標籤: CVE-2021-20020

04/12~04/18 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要
廠牌 軟硬體型號 弱點數量 說明 CVE ID
google android 1 在rw_mfc.cc的rw_mfc_handle_read_op中,由於缺少邊界檢查可能會超出範圍。
這可能導致無需其他執行權限即可透過惡意的NFC封包進行執行遠程指令。		 CVE-2021-0430
microsoft exchange_server 1 Microsoft Exchange Server存在遠程執行指令漏洞。 CVE-2021-28480
microsoft exchange_server 1 Microsoft Exchange Server存在遠程執行代碼漏洞。 CVE-2021-28481
microsoft exchange_server 1 Microsoft Exchange Server存在遠程執行指令漏洞。 CVE-2021-28482
microsoft exchange_server 1 Microsoft Exchange Server存在遠程執行指令漏洞。 CVE-2021-28483
microsoft windows_10 1 Azure AD 繞過網頁安全登入功能漏洞。 CVE-2021-27092
microsoft windows_10 1 Windows Hyper-V存在拒絕服務漏洞。 CVE-2021-26416
online_book_store_project online_book_store 1 Online Book Store 1.0中admin.php中允許遠程攻擊者繞過身份驗證執行任意SQL指令。 CVE-2020-23763
openclinic_ga_project openclinic_ga 1 OpenClinic GA 5.173.3的“
getAssets.jsp”頁面的compnomenclature參數,攻擊者可以利用的SQL注入透過身份驗證的HTTP請求來觸發此漏洞。		 CVE-2020-27236
openclinic_ga_project openclinic_ga 1 OpenClinic GA 5.173.3的“
getAssets.jsp”頁面的description參數,攻擊者可以利用的SQL注入透過身份驗證的HTTP請求來觸發此漏洞。		 CVE-2020-27235
openclinic_ga_project openclinic_ga 1 OpenClinic GA 5.173.3的“
getAssets.jsp”頁面的serviceUID參數,攻擊者可以利用的SQL注入透過身份驗證的HTTP請求來觸發此漏洞。		 CVE-2020-27234
openclinic_ga_project openclinic_ga 1 OpenClinic GA 5.173.3的“
getAssets.jsp”頁面中的SupplierUID參數,攻擊者可以利用的SQL注入透過身份驗證的HTTP請求來觸發此漏洞。		 CVE-2020-27233
rust-lang rust 1 Rust1.53.0之前版本中的standard library存在漏洞,該漏洞於Vec::from函數中就會出現記憶體重複釋放的情況。 CVE-2021-31162
sonicwall email_security 1 SonicWall電子郵件10.0.9.x版中的一個漏洞使攻擊者可以透過向遠端主機發送特製的HTTP請求來創建管理帳戶。 CVE-2021-20021
sonicwall global_management_system 1 在SonicWall的GMS 9.3的命令執行漏洞允許遠程未經認證的攻擊在本地升級至root權根。 CVE-2021-20020
trendmicro apex_one 1 趨勢科技Apex One,趨勢科技Apex One即服務和敏感文件上的防毒牆網絡版XG
SP1中的不當訪問控制漏洞可能允許本地攻擊者升級受影響的安裝的權限。		 CVE-2021-25250
trendmicro apex_one 1 趨勢科技Apex One,趨勢科技Apex One即服務和該服務使用的防毒牆網絡版XG
SP1中的不當訪問控制漏洞可能允許本地攻擊者提升受影響的安裝的權限。		 CVE-2021-25253
trendmicro apex_one 1 趨勢科技Apex One,趨勢科技Apex One即服務和該服務使用的防毒牆網絡版XG
SP1中的不當訪問控制漏洞可能允許本地攻擊者提升受影響的安裝的權限。		 CVE-2021-28645
windriver vxworks 1 在6.5之前的Wind River VxWorks中發現 dhcp客戶端中可能存在緩衝區溢位的漏洞。 CVE-2021-29998
windriver vxworks 1 通過6.8在Wind River VxWorks中發現dhcp客戶端中可能存在緩衝區溢位的漏洞。 CVE-2021-29999
影響系統:
    • 受影響廠牌如下:
  • android
  • exchange_server
  • windows_10
  • online_book_store
  • openclinic_ga
  • rust
  • sonicwall
  • trendmicro
  • windriver
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-109 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-109 )
參考資訊: US-CERT