|
各大廠牌軟硬體高風險弱點摘要
|
|
廠牌
|
軟硬體型號
|
弱點數量
|
說明
|
CVE ID
|
|
adobe
|
after_effects
|
1
|
Adobe After Effects 存在安全弱點,該弱點允許攻擊者進行任意代碼執行。
|
CVE-2021-40759
|
|
adobe
|
after_effects
|
1
|
Adobe After Effects 存在安全弱點,該弱點允許攻擊者進行任意代碼執行。
|
CVE-2021-40752
|
|
adobe
|
after_effects
|
1
|
Adobe After Effects 存在安全弱點,該弱點允許攻擊者進行任意代碼執行。
|
CVE-2021-40760
|
|
adobe
|
after_effects
|
1
|
Adobe After Effects 存在安全弱點,該弱點允許攻擊者進行任意代碼執行。
|
CVE-2021-40758
|
|
adobe
|
after_effects
|
1
|
Adobe After Effects 存在安全弱點,該弱點允許攻擊者進行任意代碼執行。
|
CVE-2021-40757
|
|
adobe
|
after_effects
|
1
|
Adobe After Effects 存在緩衝區錯誤弱點,該弱點允許攻擊者進行任意代碼執行。
|
CVE-2021-40755
|
|
adobe
|
after_effects
|
1
|
Adobe After Effects 存在安全弱點,該弱點允許攻擊者進行任意代碼執行。
|
CVE-2021-40753
|
|
adobe
|
after_effects
|
1
|
Adobe After Effects 存在安全弱點,該弱點允許攻擊者進行任意代碼執行。
|
CVE-2021-40754
|
|
adobe
|
after_effects
|
1
|
Adobe After Effects 存在安全弱點,該弱點允許攻擊者進行任意代碼執行。
|
CVE-2021-40751
|
|
adobe
|
animate
|
1
|
Adobe Animate存在安全弱點,該弱點的存在是由於在處理不受信任的輸入時出現錯誤。遠程攻擊者可利用該弱點可以觸發記憶體損壞並在目標系統上執行任意代碼。該弱點允許遠程攻擊者可利用該弱點在系統上執行任意代碼。
|
CVE-2021-40733
|
|
adobe
|
animate
|
1
|
Adobe Animate 21.0.9 版(及更早版本)受到越界寫入弱點的影響,該弱點可能導致在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42271
|
|
adobe
|
animate
|
1
|
Adobe Animate 21.0.9 版(及更早版本)受到越界寫入弱點的影響,該弱點可能導致在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42524
|
|
adobe
|
animate
|
1
|
Adobe Animate 21.0.9 版(及更早版本)受到越界寫入弱點的影響,該弱點可能導致在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42272
|
|
adobe
|
animate
|
1
|
Adobe Animate 21.0.9 版(及更早版本)由於對惡意 FLA 文件的處理不安全而受到內部記憶體損壞弱點的影響,可能導致在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42266
|
|
adobe
|
animate
|
1
|
Adobe Animate 21.0.9 版(及更早版本)由於對惡意 FLA 文件的處理不安全而受到內部記憶體損壞弱點的影響,可能導致在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42267
|
|
adobe
|
animate
|
1
|
Adobe Animate 21.0.9 版(及更早版本)在處理格式錯誤的 FLA 文件時受到釋放後弱點的影響,該弱點可能導致在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42269
|
|
adobe
|
animate
|
1
|
Adobe Animate 21.0.9 版(及更早版本)受到越界寫入弱點的影響,該弱點可能導致在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42270
|
|
adobe
|
indesign
|
1
|
Adobe InDesign 16.4 版(及更早版本)在解析特製文件時受到緩衝區溢位弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42731
|
|
adobe
|
media_encoder
|
1
|
Adobe Media Encoder 15.4 版(及更早版本)受到內部記憶體損壞弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42721
|
|
adobe
|
media_encoder
|
1
|
Adobe Media Encoder 15.4 版(及更早版本)受到內部記憶體損壞弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中執行任意程式碼。
|
CVE-2021-42726
|
|
adobe
|
media_encoder
|
1
|
Adobe Media Encoder 版本 15.4.1(及更早版本)存在安全弱點,該弱點源於在處理不受信任的輸入時出現邊界錯誤。攻擊者可利用該弱點觸發記憶體損壞並在目標系統上執行任意程式碼。
|
CVE-2021-43013
|
|
adobe
|
prelude
|
1
|
Adobe Prelude 10.1 版(及更早版本)存在安全弱點,遠端攻擊者可利用該弱點觸發記憶體損壞並在目標系統上執行任意程式碼。
|
CVE-2021-43011
|
|
adobe
|
prelude
|
1
|
Adobe Prelude 10.1 版(及更早版本) 存在安全弱點,遠端攻擊者可利用該弱點觸發記憶體損壞並在目標系統上執行任意程式碼。
|
CVE-2021-43012
|
|
adobe
|
premiere_pro
|
1
|
Adobe Premiere Pro 15.4 及更早版本存在安全弱點,該弱點源於軟體會受到記憶體破壞弱點的影響。未經身份驗證的攻擊者可利用該弱點在當前用戶的上下文中實現任意程式碼執行。利用此問題需要用戶互動,因為受害者必須打開惡意的M4A文件。
|
CVE-2021-42723
|
|
amd
|
epyc_7003_firmware
|
1
|
Lenovo Bios存在輸入驗證錯誤弱點,該弱點源於平台安全處理器 (PSP) 引導下載程式映像檔中的不正確輸入和範圍檢查可能允許攻擊者在簽名驗證之前使用攻擊控制的值,從而可能導致任意程式碼執行。
|
CVE-2021-26335
|
|
amd
|
epyc_7003_firmware
|
1
|
AMD 系統管理單元 (SMU) 包含一個潛在問題,即惡意用戶可能能夠操縱郵件條目,從而導致任意程式碼執行。
|
CVE-2021-26331
|
|
amd
|
epyc_7232p_firmware
|
1
|
Lenovo Bios存在安全弱點,在可能的情況下,Lenovo 將多個 BIOS 安全修復程式和增強功能整合到更新中。
|
CVE-2021-26326
|
|
amd
|
epyc_7f72_firmware
|
1
|
AMD 系統管理單元 (SMU)中不正確的遠端操作可能允許攻擊者覆蓋位於 DRAM 中的記憶體控制器,從而導致潛在的系統資源匱乏。
|
CVE-2021-26338
|
|
amd
|
radeon_software
|
1
|
AMD Graphics Driver 存在安全弱點,該弱點源於某些帶有 Radeon RX 的Intel Core處理器中的潛在安全弱點Vega M GL 內顯可能允許權限升級、阻斷服務或暴露資訊。Intel和 AMD 正在發布驅動程式更新以減輕這些潛在的弱點。
|
CVE-2020-12963
|
|
apache
|
ozone
|
1
|
Apache Ozone 1.2.0 版本存在安全弱點,攻擊者可以檢閱資料庫中的驗證資料並進行使用。
|
CVE-2021-36372
|
|
apache
|
shenyu
|
1
|
在 Apache ShenYu Admin 中發現了一個缺陷。ShenyuAdminBootstrap 中 JWT 的錯誤使用允許攻擊者通過身份驗證。此問題影響了 Apache ShenYu 2.3.0 和 2.4.0
|
CVE-2021-37580
|
|
dell
|
alienware_13_r3_firmware
|
1
|
Dell BIOS包含不正確的輸入驗證漏洞。 Local端經過身份驗證的惡意使用者可能使用SMI在SMRAM中執行任意程式碼來利用此漏洞。
|
CVE-2021-36325
|
|
dell
|
emc_powerscale_nodes_a100_firmware
|
1
|
Dell EMC PowerScale Nodes 包含硬體設計缺陷。這可能允許未經身份驗證的本地使用者提升權限。這也會影響合規遵從性,對於合規遵從性群集來說,這是一個嚴重的漏洞。 Dell EMC建議您儘早應用解決方案。
|
CVE-2021-36315
|
|
google
|
android
|
1
|
在apusys中,由於缺少邊界檢查,可能存在記憶體損壞。 這可能導致本地權限升級,並需要系統執行權限。 利用此漏洞不需要使用者互動。 更新檔ID:ALPS05664273; 問題ID:ALPS05664273。
|
CVE-2021-0671
|
|
google
|
android
|
1
|
在apusys中,由於使用後釋放可能會導致記憶體損壞。這可能導致本地權限升級,並需要系統執行權限。 利用此漏洞不需要使用者互動。 更新檔ID:ALPS05654663; 問題ID:ALPS05654663。
|
CVE-2021-0670
|
|
google
|
android
|
1
|
在apusys中,由於使用後釋放可能會導致記憶體損壞。這可能導致本地權限升級,並需要系統執行權限。 利用此漏洞不需要使用者互動。更新檔ID:ALPS05681550; 問題ID:ALPS05681550。
|
CVE-2021-0669
|
|
google
|
android
|
1
|
在apusys中,錯誤處理可能導致記憶體損壞。這可能導致本地權限升級,並需要系統執行權限。 利用此漏洞不需要使用者互動。更新檔ID:ALPS05670521; 問題ID:ALPS05670521。
|
CVE-2021-0668
|
|
google
|
android
|
1
|
在mdlactl驅動程序中,由於釋放後的使用,可能存在記憶體損壞。這可能導致本地權限升級,並需要系統執行權限。 利用此漏洞不需要使用者互動。更新檔ID:ALPS05776625; 問題ID:ALPS05776625。
|
CVE-2021-0629
|
|
ibm
|
system_x3550_m3_firmware
|
1
|
舊版IBM System x 3550 M3和IBM System x 3650 M3服務器的集成管理模組(IMM)中報告了一個指令注入漏洞,該漏洞允許通過經過身份驗證的SSH或Telnet session執行作業系統指令。
|
CVE-2021-3723
|
|
intel
|
nuc_hdmi_firmware_update_tool
|
1
|
Intel 產品 NUC HDMI 的韌體更新工具 1.78.2.0.7 (含)之前版本的安裝程序存在弱點。由於不正確的預設權限驗證,可能允許具身份驗證的用戶藉由本地存取啟用升級特權權限。
|
CVE-2021-33090
|
|
intel
|
nuc_m15_laptop_kit_audio_driver_pack
|
1
|
Intel 產品 NUC M15 平板音效驅動程序包套件 1.3 (含)之前版本的安裝程序存在弱點。由於不正確的繼承權限,可能允許具身份驗證的用戶藉由本地存取啟用升級特權權限。
|
CVE-2021-33091
|
|
intel
|
nuc_m15_laptop_kit_hid_event_filter_driver_pack
|
1
|
Intel 產品 NUC M15 平板 HID 事件過濾器驅動套件 2.2.1.383 (含)之前版本的安裝程序存在弱點。由於不正確的繼承權限,可能允許具身份驗證的用戶藉由本地存取啟用升級特權權限。
|
CVE-2021-33092
|
|
intel
|
nuc_m15_laptop_kit_integrated_sensor_hub_driver_pack
|
1
|
Intel 產品 NUC M15 平板 集成傳感器集線器驅動套件 5.4.1.4449 (含)之前版本的安裝程序存在弱點。由於不正確的預設權限驗證,可能允許具身份驗證的用戶藉由本地存取啟用升級特權權限。
|
CVE-2021-33088
|
|
intel
|
nuc_m15_laptop_kit_keyboard_led_service_driver_pack
|
1
|
Intel 產品 NUC M15 平板鍵盤 LED 服務驅動套件 1.0.0.4 (含)之前版本的安裝程序存在弱點。其中設定輸入包含未加引號的搜索路徑,可能允許具身份驗證的用戶藉由本地存取啟用升級特權權限。
|
CVE-2021-33095
|
|
intel
|
nuc_m15_laptop_kit_keyboard_led_service_driver_pack
|
1
|
Intel 產品 NUC M15 平板鍵盤 LED 服務驅動套件 1.0.0.4 (含)之前版本的安裝程序存在弱點。由於不正確的繼承權限,可能允許具身份驗證的用戶藉由本地存取啟用升級特權權限。
|
CVE-2021-33094
|
|
intel
|
nuc_m15_laptop_kit_serial_io_driver_pack
|
1
|
Intel 產品 NUC M15 平板串行 IO 驅動套件 30.100.2104.1 (含)之前版本的安裝程序存在弱點。由於不正確的繼承權限,可能允許具身份驗證的用戶藉由本地存取啟用升級特權權限。
|
CVE-2021-33093
|
|
lenovo
|
thinkcentre_e93_firmware
|
1
|
Lenovo 產品的 ThinkCentre、ThinkStation 部分韌體模組中 SMI 回調函數的引導腳本(從睡眠狀態恢復儲存、讀取)存在潛在安全性弱點。可能允許具身份驗證的用戶藉由本地存取啟用升級特權權限。
|
CVE-2021-3719
|
|
samsung
|
ddr4_sdram_firmware
|
1
|
Samsung 產品 (PC-DDR4, LPDDR4X) 記憶體晶片,存在針對已配置 TRR 緩解方案的新式 Rowhammer 攻擊弱點。新式的非均勻 Rowhammer 存取模式由具有不同頻率、相位和幅度的攻擊令列組成,該弱點可能允許使用 Blacksmith 測試器 (fuzzer) 在受影響的記憶體模組上觸發位翻轉,進而取得權限提升。
|
CVE-2021-42114
|
|
tp-link
|
tl-wr840n_firmware
|
1
|
TP-link 產品路由器 TL-WR840N(EU) (韌體版本 V5_171211) 存在 RCE 弱點。該弱點為其中 PING 功能的 IP 位址字段輸入指令的未正確驗證有效負荷 (payload),進而使設備易受遠端執行程式碼攻擊。
|
CVE-2021-41653
|
ylpcl@mail.baojhong.gov.tw