07/26~08/01 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
naviwebs navigatecms 1 在 NavigateCMS 2.9.4 及以下版本中,`product.php` 中的函數容易通過 post 請求對參數 `products- order` 進行 sql  injection,從而導致在後端資料庫中執行任意 sql 查詢。 CVE-2021-37473

naviwebs navigatecms 1 在 NavigateCMS 2.9.4 及以下版本中,`templates.php` 中的函數容易受到參數`template-properties-order` 的 sql injection,從而導致在後端資料庫中執行任意 sql 查詢。 CVE-2021-37475

naviwebs navigatecms 1 在 NavigateCMS 2.9.4 及以下版本中,`product.php` 中的函數容易通過 post 請求對參數 `id` 進行 sql injection,從而導致在後端資料庫中執行任意 sql 查詢。 CVE-2021-37476

naviwebs navigatecms 1 在 NavigateCMS 2.9.4 及以下版本中,`structure.php` 中的函數容易受到參數
`children_order` 上的 sql injection,從而導致在後端資料庫中執行任意 sql 查詢。
CVE-2021-37477

sourcecodester e-commerce_website 1 SourceCodester E-Commerce Website v 1.0 中的任意文件上傳弱點允許攻擊者通過將文件上傳到 prodViewUpdate.php 來執行任意程式碼。 CVE-2021-25207

sourcecodester responsive_ordering_system 1 SourceCodester 響應式訂購系統 v 1.0 中的任意文件上傳弱點允許攻擊者通過將文件上傳到
Product_model.php 來執行任意程式碼。
CVE-2021-25206

sourcecodester travel_management_system 1 SourceCodester  Travel Management System v 1.0 中的任意文件上傳弱點允許攻擊者通過將文件上傳到 updatepackage.php 來執行任意程式碼。 CVE-2021-25208

victor_cms_project victor_cms 1 Victor CMS v 1.0
中的任意文件上傳弱點允許攻擊者通過將文件上傳到\CMSsite-master\admin\includes\admin_add_post.php
來執行任意程式碼。
CVE-2021-25203

影響系統:
    • 受影響廠牌如下:
  • naviwebs
  • sourcecodester
  • victor_cms_project
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-214 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-214 )
參考資訊: US-CERT