上周關注度較高的產品安全漏洞(20210920-20210926)

一、境外廠商產品漏洞

1、 Google Chrome libjpeg-turbo信息泄露漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Chrome 94.0.4606.54之前版本中的libjpeg-turbo存在信息泄露漏洞。攻擊者可利用漏洞獲取敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73414

2、AdobeFramemaker越界寫入漏洞（CNVD-2021-73434）

Adobe FrameMaker是一款文檔處理程序，用于編寫和編輯包括結構化文檔在內的大型或復雜文檔。Adobe Framemaker 2019 Update8、2020Release Update 2及更早版本存在越界寫入漏洞。攻擊者可利用該漏洞執行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73434

3、WordPressModern Events Calendar遠程代碼執行漏洞

WordPress是基于PHP語言開發的博客平臺，可以用于在支持PHP和MySQL數據庫的服務器上架設網站，也可當做一個內容管理系統（CMS）。WordPressModern Events Calendar存在遠程代碼執行漏洞，攻擊者可以利用該漏洞執行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73650

4、ZOHOManageEngine OpManager遠程代碼執行漏洞

ZOHOManageEngine OpManager是美國卓豪（ZOHO）公司的一套網絡、服務器及虛擬化監控軟件。ZohoManageEngine OpManager Stable build before 125203存在安全漏洞，攻擊者可利用該漏洞通過智能更新管理器(SUM)servlet遠程執行代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73653

5、多款Cisco SD-WAN產品緩沖區溢出漏洞

CiscoSD-WAN vEdge是美國思科（Cisco）公司的是一款路由器。該設備可為思科SD-WAN解決方案提供基本WAN，安全性和多云功能。CiscoSD-WAN vManage是美國思科（Cisco）公司的一款可提供軟件定義網絡功能的軟件。該軟件為網絡虛擬化的一種方式。多款CiscoSD-WAN產品存在緩沖區溢出漏洞。該漏洞源于程序未對SNMPv3管理功能的輸入進行正確驗證檢查。未經身份認證的遠程攻擊者可通過將特制的SNMPv3流量發送到特定設備利用該漏洞導致設備拒絕服務。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73654

二、境內廠商產品漏洞

1、 Totolink A720R堆棧溢出漏洞

TotolinkA720R是中國臺灣吉翁電子（Totolink）公司的一款無線路由器。TotolinkA720R V4.1.5cu.470_B20200911版本存在堆棧溢出漏洞，該漏洞源于軟件中的checkLoginUser函數對數據的錯誤處理，攻擊者可利用該漏洞造成拒絕服務（DOS）。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73657

2、ASUS RT-AX3000拒絕服務漏洞

ASUSRT-AX3000是中國臺灣華碩（ASUS）公司的一款運行在其路由器中的固件。ASUSRT-AX3000存在安全漏洞，攻擊者可利用該漏洞通過連續登錄錯誤中斷設備安裝服務的使用。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73652

3、泛微OA e-office存在SQL注入漏洞

泛微OAe-office是泛微旗下的一款標準協同移動辦公平臺。泛微OAe-office存在SQL注入漏洞，攻擊者可利用該漏洞獲取數據庫敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-61038

4、I Doc View在線文檔預覽系統存在命令執行漏洞

I DocView在線文檔預覽是一款在線文檔預覽系統。I DocView在線文檔預覽系統存在命令執行漏洞，攻擊者可利用該漏洞執行任意命令。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-60487

5、PanDownload存在SQL注入漏洞

Pandownload是一款百度網盤下載工具。PanDownload存在SQL注入漏洞，攻擊者可利用該漏洞獲取數據庫敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-60428

說明：關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。