上周关注度较高的产品安全漏洞(20211122-20211128)

admin 2021年11月29日08:33:10安全新闻评论41 views2260字阅读7分32秒阅读模式

一、境外厂商产品漏洞

1、Mozilla Firefox缓冲区溢出漏洞(CNVD-2021-90103)

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在缓冲区溢出漏洞,该漏洞源于处理 HTML 内容时的边界错误。攻击者可利用该漏洞创建一个特制的网页,诱骗受害者打开它,触发内存损坏并在目标系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-90103

2、Adobe After Effects内存缓冲区越界访问漏洞(CNVD-2021-89931)

Adobe After Effects(简称“AE”)是Adobe公司推出的一款图形视频处理软件,适用于从事设计和视频特技的机构,包括电视台、动画制作公司、个人后期制作工作室以及多媒体工作室。Adobe After Effects 18.4.1及更早版本存在内存缓冲区越界访问漏洞。攻击者可利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-89931

3、Open-xchange OX App Suite跨站脚本漏洞(CNVD-2021-90764)

Open-xchange OX AppSuite是美国Open-Xchange(Open-xchange)公司的一套Web云桌面环境。该环境允许用户更直观的管理电子邮件、任务和文件等。Open-xchange OX App Suite存在跨站脚本漏洞,攻击者可利用该漏洞执行恶意脚本代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-90764

4、Google Chrome contacts picker安全绕过漏洞

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在安全漏洞,该漏洞源于产品联系人选择器中策略执行存在错误。攻击者可利用此漏洞绕过安全限制。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-91284

5、IBM Tivoli Key Lifecycle Manager信息泄露漏洞(CNVD-2021-91635)

IBM Tivoli KeyLifecycle Manager(TKLM)是美国IBM公司的一套密钥生命周期管理软件。该软件为存储设备提供密钥存储、密钥维护和密钥生命周期管理等功能。IBM Tivoli Key Lifecycle Manager存在安全漏洞,该漏洞源于IBM Tivoli Key Lifecycle Manager使用了比预期更弱的加密算法。攻击者可利用该漏洞解密高度敏感的信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-91635

 

二、境内厂商产品漏洞

1、Advantech R-SeeNet SQL注入漏洞(CNVD-2021-90868)

Advantech R-SeeNet是中国台湾研华(Advantech)公司的一个工业监控软件。该软件基于snmp协议进行监控平台,并且适用于Linux、Windows平台。Advantech R-SeeNet存在SQL注入漏洞,远程攻击者可利用漏洞在数据库中执行任意SQL查询。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-90868

2、启明星辰天请汉马USG防火墙存在逻辑缺陷漏洞

天清汉马USG防火墙是启明星辰公司推出的全新防火墙系列产品。启明星辰天请汉马USG防火墙存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-75319

3、深圳市安佳威视信息技术有限公司智能摄像机存在弱口令漏洞

深圳市安佳威视信息技术有限公司(Shenzhen Anjoy Vision Information TechnologyCo., Ltd. 以下简称:安佳威视)是一家集研发、生产、销售与服务为一体的高新技术企业。深圳市安佳威视信息技术有限公司智能摄像机存在弱口令漏洞,攻击者可利用该漏洞登录后台,获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-75398

4、Moxa MXview路径遍历漏洞

Moxa MXview是一款用于监控和诊断工业网络的网络管理软件。Moxa MXview存在路径遍历漏洞。攻击者可利用该漏洞创建或覆盖用于执行代码的关键文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-89945

5、四创科技有限公司水利工程管理系统存在SQL注入漏洞

四创科技是中国减灾兴利信息服务提供商,致力于减灾兴利事业,为政府提供减灾兴利信息化全面解决方案。四创科技有限公司水利工程管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-72314


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


原文始发于微信公众号(CNVD漏洞平台):上周关注度较高的产品安全漏洞(20211122-20211128)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月29日08:33:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  上周关注度较高的产品安全漏洞(20211122-20211128) http://cn-sec.com/archives/653339.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: