上周關注度較高的產品安全漏洞(20210913-20210919)

一、境外廠商產品漏洞

1、WordPress underConstruction跨站腳本漏洞

WordPress是Wordpress基金會的一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress 插件是WordPress開源的一個應用插件。WordPress underConstruction插件在1.18及之前版本存在跨站腳本漏洞，該漏洞源于在ucOptions.PHP文件缺少對用戶輸入數據的校驗和對輸處的數據的過濾，攻擊者可利用該漏洞引誘用戶點擊包含惡意請求導致在客戶端代碼竊取用戶Cookie憑據。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70743

2、Microsoft Windows和Windows Server遠程代碼執行漏洞（CNVD-2021-71410）

Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Windows和Windows Server存在遠程代碼執行漏洞，該漏洞源于Windows Jet數據庫引擎未能正確處理內存中的對象，攻擊者可通過誘使受害者打開特制文件利用該漏洞在受害者系統上執行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71410

3、IBM AIX權限許可和訪問控制問題漏洞（CNVD-2021-71526）

IBM AIX是美國IBM公司的一款為IBM Power體系架構開發的一種基于開放標準的UNIX操作系統。多款IBM應用中存在權限許可和訪問控制問題漏洞，該漏洞源于產品缺乏有效的權限許可和訪問控制措施。攻擊者可通過該漏洞獲得根特權。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71526

4、Aruba Operating System路徑遍歷漏洞

Aruba Networks ArubaOS是美國安移通網絡（Aruba Networks）公司的一套面向Aruba Mobility-Defined Networks（包括移動控制器和移動接入交換機）的操作系統。ArubaOS存在路徑遍歷漏洞，該漏洞源于系統對于參數沒有進行有效的驗證與過濾，經過身份驗證的攻擊者可以利用此漏洞針對ArubaOS命令行界面進行任意文件讀取。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71259

5、Siemens SIPROTEC 5 relays緩沖區溢出漏洞

Siemens SIPROTEC 5是德國西門子（Siemens）公司的一款多功能繼電器。Siemens SIPROTEC 5 relays存在緩沖區溢出漏洞。攻擊者可利用漏洞向端口4443/TCP發送構建的數據包，導致拒絕服務情況或遠程代碼執行。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71446

二、境內廠商產品漏洞

1、華為SVN2230存在弱口令漏洞

華為SVN2230是一款VPN網關。華為SVN2230存在弱口令漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-57940

2、大華部分產品身份認證繞過漏洞

浙江大華技術股份有限公司是一家領先的監控產品供應商和解決方案服務商。大華部分產品存在身份認證繞過漏洞，攻擊者可利用漏洞通過構造惡意數據包繞過設備身份認證。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70816

3、免費小說大全軟件存在命令執行漏洞

免費小說大全軟件是科大訊飛股份有限公司開發的全方位免費聽書看書神器，專注網絡小說app。免費小說大全軟件存在命令執行漏洞，攻擊者可利用該漏洞獲取服務器控制權限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-57770

4、天玥運維安全網關存在弱口令漏洞（CNVD-2021-58618）

天玥運維安全網關（云堡壘機）是針對業務環境下的用戶運維操作進行控制和審計的合規性管控系統。天玥運維安全網關存在弱口令漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-58618

5、和信下一代云桌面存在文件上傳漏洞

和信下一代云桌面是基于NGD(Next Generation Desktop)架構的桌面虛擬化產品。

和信下一代云桌面存在文件上傳漏洞，攻擊者可利用漏洞上傳webshell，獲得服務器權限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-58587說明：

關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。