上周关注度较高的产品安全漏洞(20211122-20211128)

一、境外厂商产品漏洞

1、Mozilla Firefox缓冲区溢出漏洞（CNVD-2021-90103）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在缓冲区溢出漏洞，该漏洞源于处理 HTML 内容时的边界错误。攻击者可利用该漏洞创建一个特制的网页，诱骗受害者打开它，触发内存损坏并在目标系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-90103

2、Adobe After Effects内存缓冲区越界访问漏洞（CNVD-2021-89931）

Adobe After Effects（简称“AE”）是Adobe公司推出的一款图形视频处理软件，适用于从事设计和视频特技的机构，包括电视台、动画制作公司、个人后期制作工作室以及多媒体工作室。Adobe After Effects 18.4.1及更早版本存在内存缓冲区越界访问漏洞。攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-89931

3、Open-xchange OX App Suite跨站脚本漏洞（CNVD-2021-90764）

Open-xchange OX AppSuite是美国Open-Xchange（Open-xchange）公司的一套Web云桌面环境。该环境允许用户更直观的管理电子邮件、任务和文件等。Open-xchange OX App Suite存在跨站脚本漏洞，攻击者可利用该漏洞执行恶意脚本代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-90764

4、Google Chrome contacts picker安全绕过漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome存在安全漏洞，该漏洞源于产品联系人选择器中策略执行存在错误。攻击者可利用此漏洞绕过安全限制。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-91284

5、IBM Tivoli Key Lifecycle Manager信息泄露漏洞（CNVD-2021-91635）

IBM Tivoli KeyLifecycle Manager（TKLM）是美国IBM公司的一套密钥生命周期管理软件。该软件为存储设备提供密钥存储、密钥维护和密钥生命周期管理等功能。IBM Tivoli Key Lifecycle Manager存在安全漏洞，该漏洞源于IBM Tivoli Key Lifecycle Manager使用了比预期更弱的加密算法。攻击者可利用该漏洞解密高度敏感的信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-91635

 

二、境内厂商产品漏洞

1、Advantech R-SeeNet SQL注入漏洞（CNVD-2021-90868）

Advantech R-SeeNet是中国台湾研华（Advantech）公司的一个工业监控软件。该软件基于snmp协议进行监控平台，并且适用于Linux、Windows平台。Advantech R-SeeNet存在SQL注入漏洞，远程攻击者可利用漏洞在数据库中执行任意SQL查询。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-90868

2、启明星辰天请汉马USG防火墙存在逻辑缺陷漏洞

天清汉马USG防火墙是启明星辰公司推出的全新防火墙系列产品。启明星辰天请汉马USG防火墙存在逻辑缺陷漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-75319

3、深圳市安佳威视信息技术有限公司智能摄像机存在弱口令漏洞

深圳市安佳威视信息技术有限公司（Shenzhen Anjoy Vision Information TechnologyCo., Ltd. 以下简称：安佳威视）是一家集研发、生产、销售与服务为一体的高新技术企业。深圳市安佳威视信息技术有限公司智能摄像机存在弱口令漏洞，攻击者可利用该漏洞登录后台，获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-75398

4、Moxa MXview路径遍历漏洞

Moxa MXview是一款用于监控和诊断工业网络的网络管理软件。Moxa MXview存在路径遍历漏洞。攻击者可利用该漏洞创建或覆盖用于执行代码的关键文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-89945

5、四创科技有限公司水利工程管理系统存在SQL注入漏洞

四创科技是中国减灾兴利信息服务提供商，致力于减灾兴利事业，为政府提供减灾兴利信息化全面解决方案。四创科技有限公司水利工程管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-72314

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

原文始发于微信公众号（CNVD漏洞平台）：上周关注度较高的产品安全漏洞(20211122-20211128)