08/30~09/05 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
dedecms dedecms 1 DedeCMS V5.7SP2的/uploads/dede元件中的任意文件上傳弱點允許攻擊者以 HTM 格式上傳webshell。 CVE-2020-18114

deltaww diaenergie 1 台達電子 DIAENERGIE 版本 1.7.5 及更早版本可能允許攻擊者在未經認證或授權的情況下添加新的管理使用者,這允許攻擊者登錄並使用具有行政特權的設備。 CVE-2021-32967

deltaww diaenergie 1 台達電子DIAEnergie 1.7.5版及之前的/DataHandler/Handler_CFG.ashx端點存在一個盲目的SQL注入弱點。該應用程序在使用參數關鍵字作為SQL查詢的一部分之前,沒有正確驗證通過參數關鍵字提供的用戶控制的值。一個遠程的、未經認證的攻擊者可以利用這個問題在NT SERVICE\MSSQLSERVER 的上下文中執行任意代碼。 CVE-2021-32983

deltaww diaenergie 1 台達電子DIAEnergie 1.7.5版及之前的版本允許不受限制的文件上傳,這可能允許攻擊者遠程執行代碼。 CVE-2021-32955

govicture pc420_firmware 1 Victure PC420智能攝像機的ONVIF服務器元件存在基於堆棧的緩衝區溢出弱點,攻擊者可以在目標設備上執行遠程代碼。此問題影響:Victure PC420 固件版本 1.2.2 和更早版本。 CVE-2020-15744

object-path_project object-path 1 這影響到0.11.6之前的軟件包object-path。當路徑參數中使用的路徑元件是數組時,一個類型混亂的弱點可
導致CVE-2020-15256的繞過。特別是,如果currentPath是[‘__proto__’],則條件currentPath ===
‘__proto__’返回false。這是因為當操作數的類型不同時,===操作數總是返回false。
CVE-2021-23434

openzeppelin contracts 1 OpenZepplin是一個用於智能合約開發的庫。在受影響的版本中,TimelockController中的一個弱點允許具有執行者角色的行為者提升權限。有關該弱點的進一步細節將在稍後披露。作為一個解決方法,從不受團隊嚴格控制的帳戶中撤銷執行者角色。我們建議撤銷所有不屬於提議者的執行者。當應用這個緩解措施時,確保至少還有一個提議者和執行者。 CVE-2021-39167

openzeppelin contracts 1 OpenZepplin  TimelockController 有權限異常的弱點。建議措嚴格控管使用者使用。 CVE-2021-39168

simiki_project simiki 1 Simiki v1.6.2.1 (含)之前的版本,允許攻擊者透過“simiki/blob/master/simiki/config.py”的第 64 行,遠端執行任意系統命令。 CVE-2020-19001

squashfs-tools_project squashfs-tools 1 Squashfs-Tools  4.5“unsquash-1.c/squashfs_opendir“
將檔名存在目錄中,攻擊者可趁檔案還在的期間,在檔案所在位置之外的任意地方執行寫入。
CVE-2021-40153

wms_project wms 1 WMS v1.0 中的GET參數“id”可直接通過,允許攻擊者進行 SQL injection。 CVE-2020-18106

zohocorp manageengine_adselfservice_plus 1 Zoho ManageEngine ADSelfService Plus
6102(含)之前版本,非英語版本中,可跳過身分認證,直接遠端執行指令。
CVE-2021-33055

zohocorp manageengine_adselfservice_plus 1 Zoho ManageEngine ADSelfService Plus
6103(含)之前版本,易發生權限異常。
CVE-2021-37421

zohocorp manageengine_log360 1 Zoho ManageEngine Log360 5219 之前版本,允許遠端文件上傳及指令執行。 CVE-2021-40175

zohocorp manageengine_log360 1 Zoho ManageEngine Log360 5225 之前版本,允許使用指令方式,遠端執行 BCP文件覆蓋。 CVE-2021-40177

影響系統:
    • 受影響廠牌如下:
  • dedecms
  • deltaww
  • govicture
  • object-path
  • openzeppelin
  • simiki
  • squashfs-tools
  • zohocorp
  • wms
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-249 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-249 )
參考資訊: US-CERT