05/23~05/29 資安弱點威脅彙整週報

風險等級: 高度威脅
摘要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
chatbot_application_with_a_suggestion_feature_project chatbot_application_with_a_suggestion_feature 1 ChatBot Application with a Suggestion Feature 1.0 版本存在安全弱點,該弱點源於/simple_chat_bot/admin/responses/view_response.php 中的id 參數包含SQL注入問題。 CVE-2022-30518

chshcms cscms_music_portal_system 1 CSCMS Music Portal System v4.2版本存在SQL注入弱點,該弱點源於包含通過/admin.php/pic/admin/pic/del 處的id 參數的SQL 注入問題。 CVE-2022-29660

covid-19_directory_on_vaccination_system_project covid-19_directory_on_vaccination_system 1 Covid-19 Directory on Vaccination System 1.0版本存在安全弱點,該弱點源於通過admin/login.php txtusername(又名Username)字段的SQL注入攻擊。 CVE-2022-28531

covid_19_travel_pass_management_system_project covid_19_travel_pass_management_system 1 Covid-19 Travel Pass Management System v1.0版本存在安全弱點,該弱點源於/ctpms/classes/Master.php?f=update_application_status
存在SQL 注入問題。
CVE-2022-30838

nirweb nirweb_support 1 WordPress plugin Nirweb support 2.8.2 之前版本存在SQL注入弱點,該弱點源於未對參數進行清理和轉義,攻擊者利用該弱點可導致SQL 注入攻擊。 CVE-2022-0781

privateinternetaccess private_internet_access 1 Private Internet Access v3.3版本存在安全弱點,該弱點源於包含一個不帶引號的服務路徑,允許攻擊者將權限提升到系統級別。 CVE-2022-27092

rengine_project rengine 1 Rengine 1.0.2版本存在安全弱點,該弱點源於通過yaml配置功能發現存在遠端程式碼執行(RCE) 弱點。 CVE-2022-28995

rengine_project rengine 1 rengine 1.2.0之前版本存在操作系統命令注入弱點,攻擊者可利用該弱點執行非法操作系統命令。 CVE-2022-1813

siemens 7kg8500-0aa00-0aa0_firmware 1 Siemens SICAM P850和SICAM P855存在安全弱點,該弱點源於受影響的設備無法正確驗證某些GET和POST請求的參數。未經身份驗證的攻擊者可利用該弱點導致阻斷服務或控製程式計數器並在設備上執行任意程式碼。 CVE-2022-29873

sony playmemories_home 1 Sony PlayMemories Home v6.0版本存在安全弱點,該弱點源於包含一個未引用的服務路徑,允許攻擊者將權限提升到系統級別。 CVE-2022-27094

vmware identity_manager 1 VMware多款產品存在授權問題弱點,該弱點源於處理身份驗證請求時UI 中的錯誤。遠端攻擊者利用該弱點可以繞過身份驗證過程並獲得對應用程式的管理連接權限。 CVE-2022-22972

vmware identity_manager 1 VMware多款產品存在權限許可和訪問控制問題弱點,該弱點源於應用程式未正確施加安全限制。攻擊者利用該弱點可提升系統的權限。 CVE-2022-22973

影響系統:
    • 受影響廠牌如下:
  • chatbot_application_with_a_suggestion_feature_project
  • chshcms
  • covid-19_directory_on_vaccination_system_project
  • covid_19_travel_pass_management_system_project
  • nirweb
  • privateinternetaccess
  • siemens
  • sony
  • vmware
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-150 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-150 )
參考資訊: US-CERT

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *