星期
      您所在的位置:首页 > 网络安全
上周关注度较高的产品安全漏洞(20211108-20211114)
2021-11-17 13:52:57    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、Adobe InDesign缓冲区溢出漏洞(CNVD-2021-85265)

Adobe InDesign是Adobe公司的一个桌面出版(DTP)的应用程序,主要用于各种印刷品的排版编辑。Adobe InDesign存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-85265

2、Mozilla Rust资源管理错误漏洞(CNVD-2021-85301)

Rust是Mozilla基金会的一款通用、编译型编程语言。Mozilla Rust存在资源管理错误漏洞,攻击者可利用该漏洞触发双重释放。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-85301

3、IBM CognosAnalytics权限提升漏洞(CNVD-2021-87015)

IBMCognos Analytics是美国IBM公司的一套商业智能软件,可提供有价值的信息、安全的数据治理和报告。IBMCognos Analytics 11.1.7、11.2.0版存在权限提升漏洞。攻击者可利用该漏洞越权访问“新作业”页面。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-87015

4、Adobe InDesign内存缓冲区越界访问漏洞

AdobeInDesign是Adobe公司的一个桌面出版(DTP)的应用程序,主要用于各种印刷品的排版编辑。AdobeInDesign存在内存缓冲区越界访问漏洞。攻击者可利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-85266

5、GoogleTensorFlow操作系统命令注入漏洞

GoogleTensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。GoogleTensorFlow存在操作系统命令注入漏洞,该漏洞源于saved_model_cli 工具容易受到代码注入的影响,因为它会在用户提供的字符串上调用eval。攻击者可以利用该漏洞在CLI工具运行的平台上运行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-87035

二、境内厂商产品漏洞

1、天目MVC-HOME版存在文件上传漏洞

天目MVC-HOME版是一款专业的PHP+MYSQL产品。天目MVC-HOME版存在文件上传漏洞,攻击者可利用漏洞上传webshell,获得服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73149

2、Huawei Emui和Magic UI内存访问越界漏洞

HuaweiEmui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。HuaweiEmui和Magic UI存在安全漏洞,攻击者可利用漏洞导致进程异常。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-84869

3、泛微e-cology存在SQL注入漏洞(CNVD-2021-73908)

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。泛微e-cology存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73908

4、D-Link DIR-823G命令注入漏洞(CNVD-2021-85891)

D-Link DIR-823G是一款AC1200M双频千兆无线路由器。D-LinkDIR-823G 1.0.2B05版中的HNAP1协议存在命令注入漏洞。攻击者可通过登录部分的PrivateLogin字段中的shell元字符利用该漏洞执行任意Web脚本。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-85891

5、四创软件有限公司山洪灾害监测预警发布系统存在SQL注入漏洞

四创软件有限公司是一家致力于中国防灾减灾事业的技术型企业。四创软件有限公司山洪灾害监测预警发布系统存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73165