上周關注度較高的產品安全漏洞

一、境外廠商產品漏洞

1、Adobe Genuine Software Service訪問控制錯誤漏洞

Adobe Genuine Software Service是美國奧多比（Adobe）公司的一款正版軟件服務。Adobe Genuine Software Service存在訪問控制錯誤漏洞，本地經過身份驗證的攻擊者可以利用此漏洞在當前用戶的上下文中實現權限提升。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-74105

2、VMware vCenter Server拒絕服務漏洞（CNVD-2021-74280）

Vmware VMware vCenter Server是美國威睿（Vmware）公司的一套服務器和虛擬化管理軟件。該軟件提供了一個用于管理VMware vSphere環境的集中式平臺，可自動實施和交付虛擬基礎架構。VMware vCenter Server存在拒絕服務漏洞，該漏洞源于VAPI服務消耗過多內存，攻擊者可利用該漏洞導致拒絕服務。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-74280

3、Microsoft Windows Server遠程代碼執行漏洞（CNVD-2021-74292）

Microsoft Windows DNS是美國微軟（Microsoft）公司的一個域名解析服務。域名系統（DNS）是包含TCP / IP的行業標準協議套件之一，并且DNS客戶端和DNS服務器共同為計算機和用戶提供計算機名稱到IP地址的映射名稱解析服務。Microsoft Windows Server中的Windows DNS Server存在遠程代碼執行漏洞，攻擊者可利用該漏洞實現遠程代碼執行。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-74292

4、Adobe Illustrator 2021操作系統命令注入漏洞

Adobe Illustrator 2021是一款矢量繪圖軟件。Adobe Illustrator 2021 25.2.3及之前版本存在安全漏洞。攻擊者可利用該漏洞在當前用戶的上下文中實現任意代碼執行。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-74108

5、FFmpeg緩沖區溢出漏洞（CNVD-2021-74087）

FFmpeg是FFmpeg團隊的一套可錄制、轉換以及流化音視頻的完整解決方案。FFmpeg存在安全漏洞，允許攻擊者可利用該漏洞造成拒絕服務或其他未指定的影響。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2021-74087

二、境內廠商產品漏洞

1、MetInfo SQL注入漏洞（CNVD-2021-74293）

MetInfo采用PHP+Mysql架構，是一款對SEO非常友好,功能全面，支持多語言、響應式展示，極其適合企業、公司網站建設的cms建站系統。MetInfo 7.0.0版存在SQL注入漏洞，攻擊者可通過admin/?n=logs&c=index&a=dodel利用該漏洞進行SQL注入攻擊。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-74293

2、Maccms跨站腳本漏洞（CNVD-2021-74101）

Maccms是一套基于PHP的影視內容管理系統（CMS）。Maccms存在安全漏洞，該漏洞源于產品中后臺管理員文章管理模塊未能對 Chinese and English字段的數據做有效驗證。攻擊者可通過該漏洞獲取管理員和用戶的Cookie。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-74101

3、四創科技有限公司山洪災害監測預警發布平臺存在SQL注入漏洞

四創科技有限公司是中國減災興利信息服務提供商。四創科技有限公司山洪災害監測預警發布平臺存在SQL注入漏洞，攻擊者可利用漏洞獲取數據庫敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-62143

4、北京星網銳捷網絡技術有限公司NBR_RGOS 11.9存在文件包含漏洞

北京星網銳捷網絡技術有限公司是一家主要經營信息系統集成服務；因特網虛擬專用網服務；互聯網管理服務等項目的公司。北京星網銳捷網絡技術有限公司NBR_RGOS 11.9存在文件包含漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-62983

5、北京亞鴻世紀科技發展有限公司企業側互聯網綜合管理平臺存在命令執行漏洞

北京亞鴻世紀科技發展有限公司是一家專注于互聯網空間數據治理、網絡與信息安全及數據增值解決方案及服務的高科技公司。北京亞鴻世紀科技發展有限公司企業側互聯網綜合管理平臺存在命令執行漏洞，攻擊者可利用該漏洞獲取服務器控制權。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-64012

說明：關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。