星期
      您所在的位置:首页 > 网络安全
上周关注度较高的产品安全漏洞(20211018-20211024)
2021-10-28 17:28:19    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、ZOHO ManageEngine ADManager Plus文件上传漏洞(CNVD-2021-78727)

ZOHO ManageEngine ADManager Plus是美国卓豪(ZOHO)公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。该软件能够协助AD管理员和帮助台技术人员进行日常管理工作,例如批量管理用户帐户和AD对象、给帮助台技术员指派基于角色的访问权限等。ZOHO ManageEngine ADManager Plus 7110及之前版本存在文件上传漏洞,攻击者可利用该漏洞导致远程代码执行。参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-78727

2、IBM Sterling File Gateway任意文件上传漏洞

IBM Sterling File Gateway是一款用于在内部和外部合作伙伴之间传输文件的应用程序,可让您更加安全可靠地与贸易伙伴进行文件传输。IBM Sterling File Gateway 2.2.0.0-5.2.6.5_4、6.0.0.0-6.0.0.6、6.0.1.0-6.0.3.4、6.1.0.0-6.1.0.2版存在任意文件上传漏洞。该漏洞源于访问控制不当。远程攻击者可利用该漏洞上传任意文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-78439

3、Mozilla Rust命令注入漏洞(CNVD-2021-78750)

Rust是Mozilla基金会的一款通用、编译型编程语言。Mozilla Rust 0.3.4之前版本存在命令注入漏洞,该漏洞源于Rust中的kekbit crate,对于ShmWriter<H>,Send实现时未需要H:Send,攻击者可利用该漏洞导致数据竞争和未定义的行为。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-78750

4、Cybozu Remote Service操作限制绕过漏洞

Cybozu Remote Service是日本才望子(Cybozu)公司的一套用于访问才望子(Cybozu)内部系统的远程服务管理软件。Cybozu Remote Service管理界面存在操作限制绕过漏洞。远程认证攻击者可利用该漏洞更改管理界面的数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-78765

5、Google Android权限提升漏洞(CNVD-2021-78770)

Android是美国Google公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Google Android中的System组件存在权限提升漏洞。攻击者可以利用此漏洞升级权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-78770

二、境内厂商产品漏洞

1、上海纽盾科技股份有限公司Reporter系统存在命令执行漏洞

上海纽盾科技股份有限公司是一家以“网络安全”为主轴,以“让网络更安全”为使命,为客户提供网络安全整体解决方案的专业安全公司。上海纽盾科技股份有限公司Reporter系统存在命令执行漏洞,攻击者可利用该漏洞执行任意系统命令,获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-68711

2、友讯电子设备(上海)有限公司DIR-846存在命令执行漏洞

DIR-846路由器是一款为有电竞游戏和影视娱乐需求的用户打造的无线路由器产品。友讯电子设备(上海)有限公司DIR-846存在命令执行漏洞,攻击者可利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-69189

3、新天科技股份有限公司智能燃气系统存在SQL注入漏洞

新天科技股份有限公司创建于2000年。中国电子信息行业标杆企业,以“掌握核心技术,不断创新”为核心竞争力,持续提供具有竞争力的产品和智能化解决方案,实现能源节约,让能源管控更智慧,让人类生活更轻松。新天科技股份有限公司智能燃气系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-69193

4、上海纽盾科技股份有限公司Reporter系统存在弱口令漏洞

上海纽盾科技股份有限公司是一家以“网络安全”为主轴,以“让网络更安全”为使命,为客户提供网络安全整体解决方案的专业安全公司。上海纽盾科技股份有限公司Reporter系统存在弱口令漏洞,攻击者可利用该漏洞登录系统后台,获取相关敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-69603