您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
上周關注度較高的產品安全漏洞(20211206-20211212)
一、境外廠商產品漏洞
1、Veritas Enterprise Vault代碼執(zhí)行漏洞(CNVD-2021-95586)
Veritas Enterprise Vault是美國Veritas公司的一款企業(yè)級文件保護、歸檔自動化軟件。Veritas Enterprise Vault14.1.2及之前版本中存在安全漏洞,Enterprise Vault 應用程序啟動時會啟動多個服務,這些服務在隨機 .NET Remoting TCP 端口上偵聽來自客戶端應用程序的命令。由于 .NET Remoting 服務固有的反序列化行為,攻擊者可以利用Enterprise Vault服務器上的TCP遠程服務和本地IPC服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-95586
2、Eltima USB Network Gate整數(shù)溢出漏洞
Eltima Usb Network Gate是阿拉伯聯(lián)合酋長國的一款軟件。用于通過Internet或Lan 進行遠程Usb訪問。Eltima USB Network Gate存在安全漏洞,本地攻擊者可利用該漏洞在內核模式下執(zhí)行任意代碼或通過特別精心設計的IO請求包導致拒絕服務(內存損壞和OS崩潰)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-95607
3、DELL Dell EMC iDRAC9跨站腳本漏洞(CNVD-2021-94891)
DELL Dell EMC iDRAC9是美國戴爾(DELL)公司的一套包含硬件和軟件的系統(tǒng)管理解決方案。該方案為Dell PowerEdge系統(tǒng)提供遠程管理、崩潰系統(tǒng)恢復和電源控制等功能。Dell EMC iDRAC9在4.40.40.00之前版本中存在跨站腳本漏洞,該漏洞源于產品未能過濾輸入數(shù)據(jù)的特殊字符,攻擊者可通過該漏洞導致客戶端代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-94891
4、Apache Log4j2存在遠程代碼執(zhí)行漏洞
Apache Log4j是一個基于Java的日志記錄組件。Apache Log4j2是Log4j的升級版本,通過重寫Log4j引入了豐富的功能特性。該日志組件被廣泛應用于業(yè)務系統(tǒng)開發(fā),用以記錄程序輸入輸出日志信息。Apache Log4j2存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞向目標服務器發(fā)送精心構造的惡意數(shù)據(jù),觸發(fā)Log4j2組件解析缺陷,實現(xiàn)目標服務器的任意代碼執(zhí)行,獲得目標服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-95919
5、Adobe Acrobat/Reader棧緩沖區(qū)溢出漏洞(CNVD-2021-94917)
Adobe Reader(也被稱為Acrobat Reader)是Adobe公司開發(fā)的一款PDF文件閱讀軟件。Adobe Acrobat是由Adobe公司開發(fā)的一款PDF編輯軟件。Adobe Acrobat/Reader存在棧緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-94917
二、境內廠商產品漏洞
1、杭州迪普LSW6600-48XGS6CQ交換機NTP配置功能存在命令執(zhí)行漏洞
LSW6600-48XGS6CQ是杭州迪普科技股份有限公司一款交換機產品。杭州迪普LSW6600-48XGS6CQ交換機NTP配置功能存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取在網交換機設備完全控制權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-90836
2、心通達OA 2021秋實版存在文件上傳漏洞(CNVD-2021-89119)
心通達OA是一款搭載了AI人工智能的oa辦公工具。心通達OA 2021秋實版存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務器控制權。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-89119
3、華為USG2210E存在弱口令漏洞
USG2210E安全網關是面向中小型企業(yè)/分支機構設計的新一代防火墻/UTM設備。華為USG2210E存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-93881
4、北京網御星云信息技術有限公司防火墻存在命令執(zhí)行漏洞
北京網御星云信息技術有限公司由聯(lián)想網御科技(北京)有限公司更名而來,業(yè)務涵蓋網絡邊界安全防護、應用與數(shù)據(jù)安全防護、全網安全風險管理、專業(yè)安全解決方案和專業(yè)安全服務等多個方向。北京網御星云信息技術有限公司防火墻存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器控制權。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-93921
5、FastAdmin存在文件上傳漏洞
FastAdmin是一款基于ThinkPHP和Bootstrap的極速后臺開發(fā)框架。FastAdmin存在文件上傳漏洞。攻擊者可利用該漏洞獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-90404
說明:關注度分析由CNVD秘書處根據(jù)互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:國家信息安全漏洞共享平臺 https://www.cnvd.org.cn/