06/27~07/03 資安弱點威脅彙整週報

風險等級: 高度威脅
摘要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
codesys gateway 1 在 V2.3.9.38 之前的版本的 CODESYS Gateway Server V2
中,僅將指定密碼的一部分與真正的 CODESYS Gateway 密碼進行比較。 攻擊者可以通過指定一個與較長的真實 CODESYS
閘道密碼的相應部分匹配的小密碼來執行身份驗證。
CVE-2022-31802

ibm cognos_analytics 1 IBM Cognos Analytics 11.2.1、11.2.0 和 11.1.7
可能允許遠端攻擊者上傳任意檔案導致不正確的內容驗證。 IBM X-Force ID:211238。
CVE-2021-38945

melag ftp_server 1 當作為 Windows 服務安裝時,MELAG FTP Server 2.2.0.4 以 SYSTEM
用戶身份運行,這使遠端攻擊者可以濫用錯誤配置或弱點,並具有對整個主機系統的管理訪問權限。
CVE-2021-41635

online_student_rate_system_project online_student_rate_system 1 Online Student Rate System v1.0
中存在一個弱點,該弱點允許任何用戶註冊為管理員而無需進行身份驗證。
CVE-2021-39409

simple_ads_manager_project simple_ads_manager 1 在 Simple Ads Manager Plugin 中發現了一個被歸類為嚴重的弱點,此弱點影響未知程式碼。
該操作導致程式碼注入, 攻擊可以遠端發起。
CVE-2017-20095

影響系統:
    • 受影響廠牌如下:
  • codesys
  • ibm
  • melag
  • online_student_rate_system_project
  • simple_ads_manager_project
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-185 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-185 )
參考資訊: US-CERT