《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 上周关注度较高的产品安全漏洞(20211101-20211107)

上周关注度较高的产品安全漏洞(20211101-20211107)

2021-11-10
来源:CNVD漏洞平台
关键词: 安全漏洞

  一、境外厂商产品漏洞

  1、Fortinet FortiSIEM Windows Agent命令执行漏洞

  Fortinet FortiSIEM Windows Agent是美国飞塔(Fortinet)公司的一款用于从Windows服务器上收集日志和其他行为的代理程序。Fortinet FortiSIEM Windows Agent 4.1.4 及以下版本存在安全漏洞,攻击者可利用该漏洞通过powershell脚本执行特权代码或命令。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84247

  2、WordPress访问控制错误漏洞

  WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress Plugin Hashthemes Demo Importer 1.1.1及之前存在访问控制错误漏洞,该漏洞源于受影响产品包含几个AJAX函数,这些函数依赖对所有登录用户可见的随机数进行访问控制,攻击者可利用该漏洞执行一个函数,该函数可以截断几乎所有数据库表并删除内容wp内容/上传。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-83709

  3、GPAC缓冲区溢出漏洞(CNVD-2021-84263)

  GPAC是一款开源的多媒体框架。GPAC存在缓冲区错误漏洞,该漏洞源于 gpac 0.8.0中发现了一个问题。av_parsers.c中的 gf_media_nalu_remove_emulation_bytes函数具有基于堆的缓冲区溢出,攻击者可利用该漏洞可通过精心设计的输入导致拒绝服务 (DOS)。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84263

  4、Fortinet FortiAnalyzer跨站脚本漏洞(CNVD-2021-84244)

  FortinetFortiAnalyzer是美国飞塔(Fortinet)公司的一套集中式网络安全报告解决方案。该产品主要用于收集网络日志数据,并通过报告套件对日志中的安全事件、网络流量、Web内容等进行分析、报告、归档操作。Fortinet FortiAnalyzer中存在跨站脚本漏洞,该漏洞源于产品的页面未能正确处理用户输入数据。攻击者可通过该漏洞执行客户端代码。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84244

  5、HP LaserJet Pro printer存在未授权访问漏洞

  Hp LaserJet Pro Printer是美国惠普(Hp)公司的一款激光打印机。HP LaserJet Pro printer存在安全漏洞,攻击者可利用该漏洞可能允许未经授权的用户重新配置、重置设备。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-83707

  二、境内厂商产品漏洞

  1、Xiaomi Mi WiFi存在任意文件读取漏洞

  小米科技有限责任公司成立于2010年3月3日,是一家专注于智能硬件和电子产品研发的全球化移动互联网企业,同时也是一家专注于高端智能手机、互联网电视及智能家居生态链建设的创新型科技企业。Xiaomi Mi WiFi存在任意文件读取漏洞存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-72099

  2、网御Web应用安全防护系统存在弱口令漏洞(CNVD-2021-71692)

  北京网御星云信息技术有限公司,业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理、专业安全解决方案和专业安全服务等多个方向。网御Web应用安全防护系统存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-71692

  3、Huawei Emui和Magic UI不正确验证漏洞(CNVD-2021-83531)

  Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei Emui和Magic UI存在安全漏洞,攻击者可利用漏洞导致某些虚拟信息的传输。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-83531

  4、Tenda AC-10U缓冲区溢出漏洞

  Tenda AC-10U是中国腾达(Tenda)公司的一款无线路由器。Tenda AC-10U AC1200路由器存在缓冲区溢出漏洞,该漏洞的存在是由于在处理不受信任的输入时出现边界错误。远程攻击者通过goform/SetSysTimeCfg的timeZone参数执行任意代码。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84224

  5、Huawei Emui和Magic UI竞争条件漏洞

  Huawei Smartphone是中国华为(Huawei)公司的一款智能手机。Huawei Emui和Magic UI存在安全漏洞,攻击者可利用漏洞导致管理系统信任列表时出现异常。

  参考链接:

  https://www.cnvd.org.cn/flaw/show/CNVD-2021-83530

  说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。