分類: 資安通告

12/21~12/27 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要
廠牌 軟硬體型號 弱點數量 說明 CVE ID
apache dolphinscheduler 1 在DolphinScheduler 1.2.0和1.2.1中,使用mysql connectorj,當選擇mysql作為資料庫時存在一個遠端執行程式碼漏洞。 CVE-2020-11974
d-link dsl2888a_firmware 1 在 AU_2.31_V1.1.47ae55之前的D-Link DSL-2888A設備上發現了一個問題。它包含execute_cmd.cgi功能(無法通過Web用戶界面訪問),該功能使經過身份驗證的用戶能夠執行操作系統指令。 CVE-2020-24581
hp ilo_amplifier_pack 1 HPE iLO Amplifier Pack伺服器1.70版中已發現潛在的安全漏洞。該漏洞可能被利用以允許遠端執行程式碼。 CVE-2020-7203
hp systems_insight_manager 1 HPE Systems Insight
Manager(SIM)7.6版中已識別出潛在的安全漏洞。該漏洞可能被利用以允許遠端執行程式碼。		 CVE-2020-7200
ibm loopback 1 Loopback 8.0.0包含一個漏洞,該漏洞可能使攻擊者能夠操縱或污染Javascript值並導致拒絕服務或可能執行程式碼。 CVE-2020-4988
kitty_project kitty 1 0.19.3之前的kitty中graphics.c中的 Graphics Protocol功能允許遠端攻擊者執行任意程式碼,因為包含特殊字符的文件名可以包含在錯誤消息中。 CVE-2020-35605
library_management_system_project library_management_system 1 SourceCodester資料庫管理系統1.0受SQL注入的影響,攻擊者可以繞過用戶身份驗證並模擬系統上的任何用戶。 CVE-2020-28073
linux-pam linux-pam 1 在Linux-Pam 1.5.1之前的版本中發現了一個漏洞,該漏洞處理不存在的用戶的空密碼。 CVE-2020-27780
microsoft azure_sphere 1 正常情況下,Microsoft Azure Sphere 20.07的已簽名程式碼執行功能中存在一個程式碼執行漏洞。特製的AF_PACKET套接字可能導致進程創建具有可控內容的可執行內存映射。攻擊者可以執行使用PACKET_MMAP功能的Shellcode來觸發此漏洞。 CVE-2020-35608
online_health_care_system_project online_health_care_system 1 SourceCodester在線醫療保健系統1.0受SQL注入的影響,SQL注入使潛在的攻擊者可以繞過身份驗證系統並成為管理員。 CVE-2020-28074
pengutronix rauc 1 Pengutronix RAUC在1.5之前版本,更新客戶端中的install.c模塊具有“檢查時使用時間”漏洞,該漏洞在重新打開文件進行安裝之前對更新文件進行簽名驗證。攻擊者可以在重新打開更新文件之前對其進行修改,可以在設備上安裝任意程式碼。 CVE-2020-25860
supremocontrol supremo 1 Nanosystems SupRemo 4.1.3.2348允許攻擊者獲得 LocalSystem訪問權限,因為可以使用文件管理器重命名Supremo.exe,然後上傳帶有檔名為 Supremo.exe的特洛伊木馬。 CVE-2020-25106
treck ipv6 1 在6.0.1.68之前的Treck IPv6中發現了一個問題。
IPv6組件中的不正確的輸入驗證允許未經身份驗證的遠端攻擊者造成超出範圍寫入,並可能通過網絡訪問導致拒絕服務。		 CVE-2020-27337
treck tcp\/ip 1 6.0.1.68之前的Treck HTTP Server組件中基於堆的緩衝區溢出允許遠端攻擊者拒絕服務(癱瘓/重置)或可能執行任意程式碼。 CVE-2020-25066
webmin webmin 1 在Webmin中,通過1.962可以執行任意指令。被軟件包更新模塊授權的任何用戶都可以通過涉及%0A和%0C的向
量以root特權執行任意指令。		 CVE-2020-35606
影響系統:
    • 受影響廠牌如下:
  • apache
  • d-link
  • hp
  • ibm
  • kitty_project
  • library_management_system_project
  • linux-pam
  • microsoft
  • online_health_care_system_project
  • pengutronix
  • supremocontrol
  • treck
  • webmin
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb20-363 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb20-363 )
參考資訊: US-CERT