資安通告 | LemonSecurity.com - 頁 9

06/27~07/03 資安弱點威脅彙整週報

風險等級：

高度威脅

摘要：

各大廠牌軟硬體高風險弱點摘要
廠牌	軟硬體型號	弱點數量	說明	CVE ID
codesys	gateway	1	在 V2.3.9.38 之前的版本的 CODESYS Gateway Server V2 中，僅將指定密碼的一部分與真正的 CODESYS Gateway 密碼進行比較。攻擊者可以通過指定一個與較長的真實 CODESYS 閘道密碼的相應部分匹配的小密碼來執行身份驗證。	CVE-2022-31802
ibm	cognos_analytics	1	IBM Cognos Analytics 11.2.1、11.2.0 和 11.1.7 可能允許遠端攻擊者上傳任意檔案導致不正確的內容驗證。 IBM X-Force ID：211238。	CVE-2021-38945
melag	ftp_server	1	當作為 Windows 服務安裝時，MELAG FTP Server 2.2.0.4 以 SYSTEM 用戶身份運行，這使遠端攻擊者可以濫用錯誤配置或弱點，並具有對整個主機系統的管理訪問權限。	CVE-2021-41635
online_student_rate_system_project	online_student_rate_system	1	Online Student Rate System v1.0 中存在一個弱點，該弱點允許任何用戶註冊為管理員而無需進行身份驗證。	CVE-2021-39409
simple_ads_manager_project	simple_ads_manager	1	在 Simple Ads Manager Plugin 中發現了一個被歸類為嚴重的弱點，此弱點影響未知程式碼。該操作導致程式碼注入，攻擊可以遠端發起。	CVE-2017-20095

影響系統：

codesys
ibm
melag
online_student_rate_system_project
simple_ads_manager_project

解決辦法：

詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-185 )

細節描述：

詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-185 )

參考資訊：