|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| accellion |
fta |
1 |
Accellion FTA 9_12_432
和更早版本受參數注入的影響並通過精心製作的POST請求到管理員端。固定版本為FTA_9_12_444及更高版本。 |
CVE-2021-27730
|
| apache |
tomcat |
1 |
CVE-2020-9484的修復程式不完整。 使用Apache Tomcat 10.0.0-M1至10.0.0、9.0.M1至9.0.41、8.5.0至8.5.61或7.0.0到7.0.107且配置邊緣案例極不可能使用的情況下,Tomcat實例仍然容易受到CVE-2020-9494的攻擊。
請注意,先前發布的CVE-2020-9484的先決條件和先前發布的CVE-2020-9484的緩解措施也都適用於此問題。 |
CVE-2021-25329
|
| doctor_appointment_system_project |
doctor_appointment_system |
1 |
doctor appointment system 1.0中 admin.php中的SQL注入弱點允許未經身份驗證的攻擊者通過用戶名參數在登錄頁面上插入惡意SQL查詢。 |
CVE-2021-27314
|
| eprints |
eprints |
1 |
EPrints 3.4.2允許遠端攻擊者讀取任意文件,並可能通過對cgi / ajax / phrase
URI進行精心設計的JSON / XML輸入來執行命令。 |
CVE-2021-26703
|
| eprints |
eprints |
1 |
EPrints 3.4.2允許遠端攻擊者通過將精心製作的LaTeX輸入到cgi / cal?year =
URI來執行OS命令。 |
CVE-2021-26476
|
| google |
android |
1 |
在驅動程式表現中,由於缺少邊界檢查,可能會有超出邊界寫入的問題。
這可能會導致所需的系統執行特權在本地端進行特權升級。 用戶的相互作用不太需要被開發。 產品:Android;
版本:Android-10,Android-11; Patch ID:ALPS05466547。 |
CVE-2021-0405
|
| google |
android |
1 |
在jpeg中,由於輸入驗證不正確,可能會超出範圍。 這可能會導致所需的系統執行特權在本地端進行特權升級。
用戶的相互作用不太需要被開發。 產品:Android; 版本:Android-11; 補丁ID:ALPS05433311。 |
CVE-2021-0402
|
| google |
android |
1 |
在cameraisp中,由於缺少邊界檢查,可能會有超出邊界寫入的問題。
這可能會導致所需的系統執行特權在本地端進行特權升級。 用戶的相互作用不太需要被開發。 產品:Android;
版本:Android-10,Android-11; Patch ID:ALPS05471418。 |
CVE-2021-0406
|
| isida |
retriever |
1 |
LMA ISIDA Retriever 5.2允許SQL注入弱點。 |
CVE-2021-26904
|
| jpeg |
jpeg_xl |
1 |
JPEG XL(aka jpeg-xl)到0.3.2版本允許可寫入的記憶體損壞問題。 |
CVE-2021-27804
|
| saltstack |
salt |
1 |
在3002.5版本之前的SaltStack Salt中發現了一個問題。
由於對單引號和雙引號的處理不同,將精心製作的Web請求發送到Salt API可能會導致salt.utils.thin.gen_thin()命令注入弱點。 這與salt / utils / thin.py有關。 |
CVE-2021-3148
|
| saltstack |
salt |
1 |
在3002.5之前通過SaltStack Salt發現了一個問題。 Jinja
renderer無法抵禦服務器端範本注入攻擊。 |
CVE-2021-25283
|
| saltstack |
salt |
1 |
在3002.5之前通過SaltStack Salt發現了一個問題。
salt-api不接受wheel_async客戶端的eauth憑證。 因此,攻擊者可以遠端運行主機上的任何車輪模組。 |
CVE-2021-25281
|
| saltstack |
salt |
1 |
在3002.5之前的SaltStack Salt中發現了一個問題。
salt-api的ssh客戶端容易受到shell注入攻擊,方法是在參數中包含ProxyCommand或通過API請求中提供的
ssh_options。 |
CVE-2021-3197
|
| saltstack |
salt |
1 |
在3002.5之前的SaltStack Salt中,eauth通行證在過期後可以使用一次。
(它們可能用於對salt master或minions運行命令。) |
CVE-2021-3144
|
| sercomm |
agcombo_vd625_firmware |
1 |
SerComm AG Combo VD625 AGSOT_2.1.0設備允許通過Content-Disposition標頭在下載功能中進行CRLF注入(用於HTTP標頭注入)。 |
CVE-2021-27132
|
| totaljs |
total.js |
1 |
3.4.8版本之前的封包total.js易受遠端程式碼執行(RCE)傷害。 |
CVE-2021-23344
|