上周关注度较高的产品安全漏洞(20210913-20210919)

一、境外厂商产品漏洞

1、WordPress underConstruction跨站脚本漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 插件是WordPress开源的一个应用插件。WordPress underConstruction插件在1.18及之前版本存在跨站脚本漏洞，该漏洞源于在ucOptions.PHP文件缺少对用户输入数据的校验和对输处的数据的过滤，攻击者可利用该漏洞引诱用户点击包含恶意请求导致在客户端代码窃取用户Cookie凭据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70743

2、Microsoft Windows和Windows Server远程代码执行漏洞（CNVD-2021-71410）

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows和Windows Server存在远程代码执行漏洞，该漏洞源于Windows Jet数据库引擎未能正确处理内存中的对象，攻击者可通过诱使受害者打开特制文件利用该漏洞在受害者系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71410

3、IBM AIX权限许可和访问控制问题漏洞（CNVD-2021-71526）

IBM AIX是美国IBM公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。多款IBM应用中存在权限许可和访问控制问题漏洞，该漏洞源于产品缺乏有效的权限许可和访问控制措施。攻击者可通过该漏洞获得根特权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71526

4、Aruba Operating System路径遍历漏洞

Aruba Networks ArubaOS是美国安移通网络（Aruba Networks）公司的一套面向Aruba Mobility-Defined Networks（包括移动控制器和移动接入交换机）的操作系统。ArubaOS存在路径遍历漏洞，该漏洞源于系统对于参数没有进行有效的验证与过滤，经过身份验证的攻击者可以利用此漏洞针对ArubaOS命令行界面进行任意文件读取。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71259

5、Siemens SIPROTEC 5 relays缓冲区溢出漏洞

Siemens SIPROTEC 5是德国西门子（Siemens）公司的一款多功能继电器。Siemens SIPROTEC 5 relays存在缓冲区溢出漏洞。攻击者可利用漏洞向端口4443/TCP发送构建的数据包，导致拒绝服务情况或远程代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71446

二、境内厂商产品漏洞

1、华为SVN2230存在弱口令漏洞

华为SVN2230是一款VPN网关。华为SVN2230存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-57940

2、大华部分产品身份认证绕过漏洞

浙江大华技术股份有限公司是一家领先的监控产品供应商和解决方案服务商。大华部分产品存在身份认证绕过漏洞，攻击者可利用漏洞通过构造恶意数据包绕过设备身份认证。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70816

3、免费小说大全软件存在命令执行漏洞

免费小说大全软件是科大讯飞股份有限公司开发的全方位免费听书看书神器，专注网络小说app。免费小说大全软件存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-57770

4、天玥运维安全网关存在弱口令漏洞（CNVD-2021-58618）

天玥运维安全网关（云堡垒机）是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。天玥运维安全网关存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-58618

5、和信下一代云桌面存在文件上传漏洞

和信下一代云桌面是基于NGD(Next Generation Desktop)架构的桌面虚拟化产品。

和信下一代云桌面存在文件上传漏洞，攻击者可利用漏洞上传webshell，获得服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-58587说明：

关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。