【安全提示】CNVD发布上周关注度较高的产品安全漏洞

以下文章来源于CNVD漏洞平台 ，作者CNVD

CNVD漏洞平台

国家信息安全漏洞共享平台（China National Vulnerability Database）是由国家计算机网络应急技术处理协调中心联合重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。

(20210607-20210613)

境外厂商产品漏洞

1.Cisco RV110W/RV130/RV130W/RV215W命令注入漏洞（CNVD-2021-41150）

Cisco RV110W是一款Wireless-N VPN防火墙，Cisco RV130是一款多功能VPN路由器，Cisco RV130W是一款Wireless-N多功能VPN路由器，Cisco RV215W是一款Wireless-N VPN路由器。Cisco RV110W/RV130/RV130W/RV215W的Web管理界面存在命令注入漏洞，攻击者可通过向目标设备发送特制HTTP请求利用该漏洞以root用户身份在底层操作系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-41150

2、Dell EMC PowerScale OneFS权限提升漏洞（CNVD-2021-40323）

Dell EMC PowerScale OneFS是一款由API驱动的文件系统。Dell EMC PowerScale OneFS 8.1.0至9.1.0版本存在权限提升漏洞。该漏洞源于OS命令中使用的特殊元素的错误中性化。具有ISI_PRIV_LOGIN_SSH或ISI_PRIV_LOGIN_CONSOLE权限的攻击者可利用该漏洞提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-40323

3、Microsoft SharePoint Server欺骗漏洞（CNVD-2021-41124）

Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft SharePoint Server存在欺骗漏洞，攻击者可借助特制网站利用该漏洞欺骗内容并诱导用户相信该网站的合法性，同时结合网页服务中的其他漏洞发起攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-41124

4、F5 BIG-IQ命令注入漏洞

F5 BIG-IQ是美国F5公司的一套基于软件的云管理解决方案。该方案支持跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。BIG-IQ Centralized Management 存在命令注入漏洞，该漏洞源于应用在配置实用程序中不正确的输入验证。远程管理员可以将专门设计的数据传递给应用程序，并在目标系统上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-41086

5、Mozilla Firefox信息泄露漏洞（CNVD-2021-41087）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox在89版本及之前版本存在信息泄露漏洞，该漏洞源于。Firefox 缓存用于打印文件的最后一个文件名。在生成用于打印的文件名时，Firefox 通常会建议网页标题。缓存和建议技术的结合可能导致在隐私浏览模式下访问的网站的标题存储在磁盘上。攻击者可利用该漏洞访问可能敏感的信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-41087

境内厂商产品漏洞

1、D-Link DAP-2020命令注入漏洞

D-Link DAP-2020是中国台湾友讯（D-Link）公司的一款WiFi范围扩展器。TCP（Transmission Control Protocol,传输控制协议）是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC 793定义。D-Link DAP-2020 v1.01rc001版本在处理CGI脚本时存在命令注入漏洞。该漏洞源于程序在将用户输入复制到固定长度的堆栈缓冲区之前未对其长度进行正确验证。攻击者可利用该漏洞在root上下文中执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-40324

2、FDCMS SQL注入漏洞

FDCMS是四川方法数码科技有限公司的一套基于PHP的内容管理系统。FDCMS 4.0版本存在SQL注入漏洞。攻击者可利用该漏洞通过Admin/Lib/Action/FloginAction.class.php注入恶意SQL，获取数据库记录。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-41089

3、Advantech iView访问控制错误漏洞（CNVD-2021-40758）

Advantech Iview是中国Advantech公司的一个基于简单网络协议（SNMP）来对 B + B SmartWorx 设备进行管理的软件。Advantech iView 5.7.03.6182版本存在访问控制错误漏洞，该漏洞源于程序缺少身份验证，受影响的产品配置容易受到攻击，攻击者可利用该漏洞更改配置并执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-40758

4、WellCMS文件上传漏洞

WellCMS是一款开源的具备亿级负载、倾向移动端、轻量级、具有超快反应能力的高负载CMS，是大数据量、高并发访问网站最佳选择的轻CMS。具有安全、高效、稳定、速度超快、负载超强的特点。WellCMS 2.0存在安全漏洞，该漏洞源于CMS后台上传文件类型校验的不完整。攻击者可利用该漏洞修改上传文件类型来获得webshell。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-40755

5、emlog远程代码执行漏洞

emlog是一款基于PHP和MySQL的功能强大的博客及CMS建站系统。emlog 5.3.1、6.0.0版本存在远程代码执行漏洞。该漏洞源于在admin/data.php中上传数据库备份文件。攻击者可利用该漏洞实现远程代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39969

来源：CNVD漏洞平台

原标题：《【安全提示】CNVD发布上周关注度较高的产品安全漏洞》

阅读原文