03/01~03/07 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
accellion fta 1 Accellion FTA 9_12_432
和更早版本受參數注入的影響並通過精心製作的POST請求到管理員端。固定版本為FTA_9_12_444及更高版本。
CVE-2021-27730

apache tomcat 1 CVE-2020-9484的修復程式不完整。 使用Apache Tomcat 10.0.0-M1至10.0.0、9.0.M1至9.0.41、8.5.0至8.5.61或7.0.0到7.0.107且配置邊緣案例極不可能使用的情況下,Tomcat實例仍然容易受到CVE-2020-9494的攻擊。
請注意,先前發布的CVE-2020-9484的先決條件和先前發布的CVE-2020-9484的緩解措施也都適用於此問題。
CVE-2021-25329

doctor_appointment_system_project doctor_appointment_system 1 doctor appointment system 1.0中 admin.php中的SQL注入弱點允許未經身份驗證的攻擊者通過用戶名參數在登錄頁面上插入惡意SQL查詢。 CVE-2021-27314

eprints eprints 1 EPrints 3.4.2允許遠端攻擊者讀取任意文件,並可能通過對cgi / ajax / phrase
URI進行精心設計的JSON / XML輸入來執行命令。
CVE-2021-26703

eprints eprints 1 EPrints 3.4.2允許遠端攻擊者通過將精心製作的LaTeX輸入到cgi / cal?year =
URI來執行OS命令。
CVE-2021-26476

google android 1 在驅動程式表現中,由於缺少邊界檢查,可能會有超出邊界寫入的問題。
這可能會導致所需的系統執行特權在本地端進行特權升級。 用戶的相互作用不太需要被開發。 產品:Android;
版本:Android-10,Android-11; Patch ID:ALPS05466547。
CVE-2021-0405

google android 1 在jpeg中,由於輸入驗證不正確,可能會超出範圍。 這可能會導致所需的系統執行特權在本地端進行特權升級。
用戶的相互作用不太需要被開發。 產品:Android; 版本:Android-11; 補丁ID:ALPS05433311。
CVE-2021-0402

google android 1 在cameraisp中,由於缺少邊界檢查,可能會有超出邊界寫入的問題。
這可能會導致所需的系統執行特權在本地端進行特權升級。 用戶的相互作用不太需要被開發。 產品:Android;
版本:Android-10,Android-11; Patch ID:ALPS05471418。
CVE-2021-0406

isida retriever 1 LMA ISIDA Retriever 5.2允許SQL注入弱點。 CVE-2021-26904

jpeg jpeg_xl 1 JPEG XL(aka jpeg-xl)到0.3.2版本允許可寫入的記憶體損壞問題。 CVE-2021-27804

saltstack salt 1 在3002.5版本之前的SaltStack Salt中發現了一個問題。
由於對單引號和雙引號的處理不同,將精心製作的Web請求發送到Salt API可能會導致salt.utils.thin.gen_thin()命令注入弱點。 這與salt / utils / thin.py有關。
CVE-2021-3148

saltstack salt 1 在3002.5之前通過SaltStack Salt發現了一個問題。 Jinja
renderer無法抵禦服務器端範本注入攻擊。
CVE-2021-25283

saltstack salt 1 在3002.5之前通過SaltStack Salt發現了一個問題。
salt-api不接受wheel_async客戶端的eauth憑證。 因此,攻擊者可以遠端運行主機上的任何車輪模組。
CVE-2021-25281

saltstack salt 1 在3002.5之前的SaltStack Salt中發現了一個問題。
salt-api的ssh客戶端容易受到shell注入攻擊,方法是在參數中包含ProxyCommand或通過API請求中提供的
ssh_options。
CVE-2021-3197

saltstack salt 1 在3002.5之前的SaltStack Salt中,eauth通行證在過期後可以使用一次。
(它們可能用於對salt master或minions運行命令。)
CVE-2021-3144

sercomm agcombo_vd625_firmware 1 SerComm AG Combo VD625 AGSOT_2.1.0設備允許通過Content-Disposition標頭在下載功能中進行CRLF注入(用於HTTP標頭注入)。 CVE-2021-27132

totaljs total.js 1 3.4.8版本之前的封包total.js易受遠端程式碼執行(RCE)傷害。 CVE-2021-23344

影響系統:
    • 受影響廠牌如下:
  • accellion
  • apache
  • doctor_appointment_system_project
  • eprints
  • android
  • isida
  • jpeg
  • saltstack
  • sercomm
  • totaljs
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-067 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-067 )
參考資訊: US-CERT