上周关注度较高的产品安全漏洞(20210920-20210926)

一、境外厂商产品漏洞

1、 Google Chrome libjpeg-turbo信息泄露漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome 94.0.4606.54之前版本中的libjpeg-turbo存在信息泄露漏洞。攻击者可利用漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73414

2、AdobeFramemaker越界写入漏洞（CNVD-2021-73434）

Adobe FrameMaker是一款文档处理程序，用于编写和编辑包括结构化文档在内的大型或复杂文档。Adobe Framemaker 2019 Update8、2020Release Update 2及更早版本存在越界写入漏洞。攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73434

3、WordPressModern Events Calendar远程代码执行漏洞

WordPress是基于PHP语言开发的博客平台，可以用于在支持PHP和MySQL数据库的服务器上架设网站，也可当做一个内容管理系统（CMS）。WordPressModern Events Calendar存在远程代码执行漏洞，攻击者可以利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73650

4、ZOHOManageEngine OpManager远程代码执行漏洞

ZOHOManageEngine OpManager是美国卓豪（ZOHO）公司的一套网络、服务器及虚拟化监控软件。ZohoManageEngine OpManager Stable build before 125203存在安全漏洞，攻击者可利用该漏洞通过智能更新管理器(SUM)servlet远程执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73653

5、多款Cisco SD-WAN产品缓冲区溢出漏洞

CiscoSD-WAN vEdge是美国思科（Cisco）公司的是一款路由器。该设备可为思科SD-WAN解决方案提供基本WAN，安全性和多云功能。CiscoSD-WAN vManage是美国思科（Cisco）公司的一款可提供软件定义网络功能的软件。该软件为网络虚拟化的一种方式。多款CiscoSD-WAN产品存在缓冲区溢出漏洞。该漏洞源于程序未对SNMPv3管理功能的输入进行正确验证检查。未经身份认证的远程攻击者可通过将特制的SNMPv3流量发送到特定设备利用该漏洞导致设备拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73654

二、境内厂商产品漏洞

1、 Totolink A720R堆栈溢出漏洞

TotolinkA720R是中国台湾吉翁电子（Totolink）公司的一款无线路由器。TotolinkA720R V4.1.5cu.470_B20200911版本存在堆栈溢出漏洞，该漏洞源于软件中的checkLoginUser函数对数据的错误处理，攻击者可利用该漏洞造成拒绝服务（DOS）。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73657

2、ASUS RT-AX3000拒绝服务漏洞

ASUSRT-AX3000是中国台湾华硕（ASUS）公司的一款运行在其路由器中的固件。ASUSRT-AX3000存在安全漏洞，攻击者可利用该漏洞通过连续登录错误中断设备安装服务的使用。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73652

3、泛微OA e-office存在SQL注入漏洞

泛微OAe-office是泛微旗下的一款标准协同移动办公平台。泛微OAe-office存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-61038

4、I Doc View在线文档预览系统存在命令执行漏洞

I DocView在线文档预览是一款在线文档预览系统。I DocView在线文档预览系统存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-60487

5、PanDownload存在SQL注入漏洞

Pandownload是一款百度网盘下载工具。PanDownload存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-60428

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。