上周关注度较高的产品安全漏洞(20210726-20210801)

一、境外厂商产品漏洞

1、Oracle MySQL Server拒绝服务漏洞（CNVD-2021-54386）

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。Oracle MySQL Server 8.0.25及更早版本中的Server: Optimizer组件存在拒绝服务漏洞。攻击者可利用该漏洞导致MySQL服务器挂起或频繁重复崩溃（完全拒绝服务）。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-54386

2、Cisco IP Phone CP-8865存在未授权访问漏洞

Cisco IP Phone CP-8865是一款企业级IP电话。Cisco IP Phone CP-8865存在未授权访问漏洞。攻击者可利用漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45365

3、ZOHO ManageEngine ADSelfService Plus远程代码执行漏洞

ManageEngine ADSelfService Plus是一款基于Web的自助服务应用程序，使终端用户可不依赖于帮助台而执行密码重置、帐户解锁、配置文件信息更新等任务。Zoho ManageEngine ADSelfService Plus 6101及更早版本在更改密码时存在远程代码执行漏洞。攻击者可利用该漏洞执行远程代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-55176

4、Axis M1011 Network Camera存在未授权访问漏洞

Axis是一家专为提供网络视频解决方案的IT公司。Axis M1011 Network Camera存在未授权访问漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45701

5、Polaris Office windows版存在内存破坏漏洞

Polaris Office是一款兼容MS Word、Excel、PowerPoint和Adobe PDF等办公套件。Polaris Office windows版存在内存破坏漏洞。攻击者可利用该漏洞导致程序崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-43948

二、境内厂商产品漏洞

1、百卓网络Smart多业务安全网关智能管理平台存在逻辑缺陷漏洞

北京百卓网络技术有限公司（以下简称百卓网络）是一家致力于构建下一代安全互联网的高新技术企业。百卓网络Smart多业务安全网关智能管理平台存在逻辑缺陷漏洞。攻击者可利用漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45360

2、中威政府门户网站群管理系统存在文件上传漏洞

江苏中威科技软件系统有限公司，主要从事自主软件技术研究、产品研发；应用系统项目开发建设；技术咨询、方案顾问；云服务等业务。中威政府门户网站群管理系统存在文件上传漏洞，攻击者可利用漏洞上传webshell，获得服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45382

3、深圳市中电电力技术股份有限公司物业综合计费管理云平台存在SQL注入漏洞

物业综合计费管理系统基于云计算、物联网及先进的智能计费管理技术，实现电力系统智能用电数据与其他智能终端数据灵活接入，支持4G、RS-485、以太网等通信方式，使数据互联互通，实现网上在线充值、短信提醒及余额查询等。深圳市中电电力技术股份有限公司物业综合计费管理云平台存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45383

4、RPCMS存在文件上传漏洞（CNVD-2021-45388）

RPCMS是一款基于PHP MYSQL的轻量型内容管理/博客系统。RPCMS存在文件上传漏洞。攻击者可利用该漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45388

5、大唐电信科技股份有限公司NVS3000综合视频监控平台存在SQL注入漏洞（CNVD-2021-45156）

大唐电信科技股份有限公司是信息通信领域产品和综合解决方案提供商。大唐电信科技股份有限公司NVS3000综合视频监控平台存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-45156

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。