您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產(chǎn)品安全漏洞
上周關注度較高的產(chǎn)品安全漏洞(20211115-20211121)
一、境外廠商產(chǎn)品漏洞
1、Microsoft Windows Diagnostic Hub權(quán)限提升漏洞
Microsoft Windows Diagnostic Hub是美國微軟(Microsoft)公司的一款應用程序。它不僅僅是任務管理器,也是設備診斷中心。此應用程序?qū)?Windows 開發(fā)人員工具與 UWP 功能相結(jié)合,以獲取新信息和功能。Microsoft Windows Diagnostic Hub存在權(quán)限提升漏洞,攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87325
2、MicrosoftChakra Scripting Engine內(nèi)存破壞漏洞
Microsoft Windows Scripting是美國微軟(Microsoft)公司的一個Windows操作系統(tǒng)的腳本語言。Microsoft Chakra ScriptingEngine存在內(nèi)存破壞漏洞,攻擊者可利用該漏洞在目標主機上執(zhí)行代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87323
3、AdobeAcrobat/Reader空指針解引用漏洞(CNVD-2021-87306)
AdobeReader(也被稱為AcrobatReader)是Adobe公司開發(fā)的一款PDF文件閱讀軟件。AdobeAcrobat是由Adobe公司開發(fā)的一款PDF編輯軟件。AdobeAcrobat/Reader存在空指針解引用漏洞。攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87306
4、AdobeAcrobat/Reader空指針解引用漏洞(CNVD-2021-87305)
AdobeReader(也被稱為AcrobatReader)是Adobe公司開發(fā)的一款PDF文件閱讀軟件。AdobeAcrobat是由Adobe公司開發(fā)的一款PDF編輯軟件。AdobeAcrobat/Reader存在空指針解引用漏洞。攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87305
5、MicrosoftWindows NTFS權(quán)限提升漏洞
MicrosoftWindows NTFS是美國微軟(Microsoft)公司的一個為計算機文件服務的文件系統(tǒng)。該文件系統(tǒng)具有錯誤預警功能、磁盤自我修復功能和日志功能。MicrosoftWindows NTFS存在權(quán)限提升漏洞,攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87333
二、境內(nèi)廠商產(chǎn)品漏洞
1、ASUS P453UJ緩沖區(qū)溢出漏洞
ASUSP453UJ是中國臺灣華碩(ASUS)公司的一個BIOS固件。ASUSP453UJ 存在緩沖區(qū)溢出漏洞,該漏洞源于本地攻擊者在普通用戶的許可下,可以通過替換或填充指定的 MemoryDataBuffer 的內(nèi)容來修改 BIOS,從而導致完整性驗證失敗,進而導致無法啟動。目前沒有詳細的漏洞細節(jié)提供。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88203
2、JEECMS跨站腳本漏洞(CNVD-2021-88950)
Jeecms是中國金磊科技發(fā)展(Jeecms)公司的一套使用Java語言開發(fā)的內(nèi)容管理系統(tǒng)(CMS)。JEECMS 中存在跨站腳本漏洞,該漏洞源于產(chǎn)品的/member-vipcenter.htm頁面未對用戶輸入數(shù)據(jù)做有效驗證。攻擊者可通過該漏洞執(zhí)行客戶端代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88950
3、Maccms跨站腳本漏洞(CNVD-2021-88954)
Maccms是一套基于PHP的影視內(nèi)容管理系統(tǒng)(CMS)。Macmms10 中存在跨站腳本漏洞,該漏洞源于產(chǎn)品中未能正確處理type_en參數(shù)的數(shù)據(jù)。攻擊者可通過該漏洞獲取管理員cookie并升級特權(quán)。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88954
4、baijiacms路徑遍歷漏洞
baijiacms是一套用于電子商務的內(nèi)容管理系統(tǒng)(CMS)。baijiacms存在路徑遍歷漏洞,該漏洞源于database.php 中發(fā)現(xiàn)了一個目錄遍歷漏洞,攻擊者可以通過id參數(shù)刪除任意服務器上的文件夾。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88727
5、WuZhi CMS存在任意文件刪除漏洞
WuzhiWUZHI CMS是五指(Wuzhi)公司的一套基于PHP和MySQL的開源內(nèi)容管理系統(tǒng)(CMS)。WuZhiCMS存在安全漏洞,該漏洞源于WuZhiCMS后端存在任意文件刪除漏洞。攻擊者可以利用漏洞刪除任意文件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-88956
說明:關注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺