|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| archibus |
web_central |
1 |
ARCHIBUS Web Central 21.3.3.815
版本,其中Web應用程序(/archibus/login.axvw) 的 session token
(會話令牌)存在驗證弱點。攻擊者只需向主頁發出未經身份驗證的 GET 請求並將任意值添加到 JSESSIONID
字段即可。登錄後,應用程序不會分配新令牌,而是繼續保留插入的令牌作為整個會話的標識符。 |
CVE-2021-41553
|
| aviatorscript_project |
aviatorscript |
1 |
AviatorScript 5.2.7 (含)之前版本存在弱點。該弱點允許通過使用字節程式碼的函式庫
(BCEL) 編碼的表達式執行程式碼。 |
CVE-2021-41862
|
| corel |
pdf_fusion |
1 |
Corel PDF Fusion 2.6.2.0 版本的 Coreip.dll
存在越界寫入的安全性弱點。未經身份驗證的攻擊者,可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 |
CVE-2021-38096
|
| corel |
pdf_fusion |
1 |
Corel PDF Fusion 2.6.2.0
存在越界寫入的安全性弱點。未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 |
CVE-2021-38097
|
| corel |
photopaint_2020 |
1 |
Corel PhotoPaint Standard 2020 22.0.0.474 的 CDRRip.dll
存在越界寫入的安全性弱點。未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 |
CVE-2021-38099
|
| corel |
presentations_2020 |
1 |
Corel Presentations 2020 20.0.0.200 中的 IBJPG2.FLT
存在越界寫入的安全性弱點。未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 |
CVE-2021-38103
|
| dell |
isilon_insightiq_firmware |
1 |
Dell EMC InsightIQ 4.1.4 (含)之前版本的 SSH
組件加密算法存在安全性弱點。未經身份驗證的遠端攻擊者可能藉由該弱點繞過身份驗證並遠端接管 InsightIQ進而完全控制 InsightIQ
以影響 SSH 提供的服務。 |
CVE-2021-36298
|
| galera |
galera_webtemplate |
1 |
Galera WebTemplate 1.0 版本存在目錄遍歷的安全性弱點。該弱點可能會洩露來自
(/etc/passwd 和 /etc/shadow) 的資訊。 |
CVE-2021-40960
|
| getcomposer |
composer |
1 |
Composer 是 PHP 語言的開源依賴管理器。在受影響的版本中,運行 Composer
以安裝不受信任的依賴項的 Windows 用戶會受到命令注入的影響,因此應升級其 Composer 版本。其他操作系統和 WSL 不受影響。 |
CVE-2021-41116
|
| ptcl |
hg150-ub_firmware |
1 |
PTCL HG150-Ub v3.0 的管理員身份驗證面板存在弱點,該弱點允許攻擊者通過修改 cookie
值和響應路徑來繞過身份驗證。 |
CVE-2021-35296
|
| qnap |
qvr |
1 |
QNAP 設備執行 QVR 的程序存在命令注入弱點。該弱點可能允許遠端攻擊者運行任意命令。 |
CVE-2021-34352
|