上周关注度较高的产品安全漏洞(20211101-20211107)
2021-11-10
来源:CNVD漏洞平台
一、境外厂商产品漏洞
1、Fortinet FortiSIEM Windows Agent命令执行漏洞
Fortinet FortiSIEM Windows Agent是美国飞塔(Fortinet)公司的一款用于从Windows服务器上收集日志和其他行为的代理程序。Fortinet FortiSIEM Windows Agent 4.1.4 及以下版本存在安全漏洞,攻击者可利用该漏洞通过powershell脚本执行特权代码或命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84247
2、WordPress访问控制错误漏洞
WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress Plugin Hashthemes Demo Importer 1.1.1及之前存在访问控制错误漏洞,该漏洞源于受影响产品包含几个AJAX函数,这些函数依赖对所有登录用户可见的随机数进行访问控制,攻击者可利用该漏洞执行一个函数,该函数可以截断几乎所有数据库表并删除内容wp内容/上传。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-83709
3、GPAC缓冲区溢出漏洞(CNVD-2021-84263)
GPAC是一款开源的多媒体框架。GPAC存在缓冲区错误漏洞,该漏洞源于 gpac 0.8.0中发现了一个问题。av_parsers.c中的 gf_media_nalu_remove_emulation_bytes函数具有基于堆的缓冲区溢出,攻击者可利用该漏洞可通过精心设计的输入导致拒绝服务 (DOS)。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84263
4、Fortinet FortiAnalyzer跨站脚本漏洞(CNVD-2021-84244)
FortinetFortiAnalyzer是美国飞塔(Fortinet)公司的一套集中式网络安全报告解决方案。该产品主要用于收集网络日志数据,并通过报告套件对日志中的安全事件、网络流量、Web内容等进行分析、报告、归档操作。Fortinet FortiAnalyzer中存在跨站脚本漏洞,该漏洞源于产品的页面未能正确处理用户输入数据。攻击者可通过该漏洞执行客户端代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84244
5、HP LaserJet Pro printer存在未授权访问漏洞
Hp LaserJet Pro Printer是美国惠普(Hp)公司的一款激光打印机。HP LaserJet Pro printer存在安全漏洞,攻击者可利用该漏洞可能允许未经授权的用户重新配置、重置设备。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-83707
二、境内厂商产品漏洞
1、Xiaomi Mi WiFi存在任意文件读取漏洞
小米科技有限责任公司成立于2010年3月3日,是一家专注于智能硬件和电子产品研发的全球化移动互联网企业,同时也是一家专注于高端智能手机、互联网电视及智能家居生态链建设的创新型科技企业。Xiaomi Mi WiFi存在任意文件读取漏洞存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-72099
2、网御Web应用安全防护系统存在弱口令漏洞(CNVD-2021-71692)
北京网御星云信息技术有限公司,业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理、专业安全解决方案和专业安全服务等多个方向。网御Web应用安全防护系统存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71692
3、Huawei Emui和Magic UI不正确验证漏洞(CNVD-2021-83531)
Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei Emui和Magic UI存在安全漏洞,攻击者可利用漏洞导致某些虚拟信息的传输。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-83531
4、Tenda AC-10U缓冲区溢出漏洞
Tenda AC-10U是中国腾达(Tenda)公司的一款无线路由器。Tenda AC-10U AC1200路由器存在缓冲区溢出漏洞,该漏洞的存在是由于在处理不受信任的输入时出现边界错误。远程攻击者通过goform/SetSysTimeCfg的timeZone参数执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84224
5、Huawei Emui和Magic UI竞争条件漏洞
Huawei Smartphone是中国华为(Huawei)公司的一款智能手机。Huawei Emui和Magic UI存在安全漏洞,攻击者可利用漏洞导致管理系统信任列表时出现异常。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-83530
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。