09/27~10/03 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
adobe digital_editions 1 Adobe Digital Editions 4.5.11.187646(及更早版本)受到任意指令執行弱點的影響。
經過身份驗證的攻擊者可以利用此弱點執行任意指令。需要用戶交互才能濫用此弱點,用戶必須打開惡意製作的.epub文件。
CVE-2021-39826

adobe photoshop_2020 1 Adobe Photoshop 21.2.11(及更早版本)和 22.5(及更早版本)在解析特製SVG文件時受到緩衝區溢出弱點的影響。未經身份驗證的攻擊者可以利用此弱點,在當前用戶的上下文中實現任意程式碼執
行。利用此問題需要用戶交互,因為受害者必須打開惡意檔案。
CVE-2021-40709

adobe premiere_elements 1 Adobe Premiere Elements 版本
2021.2235820(及更早版本)由於對惡意png文件的不安全處理而受到記憶體損壞弱點的影響,可能導致在當前用戶的上下文中執行任意程式碼。需
要用戶交互才能利用此弱點。
CVE-2021-39824

github enterprise_server 1 GitHub Enterprise Server 中的一個不正確的訪問控制弱點,允許工作作業在它不應該訪問的自託運行器組中執行。
這會影響使用自託運行器組進行訪問控制的客戶。由於請求期間不正確的身份驗證檢查,訪問一個enterprise runner
group的資料庫可以訪問組織內的所有群組。可能會導致程式碼在無意中不正确的運行程式。
CVE-2021-22869

microfocus arcsight_enterprise_security_manager 1 Micro Focus ArcSight Enterprise Security Manager (ESM) 產品中的遠端程式碼執行弱點,影響版本 7.0.2 到 7.5。 可以利用該弱點導致遠端程式碼執行。 CVE-2021-38124

nagios nagios_xi 1 5.8.5 之前的 Nagios XI 對 repairmysql.sh 的權限分配不正確。 CVE-2021-36365

nagios nagios_xi 1 5.8.5 之前的 Nagios XI 對 migrate.php 的權限分配不正確。 CVE-2021-36363

oracle linux 1 Oracle Linux  Oswatcher 存在安全弱點,容易利用的弱點允許低特權的攻擊者登錄到Oracle
Linux執行的基礎設施,從而危害Oracle Linux。成功攻擊此弱點可能會導致Oracle Linux被接管。
CVE-2021-2464

skale sgxwallet 1 SKALE sgxwallet存在安全弱點,該弱點源於網路系統或產品對系統資源(如內存、磁碟空間、文件等)的管理不當。 CVE-2021-36219

trendmicro serverprotect 1 Trend Micro ServerProtect
存在授權問題弱點,該弱點源於身份驗證過程中的錯誤。遠程未經身份驗證的攻擊者可以繞過身份驗證過程並獲得對系統的未經授權的訪問。
CVE-2021-36745

zohocorp manageengine_admanager_plus 1 ZOHO ManageEngine ADManager Plus 存在安全弱點,該弱點源於Zoho
ManageEngine ADManager Plus 7110 及更早版本容易受到無限制文件上傳的影響,從而導致遠程代碼執行。
CVE-2021-37761

zohocorp manageengine_admanager_plus 1 ZOHO ManageEngine ADManager
Plus存在安全弱點,該弱點源於網路系統或產品的代碼開發過程中存在設計或實現不當的問題。
CVE-2021-37539

zyxel zywall_vpn2s_firmware 1 Zyxel VPN2S 存在命令注入弱點,該弱點源於Zyxel VPN2S 韌體版本1.12 的CGI 程序中的命令注入弱點可能允許經過身份驗證的本地用戶執行任意操作系統命令。 CVE-2021-35028

影響系統:
    • 受影響廠牌如下:
  • adobe
  • github
  • microfocus
  • nagios
  • oracle
  • skale
  • trendmicro
  • zohocorp
  • zyxel
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-277 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-277 )
參考資訊: US-CERT