08/23~08/29 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
adobe bridge 1 Adobe Bridge 版本 11.0.2(及更早版本)由於堆堆的緩衝區溢出弱點的影響。
未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
CVE-2021-28624

adobe bridge 1 Adobe Bridge 11.0.2 版(及更早版本)在解析特製檔案時受到越界寫入弱點的影響。
未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
CVE-2021-35989

adobe bridge 1 Adobe Bridge 11.0.2 版(及更早版本)在解析特製文件時受到越界寫入弱點的影響。
未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
CVE-2021-35990

adobe illustrator 1 Adobe Illustrator 版本 25.2.3(及更早版本)在解析特製文件時受到記憶體損壞弱點的影響。
未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
CVE-2021-36009

adobe illustrator 1 Adobe Illustrator 版本 25.2.3(及更早版本)在與 JavaScript
腳本的開發和調試工具連接時受到潛在命令注入弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。
利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
CVE-2021-36011

adobe media_encoder 1 Adobe Media Encoder 15.2 版(及更早版本)在解析特製文件時受到記憶體損壞弱點的影響。
未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶交相互作用,因為受害者必須打開惡意檔案。
CVE-2021-36015

bludit bludit 1 Bludit v3.8.1
中的無限製檔案上傳允許遠端攻擊者通過組件“bl-kereln/ajax/upload-logo.php”上傳惡意檔案來執行任意程式碼。
CVE-2020-18879

edit_comments_project edit_comments 1 0.3 版的 Edit Comments WordPress 外掛程式在將 jal_edit_comments
GET 參數用於 SQL 語句之前不會對其進行清理、驗證或轉義,從而導致 SQL 注入問題T parameter before using it in a SQL statement, leading to a SQL injection issue
CVE-2021-24551

safecurl_project safecurl 1 0.9.2 之前的  SafeCurl 存在 DNS 重新綁定弱點。 CVE-2020-36474

影響系統:
    • 受影響廠牌如下:
  • adobe
  • bludit
  • edit_comments_project
  • safecurl_project
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-242 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-242 )
參考資訊: US-CERT