您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
上周關(guān)注度較高的產(chǎn)品安全漏洞(20211115-20211121)
一、境外廠商產(chǎn)品漏洞
1、Microsoft Windows Diagnostic Hub權(quán)限提升漏洞
Microsoft Windows Diagnostic Hub是美國(guó)微軟(Microsoft)公司的一款應(yīng)用程序。它不僅僅是任務(wù)管理器,也是設(shè)備診斷中心。此應(yīng)用程序?qū)?Windows 開(kāi)發(fā)人員工具與 UWP 功能相結(jié)合,以獲取新信息和功能。Microsoft Windows Diagnostic Hub存在權(quán)限提升漏洞,攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87325
2、MicrosoftChakra Scripting Engine內(nèi)存破壞漏洞
Microsoft Windows Scripting是美國(guó)微軟(Microsoft)公司的一個(gè)Windows操作系統(tǒng)的腳本語(yǔ)言。Microsoft Chakra ScriptingEngine存在內(nèi)存破壞漏洞,攻擊者可利用該漏洞在目標(biāo)主機(jī)上執(zhí)行代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87323
3、AdobeAcrobat/Reader空指針解引用漏洞(CNVD-2021-87306)
AdobeReader(也被稱為AcrobatReader)是Adobe公司開(kāi)發(fā)的一款PDF文件閱讀軟件。AdobeAcrobat是由Adobe公司開(kāi)發(fā)的一款PDF編輯軟件。AdobeAcrobat/Reader存在空指針解引用漏洞。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87306
4、AdobeAcrobat/Reader空指針解引用漏洞(CNVD-2021-87305)
AdobeReader(也被稱為AcrobatReader)是Adobe公司開(kāi)發(fā)的一款PDF文件閱讀軟件。AdobeAcrobat是由Adobe公司開(kāi)發(fā)的一款PDF編輯軟件。AdobeAcrobat/Reader存在空指針解引用漏洞。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87305
5、MicrosoftWindows NTFS權(quán)限提升漏洞
MicrosoftWindows NTFS是美國(guó)微軟(Microsoft)公司的一個(gè)為計(jì)算機(jī)文件服務(wù)的文件系統(tǒng)。該文件系統(tǒng)具有錯(cuò)誤預(yù)警功能、磁盤(pán)自我修復(fù)功能和日志功能。MicrosoftWindows NTFS存在權(quán)限提升漏洞,攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87333
二、境內(nèi)廠商產(chǎn)品漏洞
1、ASUS P453UJ緩沖區(qū)溢出漏洞
ASUSP453UJ是中國(guó)臺(tái)灣華碩(ASUS)公司的一個(gè)BIOS固件。ASUSP453UJ 存在緩沖區(qū)溢出漏洞,該漏洞源于本地攻擊者在普通用戶的許可下,可以通過(guò)替換或填充指定的 MemoryDataBuffer 的內(nèi)容來(lái)修改 BIOS,從而導(dǎo)致完整性驗(yàn)證失敗,進(jìn)而導(dǎo)致無(wú)法啟動(dòng)。目前沒(méi)有詳細(xì)的漏洞細(xì)節(jié)提供。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88203
2、JEECMS跨站腳本漏洞(CNVD-2021-88950)
Jeecms是中國(guó)金磊科技發(fā)展(Jeecms)公司的一套使用Java語(yǔ)言開(kāi)發(fā)的內(nèi)容管理系統(tǒng)(CMS)。JEECMS 中存在跨站腳本漏洞,該漏洞源于產(chǎn)品的/member-vipcenter.htm頁(yè)面未對(duì)用戶輸入數(shù)據(jù)做有效驗(yàn)證。攻擊者可通過(guò)該漏洞執(zhí)行客戶端代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88950
3、Maccms跨站腳本漏洞(CNVD-2021-88954)
Maccms是一套基于PHP的影視內(nèi)容管理系統(tǒng)(CMS)。Macmms10 中存在跨站腳本漏洞,該漏洞源于產(chǎn)品中未能正確處理type_en參數(shù)的數(shù)據(jù)。攻擊者可通過(guò)該漏洞獲取管理員cookie并升級(jí)特權(quán)。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88954
4、baijiacms路徑遍歷漏洞
baijiacms是一套用于電子商務(wù)的內(nèi)容管理系統(tǒng)(CMS)。baijiacms存在路徑遍歷漏洞,該漏洞源于database.php 中發(fā)現(xiàn)了一個(gè)目錄遍歷漏洞,攻擊者可以通過(guò)id參數(shù)刪除任意服務(wù)器上的文件夾。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88727
5、WuZhi CMS存在任意文件刪除漏洞
WuzhiWUZHI CMS是五指(Wuzhi)公司的一套基于PHP和MySQL的開(kāi)源內(nèi)容管理系統(tǒng)(CMS)。WuZhiCMS存在安全漏洞,該漏洞源于WuZhiCMS后端存在任意文件刪除漏洞。攻擊者可以利用漏洞刪除任意文件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88956
說(shuō)明:關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)