【安全提示】CNVD发布上周关注度较高的产品安全漏洞

以下文章来源于CNVD漏洞平台 ，作者CNVD

CNVD漏洞平台

国家信息安全漏洞共享平台（China National Vulnerability Database）是由国家计算机网络应急技术处理协调中心联合重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。

(20210628-20210704)

一、境外厂商产品漏洞

1、Siemens SIMATIC RFID Readers拒绝服务漏洞

SIMATIC RF185C、RF186C/CI和RF188C/CI是用于将图像识别系统直接连接到PROFINET IO/以太网和OPC UA的通信模块。SIMATIC RF300R是一款紧凑型RFID读卡器。Siemens SIMATIC RFID Readers存在拒绝服务漏洞。攻击者可利用此漏洞造成拒绝服务情况。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-40497

2、IBM WebSphere eXtreme Scale信息泄露漏洞（CNVD-2021-39041）

IBM WebSphere Exteme Scale是美国IBM公司的一个弹性的，高度可扩展的内存数据网格。可提供可预测的响应能力，以满足对数据的指数需求。IBM WebSphere eXtreme Scale Liberty Deployment(XSLD) 存在安全漏洞，远程攻击者可利用该漏洞通过发送专门设计的HTTP请求来获取高度敏感的信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39041

3、OpenText Brava! Desktop远程代码执行漏洞

OpenText Brava!Desktop是一款基于Windows的查看和协作工具，可让您轻松查看几乎任何文件并进行协作。OpenText Brava! Desktop中PDF文件的解析存在远程代码执行漏洞。该漏洞源于访问指针之前未正确初始化该指针。攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-42316

4、Apache Tapestry反序列化漏洞

Apache Tapestry是美国阿帕奇（Apache）基金会的一款使用Java语言编写的Web应用程序框架。Apache Tapestry 4版本存在反序列化漏洞，该漏洞源于在调用页面的验证方法之前尝试反序列化“sp”参数，攻击者可利用该漏洞导致未经身份验证的反序列化。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38782

5、Oracle WebLogic Server存在命令执行漏洞（CNVD-2021-32086）

Oracle WebLogicServer是一个Java应用服务器，它全面实现了J2EE 1.5规范、最新的Web服务标准和最高级的互操作标准。Oracle WebLogic Server存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-32086

二、境内厂商产品漏洞

1、天融信TopGate 200(TG-21104-APP)存在命令执行漏洞

天融信科技集团（简称天融信）是网络安全、大数据与云服务提供商。天融信TopGate 200(TG-21104-APP)存在命令执行漏洞。攻击者可利用该漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-36295

2、V8+终端安全系统存在文件包含漏洞

V8+终端安全系统是新一代企业终端安全软件，该产品可动态检测、实时处理、全网追溯用户网络中的未知威胁，满足国内企业用户日益复杂的含PC、移动、虚拟桌面在内的多类终端安全防护需求。V8+终端安全系统存在文件包含漏洞，攻击者可利用该漏洞获取服务器控制权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-32431

3、西安大西信息科技有限公司OfficeWeb365存在文件上传漏洞

OfficeWeb365专注于Office文档在线预览及PDF文档在线预览云服务，包括Microsoft Word文档在线预览、Excel表格在线预览、Powerpoint演示文档在线预览，WPS文字处理、WPS表格、WPS演示及Adobe PDF文档在线预览。西安大西信息科技有限公司OfficeWeb365存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-32467

4、MiniCMS内容管理系统存在文件包含漏洞

MiniCMS内容管理系统是Php源码频道下深受用户喜爱的软件。Minicms存在文件包含漏洞，攻击者可利用该漏洞获取服务器控制权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-34042

5、天擎终端安全管理系统存在SQL注入漏洞

天擎终端安全管理系统是面向政企单位推出的一体化终端安全产品解决方案。该产品集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体，兼容不同操作系统和计算平台，帮助客户实现平台一体化、功能一体化、数据一体化的终端安全立体防护。天擎终端安全管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-32799

来源：CNVD漏洞平台

原标题：《【安全提示】CNVD发布上周关注度较高的产品安全漏洞》

阅读原文