09/06~09/12 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
arubanetworks arubaos 1 Aruba Operating System 存在安全弱點,該弱點源於Mobility Conductor
導致系統命令列介面的可以由經過身份驗證的攻擊者進行遠端命令執行。
CVE-2021-37724

arubanetworks arubaos 1 ArubaOS 存在安全弱點,該弱點源於Mobility Conductor
導致系統命令列介面的可以由經過身份驗證的攻擊者進行遠端命令執行。
CVE-2021-37723

arubanetworks sd-wan 1 Aruba Networks
ArubaOS存在命令注入弱點,該弱點源於應用對某些NTFS中繼資料的不正確驗證造成的,這些中繼資料可能會導致緩衝區溢位,從而可能被攻擊者利用。
CVE-2021-37718

arubanetworks sd-wan 1 Aruba Operating
System存在緩衝區錯誤弱點,該弱點源於系統處理PAPI報文時出現邊界錯誤。遠端攻擊者可利用該弱點可以向8211
UDP端口發送一個特別製作的PAPI包,觸發記憶體損壞並在目標系統上執行任意程式碼。該弱點允許遠端攻擊者可利用該弱點在目標系統上執行任意程式碼。
CVE-2021-37716

arubanetworks sd-wan 1 Aruba Operating System 中存在命令注入弱點,該弱點源於在Aruba SD-WAN
軟體和閘道器中發現遠端任意命令執行弱點;
CVE-2021-37717

arubanetworks sd-wan 1 ArubaOS 存在命令注入弱點,經過身份驗證的攻擊者可以通過系統命令列接口觸發遠端命令執行。 CVE-2021-37722

arubanetworks sd-wan 1 Aruba Networks ArubaOS存在命令注入弱點,在Aruba SD-WAN
軟體和閘道器中發現遠端任意命令執行弱點。
CVE-2021-37721

arubanetworks sd-wan 1 Aruba Operating System
存在命令注入弱點,該弱點源於系統命令列接口中存在經過身份驗證的遠端命令執行弱點。
CVE-2021-37720

arubanetworks sd-wan 1 Aruba Operating System 存在安全弱點,該弱點源於在Aruba SD-WAN
軟體和閘道器中發現遠端任意命令執行弱點;
CVE-2021-37719

espressif esp-idf 1 Espressif ESP-IDF中存在程式碼注入弱點,該弱點源於Espressif ESP-IDF 4.4
及更早版本中的藍牙經典實現在接收到LMP
功能響應擴展封包時沒有正確限制功能頁面,允許無線電範圍內的攻擊者通過精心設計的擴展功能位域有效負載觸發ESP32 中的任意程式碼執行
CVE-2021-28139

moxa wac-2004_firmware 1 Moxa 多款產品存在操作系統命令注入弱點,該弱點源於許多Moxa設備都存在安全弱點。 CVE-2021-39279

simple_water_refilling_station_management_system_project simple_water_refilling_station_management_system 1 Water Refilling Station Management System
存在SQL注入弱點,該弱點源於water_refilling/classes/Login.php 的用戶名參數。
CVE-2021-38840

sketch sketch 1 Sketch 存在安全弱點,該弱點源於錯誤處理外部庫源之前進行素描 CVE-2021-40531

telegram web_k_alpha 1 Telegram Web K Alpha
0.7.2之前版本存在安全弱點,該弱點源於程式錯誤處理了文檔擴展名中的字元。
CVE-2021-40532

影響系統:
    • 受影響廠牌如下:
  • arubanetworks
  • espressif
  • moxa
  • simple_water_refilling_station_management_system_project
  • sketch
  • telegram
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-256 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-256 )
參考資訊: US-CERT