款开源的内容管理系统。超级CMS内容管理系统存在文件上传高危漏洞，攻击者可利用漏洞上传webshell，获得服务器权限，影响超级cms v2.2产品。截至目前，厂商尚未提供修复方案，请关注厂商主页更新。

5. 爱客cms存在任意文件读取高危漏洞

爱客CMS 采用 PHP + Mysql 架构、多语言、响应式展示,适合个人网站建设的 cms 建站系统。爱客cms存在任意文件读取高危漏洞，通过引入文件时，引用的文件名，用户可控，由于传入的文件名未能经过合理的校验，或者检验被绕过，攻击者可以利用漏洞读取任意文件，影响爱客CMS v2.0产品。截止目前，厂商尚未提供修复方案，请关注厂商主页更新。

6. HongCMS存在任意文件读取高危漏洞

HongCMS是一套开源的轻量级内容管理系统（CMS）产品，该产品存在任意文件读取高危漏洞。攻击者可通过构造特定payload实现远程读写任意文件，影响HongCMS v4.0.0产品。截止目前，厂商尚未提供漏洞修复方案，请关注厂商主页更新。

7. J2Store 存在SQL注入高危漏洞

Joomla!是美国Open Source Matters团队的一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。J2Store plugin是使用在其中的一个电子商务插件。该插件中存在SQL注入高危漏洞，远程攻击者可借助‘product_option[]’参数利用该漏洞执行任意的SQL命令，影响Joomla! J2Store 3.*，<3.3.7产品。截止目前，厂商已发布漏洞修复程序。

8. UltraVNC存在越界访问高危漏洞

UltraVNC是一款用于Windows平台的开源远程终端控制软件，RAW decoder是其中的一个RAW解码器。UltraVNC中的RAW解码器的VNC客户端存在越界访问高危漏洞。攻击者可利用该漏洞执行代码（越界访问），影响UltraVNC 1203产品。厂商已发布漏洞修复程序。

9. elFinder存在命令注入高危漏洞

elFinder是一套基于Drupal平台的、开源的AJAX文件管理器，该产品提供多文件上传、图像缩放等功能。该产品中的PHP connector存在命令注入高危漏洞，攻击者可利用该漏洞获取网站管理员访问权限，影响elFinder <2.1.48产品。厂商已发布漏洞修复程序。

10. Schneider Electric Modicon Quantum存在代码注入中危漏洞

Schneider Electric Modicon Quantum是法国施耐德电气（Schneider Electric）公司的一款用于过程应用、高可用性和安全解决方案的大型可编程逻辑控制器（PLC）。Schneider Electric Modicon Quantum（全部固件版本）中存在代码注入中危漏洞，该漏洞源于外部输入数据构造代码段的过程中，网络系统或产品未正确过滤其中的特殊元素，攻击者可利用该漏洞生成非法的代码段，修改网络系统或组件的预期的执行控制流，影响Schneider Electric Modicon Quantum产品。截止目前，厂商尚未提供漏洞修复方案，请关注厂商主页更新。