|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| backblaze |
backblaze |
1 |
適用於Windows 7.0.1.433之前的Backblaze和適用於7.0.1.434之前的macOS的Backblaze由於在URL中被寫死的字符串白名單禁用了
`bztransmit`幫助器中的證書驗證不當,從而導致無法通過客戶端更新功能執行遠端程式碼。 |
CVE-2020-8289
|
| gdatasoftware |
g_data |
1 |
在25.5.9.25之前的G-Data中使用符號連結發現了一個問題,有可能濫用受感染文件的還原機制,導致特權提升的任意寫入。 |
CVE-2020-27172
|
| getobject_project |
getobject |
1 |
‘getobject’0.1.0版中的原型污染弱點使攻擊者可以阻斷服務,並可能導致遠端執行程式碼。 |
CVE-2020-28282
|
| huorong |
internet_security |
1 |
Beijing Huorong Internet Security 5.0.55.2允許非管理員用戶通過將程式碼寫入到程序中,然後等待Huorong服務重新啟動或系統重新啟動來提升特權。 |
CVE-2020-35364
|
| joomla |
joomla\! |
1 |
在Joomla中發現了一個問題3.0.0至3.9.22,篩選器黑名單配置不當會導致後端用戶列表中出現SQL Injection弱點。 |
CVE-2020-35613
|
| klogserver |
klog_server |
1 |
KLog Server 2.4.1允許通過actions/authenticate.php用戶參數中的shell字串來寫入OS指令。 |
CVE-2020-35729
|
| linksys |
re6500_firmware |
1 |
1.0.012.001之前的Belkin LINKSYS RE6500設備允許遠端攻擊者執行任意指令或通過shell字串在 goform/setSysAdm頁面上設置新密碼。 |
CVE-2020-35713
|
| linksys |
re6500_firmware |
1 |
1.0.012.001之前的Belkin LINKSYS RE6500設備允許遠端攻擊者通過long/goform/langSwitch langSelectionOnly參數導致持續的阻斷服務。 |
CVE-2020-35716
|
| linksys |
re6500_firmware |
1 |
1.0.012.001之前的Belkin LINKSYS RE6500設備允許經過身份驗證的遠端用戶通過Shell字串以文件名的形式執行任意指令,該文件名位於upload_settings.cgi頁面。 |
CVE-2020-35715
|
| netgear |
ac2100_firmware |
1 |
某些NETGEAR設備受安全設置錯誤配置的影響。 |
CVE-2020-35800
|
| netgear |
ac2100_firmware |
1 |
某些NETGEAR設備受到未經身份驗證的攻擊者的緩衝區溢位的影響。 |
CVE-2020-35795
|
| netgear |
cbr40_firmware |
1 |
某些NETGEAR設備受到未經身份驗證的攻擊者的緩衝區溢位的影響。 |
CVE-2020-35796
|
| netgear |
d3600_firmware |
1 |
某些NETGEAR設備會受到未經身份驗證的攻擊者基於堆疊的緩衝區溢位的影響。 |
CVE-2020-35799
|
| netgear |
dgn2200v1_firmware |
1 |
v1.0.0.58之前的NETGEAR DGN2200v1設備受指令注入的影響。 |
CVE-2020-35777
|
| netgear |
nms300_firmware |
1 |
1.6.0.27之前的NETGEAR NMS300設備受未經身份驗證的攻擊者的指令注入的影響。 |
CVE-2020-35797
|
| netgear |
nms300_firmware |
1 |
1.6.0.27之前的NETGEAR NMS300設備會受到阻斷服務的影響。 |
CVE-2020-35779
|
| solarwinds |
orion_platform |
1 |
SolarWinds Orion API容易受到身份驗證繞過的攻擊,該弱點可能允許遠端攻擊者執行API指令。
此弱點可能使遠端攻擊者可以繞過身份驗證並執行API指令,這可能會導致SolarWinds實例的危害。 |
CVE-2020-10148
|
| tp-link |
wa901nd_firmware |
1 |
某些TP-Link設備上Web界面中的密碼洩露問題使遠端攻擊者可以獲得對Web面板的完全管理訪問權限。 |
CVE-2020-35575
|
| webmin |
webmin |
1 |
Windows上的Webmin
1.962中的miniserv.pl對CGI程序的查詢參數中的特殊字串進行了錯誤處理。 |
CVE-2020-35769
|
| woocommerce |
gift_cards |
1 |
Ultimate WooCommerce Gift Cards 3.0.2受到“自定義GiftCard模板”中文文件上傳弱點的影響,該弱點可以遠端執行任意程式碼。
一旦包含“自定義GiftCard模板”功能,就可以使用上傳自定義圖像,將圖像擴展名更改為PHP並在服務器上執行PHP程式碼的功能。 |
CVE-2020-35627
|