05/17~05/23 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
cars-seller-auto-classifieds-script_project cars-seller-auto-classifieds-script 1 通過2.1.0的Car Seller-Auto分類廣告WordPress WordPress外掛程式的request_list_request
AJAX調用(已認證和未認證用戶均可使用)在對SQL語句中使用order_id POST參數進行SQL語句處理之前,不會對其進行檢查,驗證或轉譯,從而導致產生SQL注入問題。
CVE-2021-24285

kaswara_project kaswara 1 通過3.0.1版的Kaswara Modern VC Addons WordPress外掛程式允許通過“
uploadFontIcon” AJAX操作上傳未經身份驗證的任意文件。所提供的zipfile在wp-content / uploads /
kaswara /  fonts_icon目錄中解壓縮,沒有檢查惡意文件(如PHP)。
CVE-2021-24284

laobancms laobancms 1 LAOBANCMS v2.0中的不受限制的文件上傳功能允許遠端攻擊者通過將擴展名為“
.jpg.php”的文件附加到組件“ admin / wenjian.php?wj = .. / templets / pc”來上傳任意文件。
CVE-2020-18166

linux linux_kernel 1 5.2之前的Linux核心中的子系統具有“事後使用”功能,它可以導致核心上下文中的任意程式碼執行和特權提升
(aka CID-c3e2219216c9)。這與blk_mq_free_rqs和blk_cleanup_queue有關。
CVE-2019-25044

yfcmf yfcmf 1 YFCMF v2.3.1在index.php中具有一個遠端指令執行(RCE)漏洞。 CVE-2020-23691

影響系統:
    • 受影響廠牌如下:
  • cars-seller-auto-classifieds-script_project
  • kaswara_project
  • linux
  • yfcmf
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-144 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-144 )
參考資訊: US-CERT