08/16~08/22 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
cisco application_extension_platform 1 Cisco Small Business RV110W、RV130、RV130W 和 RV215W
路由器的通用隨插即用 (UPnP) 服務中存在一個漏洞,該漏洞可能允許未經身份驗證的遠端攻擊者執行任意程式碼或使受影響的設備意外重啟,從而導致阻斷服務 (DoS) 條件。此漏洞是對傳入 UPnP 流量的驗證不當造成的。攻擊者可以向受影響的設備發送惡意的 UPnP 請求來利用此漏洞。成功的利用可能允許攻擊者以 root 用戶身份在底層操作系統上執行任意程式碼或導致設備重新安裝,從而導致 DoS
條件。Cisco尚未發布解決此漏洞的軟體更新。
CVE-2021-34730

dated_news_project dated_news 1 TYPO3的5.1.1版本的dated_news(又稱dated news)擴充,允許SQL Injection。 CVE-2021-36789

throughtek kalay_p2p_software_development_kit 1 ThroughTek的Kalay Platform 2.0網絡允許攻擊者在給定有效20位元組的唯一分配識別字(UID)的情?下冒充任意 ThroughTek(TUTK)設備。這可能導致攻擊者劫持受害者的連接,並迫使他們提供訪問受害者TUTK設備所需的憑證。 CVE-2021-28372

影響系統:
    • 受影響廠牌如下:
  • cisco
  • dated_news_project
  • throughtek
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-235 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-235 )
參考資訊: US-CERT