上周关注度较高的产品安全漏洞(20211115-20211121)

一、境外厂商产品漏洞

1、Microsoft Windows Diagnostic Hub权限提升漏洞

Microsoft Windows Diagnostic Hub是美国微软(Microsoft)公司的一款应用程序。它不仅仅是任务管理器，也是设备诊断中心。此应用程序将 Windows 开发人员工具与 UWP 功能相结合，以获取新信息和功能。Microsoft Windows Diagnostic Hub存在权限提升漏洞，攻击者可利用该漏洞提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-87325

2、MicrosoftChakra Scripting Engine内存破坏漏洞

Microsoft Windows Scripting是美国微软(Microsoft)公司的一个Windows操作系统的脚本语言。Microsoft Chakra ScriptingEngine存在内存破坏漏洞，攻击者可利用该漏洞在目标主机上执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-87323

3、AdobeAcrobat/Reader空指针解引用漏洞(CNVD-2021-87306)

AdobeReader(也被称为AcrobatReader)是Adobe公司开发的一款PDF文件阅读软件。AdobeAcrobat是由Adobe公司开发的一款PDF编辑软件。AdobeAcrobat/Reader存在空指针解引用漏洞。攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-87306

4、AdobeAcrobat/Reader空指针解引用漏洞(CNVD-2021-87305)

AdobeReader(也被称为AcrobatReader)是Adobe公司开发的一款PDF文件阅读软件。AdobeAcrobat是由Adobe公司开发的一款PDF编辑软件。AdobeAcrobat/Reader存在空指针解引用漏洞。攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-87305

5、MicrosoftWindows NTFS权限提升漏洞

MicrosoftWindows NTFS是美国微软(Microsoft)公司的一个为计算机文件服务的文件系统。该文件系统具有错误预警功能、磁盘自我修复功能和日志功能。MicrosoftWindows NTFS存在权限提升漏洞，攻击者可利用该漏洞提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-87333

二、境内厂商产品漏洞

1、ASUS P453UJ缓冲区溢出漏洞

ASUSP453UJ是中国台湾华硕(ASUS)公司的一个BIOS固件。ASUSP453UJ 存在缓冲区溢出漏洞，该漏洞源于本地攻击者在普通用户的许可下，可以通过替换或填充指定的 MemoryDataBuffer 的内容来修改 BIOS，从而导致完整性验证失败，进而导致无法启动。目前没有详细的漏洞细节提供。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-88203

2、JEECMS跨站脚本漏洞(CNVD-2021-88950)

Jeecms是中国金磊科技发展(Jeecms)公司的一套使用Java语言开发的内容管理系统(CMS)。JEECMS 中存在跨站脚本漏洞，该漏洞源于产品的/member-vipcenter.htm页面未对用户输入数据做有效验证。攻击者可通过该漏洞执行客户端代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-88950

3、Maccms跨站脚本漏洞(CNVD-2021-88954)

Maccms是一套基于PHP的影视内容管理系统(CMS)。Macmms10 中存在跨站脚本漏洞，该漏洞源于产品中未能正确处理type_en参数的数据。攻击者可通过该漏洞获取管理员cookie并升级特权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-88954

4、baijiacms路径遍历漏洞

baijiacms是一套用于电子商务的内容管理系统(CMS)。baijiacms存在路径遍历漏洞，该漏洞源于database.php 中发现了一个目录遍历漏洞，攻击者可以通过id参数删除任意服务器上的文件夹。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-88727

5、WuZhi CMS存在任意文件删除漏洞

WuzhiWUZHI CMS是五指(Wuzhi)公司的一套基于PHP和MySQL的开源内容管理系统(CMS)。WuZhiCMS存在安全漏洞，该漏洞源于WuZhiCMS后端存在任意文件删除漏洞。攻击者可以利用漏洞删除任意文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-88956

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源：CNVD漏洞平台