重要的安全漏洞（上周关注度较高的产品安全漏洞）

(20210222-20210228)

境外厂商产品漏洞

1、Microsoft OneDrive存在dll劫持漏洞

OneDrive是Microsoft新一代网络存储工具,由SkyDrive改名而来。OeDrive的版本跨越多个终端,网页版、移动端、PC端比比皆是。Microsoft OneDrive存在dll劫持漏洞，攻击者可利用该漏洞导致用户电脑被远控或者植入木马。

参考链接：

cnvd/flaw/show/CNVD-2021-03311

2、Apache Unomi远程代码执行漏洞

Apache Unomi是一个可用于多系统的java开源客户数据平台，用于管理用户配置文件和与该配置文件相关的数据，Unomi在2019年被宣布成为Apache的顶级项目。由于Apache Unomi是作为运行在Apache Karaf中的OSGi应用程序构建的，因此它具有极好的可扩展性和易用性。Apache Unomi在1.5.2之前版本中存在远程代码执行漏洞。该平台具有内置的规则系统和用户细分的概念，当用户需要为配置文件下发数据时，可以使用OGNL或MVEL类的表达式语言未受限制的执行查询操作，从而导致了Unomi容易受到表达式注入攻击，攻击者可以利用该漏洞发送符合语法的恶意表达式使Unomi服务器执行任意代码和系统命令。

参考链接：

cnvd/flaw/show/CNVD-2021-11849

3、Accusoft ImageGear内存破坏漏洞

Accusoft ImageGear是一个多平台、多语言文档成像开发人员工具包。Accusoft ImageGear 19.7中的TIFF handle_COMPRESSION_PACKBITS功能存在内存破坏漏洞。攻击者可通过特制文件利用该漏洞导致内存破坏。

参考链接：

cnvd/flaw/show/CNVD-2021-12110

4、Siemens TIA Administrator权限提升漏洞

TIA Administrator是一个基于web的框架，它可以包含用于管理任务的不同功能模块，以及用于管理SIMATIC软件和许可证的功能。Siemens TIA Administrator存在权限提升漏洞。攻击者可利用漏洞以系统权限执行代码。

参考链接：

cnvd/flaw/show/CNVD-2021-11833

5、VMware Workstation 16 Pro存在dll劫持漏洞

VMware Workstation（中文名“威睿工作站”）是一款桌面虚拟计算机软件。VMware Workstation 16 Pro存在dll劫持漏洞。攻击者可利用该漏洞执行恶意代码。

参考链接：

cnvd/flaw/show/CNVD-2021-05379

境内厂商产品漏洞

1、极域电子教室管理系统豪华版存在逻辑缺陷漏洞

极域电子教室管理系统是一款教学系统。极域电子教室管理系统豪华版存在逻辑缺陷漏洞，攻击者可利用该漏洞执行高权限系统命令。

参考链接：

cnvd/flaw/show/CNVD-2021-09513

2、UCMS系统存在命令执行漏洞

UCMS是一款简单的网站内容管理系统。UCMS系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

参考链接：

cnvd/flaw/show/CNVD-2021-03313

3、Waychar报名系统存在SQL注入漏洞（CNVD-2021-03387）

广州市花都区新华伟创广告设计服务部经营范围包括：广告业、网络信息技术推广服务、网络安全信息咨询等。Waychar报名系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

cnvd/flaw/show/CNVD-2021-03387

4、米酷CMS影视管理系统存在SQL注入漏洞

米酷CMS影视管理系统是国内一款视频播放cms。米酷CMS影视管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

cnvd/flaw/show/CNVD-2021-03396

5、腾讯课堂（Windows客户端）存在dll劫持漏洞

腾讯课堂是腾讯推出的专业在线教育平台，聚合大量优质教育机构和名师，下设职业培训、公务员考试、托福雅思、考证考级、英语口语、中小学教育等众多在线学习精品课程，打造老师在线上课教学、学生及时互动学习的课堂。腾讯课堂（Windows客户端）存在dll劫持漏洞。攻击者可利用该漏洞执行恶意代码。

参考链接：

cnvd/flaw/show/CNVD-2021-03310

来源：CNVD漏洞平台