01/03~01/09 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
beyondtrust appliance_base_software 1 BeyondTrust Secure Remote Access Base Software 6.0.1
可讓攻擊者使用 XSS/CSRF
攻擊使管理員創建一個新的管理員帳戶,包括對/appliance/users的惡意的請求,從而實現對設備的完全管理員訪問的權限。此跨站點腳本
(XSS) 漏洞發生在未正確清理對服務器的未經身份驗證的惡意 Web 請求時。
CVE-2021-31589

sun_moon_jingyao network_computer_terminal_protection_system_firmware 1 Shockwall系統的服務器請求接收器功能存在不正確的身份驗證漏洞。區域網路內的代理電腦經過身份驗證後,攻擊者
可以使用本地註冊表資訊對另一臺代理電腦發起伺服器端請求偽造(SSRF)攻擊,從而導致執行任意程式碼以控制系統或中斷服務。
CVE-2021-45917

transloadit uppy 1 uppy易受伺服器端請求偽造(SSRF)的攻擊 CVE-2022-0086

影響系統:
    • 受影響廠牌如下:
  • beyondtrust
  • sun_moon_jingyao
  • transloadit
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-010 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-010 )
參考資訊: US-CERT