一、境外廠商產(chǎn)品漏洞

　　1、Fortinet FortiSIEM Windows Agent命令執(zhí)行漏洞

　　Fortinet FortiSIEM Windows Agent是美國(guó)飛塔（Fortinet）公司的一款用于從Windows服務(wù)器上收集日志和其他行為的代理程序。Fortinet FortiSIEM Windows Agent 4.1.4 及以下版本存在安全漏洞，攻擊者可利用該漏洞通過(guò)powershell腳本執(zhí)行特權(quán)代碼或命令。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84247

　　2、WordPress訪問(wèn)控制錯(cuò)誤漏洞

　　WordPress是WordPress（Wordpress）基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress Plugin Hashthemes Demo Importer 1.1.1及之前存在訪問(wèn)控制錯(cuò)誤漏洞，該漏洞源于受影響產(chǎn)品包含幾個(gè)AJAX函數(shù)，這些函數(shù)依賴對(duì)所有登錄用戶可見(jiàn)的隨機(jī)數(shù)進(jìn)行訪問(wèn)控制，攻擊者可利用該漏洞執(zhí)行一個(gè)函數(shù)，該函數(shù)可以截?cái)鄮缀跛袛?shù)據(jù)庫(kù)表并刪除內(nèi)容wp內(nèi)容/上傳。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-83709

　　3、GPAC緩沖區(qū)溢出漏洞（CNVD-2021-84263）

　　GPAC是一款開(kāi)源的多媒體框架。GPAC存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于 gpac 0.8.0中發(fā)現(xiàn)了一個(gè)問(wèn)題。av_parsers.c中的 gf_media_nalu_remove_emulation_bytes函數(shù)具有基于堆的緩沖區(qū)溢出，攻擊者可利用該漏洞可通過(guò)精心設(shè)計(jì)的輸入導(dǎo)致拒絕服務(wù) （DOS）。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84263

　　4、Fortinet FortiAnalyzer跨站腳本漏洞（CNVD-2021-84244）

　　FortinetFortiAnalyzer是美國(guó)飛塔（Fortinet）公司的一套集中式網(wǎng)絡(luò)安全報(bào)告解決方案。該產(chǎn)品主要用于收集網(wǎng)絡(luò)日志數(shù)據(jù)，并通過(guò)報(bào)告套件對(duì)日志中的安全事件、網(wǎng)絡(luò)流量、Web內(nèi)容等進(jìn)行分析、報(bào)告、歸檔操作。Fortinet FortiAnalyzer中存在跨站腳本漏洞，該漏洞源于產(chǎn)品的頁(yè)面未能正確處理用戶輸入數(shù)據(jù)。攻擊者可通過(guò)該漏洞執(zhí)行客戶端代碼。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84244

　　5、HP LaserJet Pro printer存在未授權(quán)訪問(wèn)漏洞

　　Hp LaserJet Pro Printer是美國(guó)惠普（Hp）公司的一款激光打印機(jī)。HP LaserJet Pro printer存在安全漏洞，攻擊者可利用該漏洞可能允許未經(jīng)授權(quán)的用戶重新配置、重置設(shè)備。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-83707

　　二、境內(nèi)廠商產(chǎn)品漏洞

　　1、Xiaomi Mi WiFi存在任意文件讀取漏洞

　　小米科技有限責(zé)任公司成立于2010年3月3日，是一家專注于智能硬件和電子產(chǎn)品研發(fā)的全球化移動(dòng)互聯(lián)網(wǎng)企業(yè)，同時(shí)也是一家專注于高端智能手機(jī)、互聯(lián)網(wǎng)電視及智能家居生態(tài)鏈建設(shè)的創(chuàng)新型科技企業(yè)。Xiaomi Mi WiFi存在任意文件讀取漏洞存在任意文件讀取漏洞，攻擊者可利用該漏洞獲取敏感信息。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-72099

　　2、網(wǎng)御Web應(yīng)用安全防護(hù)系統(tǒng)存在弱口令漏洞（CNVD-2021-71692）

　　北京網(wǎng)御星云信息技術(shù)有限公司，業(yè)務(wù)涵蓋網(wǎng)絡(luò)邊界安全防護(hù)、應(yīng)用與數(shù)據(jù)安全防護(hù)、全網(wǎng)安全風(fēng)險(xiǎn)管理、專業(yè)安全解決方案和專業(yè)安全服務(wù)等多個(gè)方向。網(wǎng)御Web應(yīng)用安全防護(hù)系統(tǒng)存在弱口令漏洞，攻擊者可利用該漏洞獲取敏感信息。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-71692

　　3、Huawei Emui和Magic UI不正確驗(yàn)證漏洞（CNVD-2021-83531）

　　Huawei Emui是一款基于Android開(kāi)發(fā)的移動(dòng)端操作系統(tǒng)。Magic Ui是一款基于Android開(kāi)發(fā)的移動(dòng)端操作系統(tǒng)。Huawei Emui和Magic UI存在安全漏洞，攻擊者可利用漏洞導(dǎo)致某些虛擬信息的傳輸。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-83531

　　4、Tenda AC-10U緩沖區(qū)溢出漏洞

　　Tenda AC-10U是中國(guó)騰達(dá)（Tenda）公司的一款無(wú)線路由器。Tenda AC-10U AC1200路由器存在緩沖區(qū)溢出漏洞，該漏洞的存在是由于在處理不受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤。遠(yuǎn)程攻擊者通過(guò)goform/SetSysTimeCfg的timeZone參數(shù)執(zhí)行任意代碼。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84224

　　5、Huawei Emui和Magic UI競(jìng)爭(zhēng)條件漏洞

　　Huawei Smartphone是中國(guó)華為（Huawei）公司的一款智能手機(jī)。Huawei Emui和Magic UI存在安全漏洞，攻擊者可利用漏洞導(dǎo)致管理系統(tǒng)信任列表時(shí)出現(xiàn)異常。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-83530

　　說(shuō)明：關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。