一,、境外廠商產(chǎn)品漏洞
1,、Fortinet FortiSIEM Windows Agent命令執(zhí)行漏洞
Fortinet FortiSIEM Windows Agent是美國飛塔(Fortinet)公司的一款用于從Windows服務(wù)器上收集日志和其他行為的代理程序,。Fortinet FortiSIEM Windows Agent 4.1.4 及以下版本存在安全漏洞,,攻擊者可利用該漏洞通過powershell腳本執(zhí)行特權(quán)代碼或命令,。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84247
2,、WordPress訪問控制錯誤漏洞
WordPress是WordPress(Wordpress)基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站,。WordPress Plugin Hashthemes Demo Importer 1.1.1及之前存在訪問控制錯誤漏洞,,該漏洞源于受影響產(chǎn)品包含幾個AJAX函數(shù),這些函數(shù)依賴對所有登錄用戶可見的隨機數(shù)進(jìn)行訪問控制,,攻擊者可利用該漏洞執(zhí)行一個函數(shù),,該函數(shù)可以截斷幾乎所有數(shù)據(jù)庫表并刪除內(nèi)容wp內(nèi)容/上傳。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-83709
3,、GPAC緩沖區(qū)溢出漏洞(CNVD-2021-84263)
GPAC是一款開源的多媒體框架,。GPAC存在緩沖區(qū)錯誤漏洞,該漏洞源于 gpac 0.8.0中發(fā)現(xiàn)了一個問題,。av_parsers.c中的 gf_media_nalu_remove_emulation_bytes函數(shù)具有基于堆的緩沖區(qū)溢出,,攻擊者可利用該漏洞可通過精心設(shè)計的輸入導(dǎo)致拒絕服務(wù) (DOS)。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84263
4,、Fortinet FortiAnalyzer跨站腳本漏洞(CNVD-2021-84244)
FortinetFortiAnalyzer是美國飛塔(Fortinet)公司的一套集中式網(wǎng)絡(luò)安全報告解決方案,。該產(chǎn)品主要用于收集網(wǎng)絡(luò)日志數(shù)據(jù),并通過報告套件對日志中的安全事件,、網(wǎng)絡(luò)流量,、Web內(nèi)容等進(jìn)行分析、報告,、歸檔操作,。Fortinet FortiAnalyzer中存在跨站腳本漏洞,該漏洞源于產(chǎn)品的頁面未能正確處理用戶輸入數(shù)據(jù),。攻擊者可通過該漏洞執(zhí)行客戶端代碼,。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84244
5、HP LaserJet Pro printer存在未授權(quán)訪問漏洞
Hp LaserJet Pro Printer是美國惠普(Hp)公司的一款激光打印機,。HP LaserJet Pro printer存在安全漏洞,,攻擊者可利用該漏洞可能允許未經(jīng)授權(quán)的用戶重新配置、重置設(shè)備。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-83707
二,、境內(nèi)廠商產(chǎn)品漏洞
1,、Xiaomi Mi WiFi存在任意文件讀取漏洞
小米科技有限責(zé)任公司成立于2010年3月3日,是一家專注于智能硬件和電子產(chǎn)品研發(fā)的全球化移動互聯(lián)網(wǎng)企業(yè),,同時也是一家專注于高端智能手機,、互聯(lián)網(wǎng)電視及智能家居生態(tài)鏈建設(shè)的創(chuàng)新型科技企業(yè)。Xiaomi Mi WiFi存在任意文件讀取漏洞存在任意文件讀取漏洞,,攻擊者可利用該漏洞獲取敏感信息,。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-72099
2、網(wǎng)御Web應(yīng)用安全防護(hù)系統(tǒng)存在弱口令漏洞(CNVD-2021-71692)
北京網(wǎng)御星云信息技術(shù)有限公司,,業(yè)務(wù)涵蓋網(wǎng)絡(luò)邊界安全防護(hù),、應(yīng)用與數(shù)據(jù)安全防護(hù)、全網(wǎng)安全風(fēng)險管理,、專業(yè)安全解決方案和專業(yè)安全服務(wù)等多個方向,。網(wǎng)御Web應(yīng)用安全防護(hù)系統(tǒng)存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息,。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71692
3,、Huawei Emui和Magic UI不正確驗證漏洞(CNVD-2021-83531)
Huawei Emui是一款基于Android開發(fā)的移動端操作系統(tǒng)。Magic Ui是一款基于Android開發(fā)的移動端操作系統(tǒng),。Huawei Emui和Magic UI存在安全漏洞,,攻擊者可利用漏洞導(dǎo)致某些虛擬信息的傳輸。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-83531
4,、Tenda AC-10U緩沖區(qū)溢出漏洞
Tenda AC-10U是中國騰達(dá)(Tenda)公司的一款無線路由器,。Tenda AC-10U AC1200路由器存在緩沖區(qū)溢出漏洞,該漏洞的存在是由于在處理不受信任的輸入時出現(xiàn)邊界錯誤,。遠(yuǎn)程攻擊者通過goform/SetSysTimeCfg的timeZone參數(shù)執(zhí)行任意代碼,。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84224
5、Huawei Emui和Magic UI競爭條件漏洞
Huawei Smartphone是中國華為(Huawei)公司的一款智能手機,。Huawei Emui和Magic UI存在安全漏洞,,攻擊者可利用漏洞導(dǎo)致管理系統(tǒng)信任列表時出現(xiàn)異常。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-83530
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定,。