01/30~02/05 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
qnap qts 1 QNAP 產品 QTS 作業系統 QuTS 存在一個遠端程式碼執行弱點。以下版本已修復該弱點: QuTS
hero h5.0.1.2248 build 20221215 (含)之後版本、QTS  5.0.1.2234 build 20221201(含)之後版本。
CVE-2022-27596

changingtec megaservisignadapter 1 ChangingTech 產品 MegaServiSignAdapter
組件存在驗證弱點。該弱點為未經身份驗證的遠端攻擊者可藉由存取和修改註冊表中的 HKEY_CURRENT_USER
子項,進而執行惡意腳本來控制系統或使服務阻斷。
CVE-2022-39060

sscms siteserver_cms 1 SiteServer CMS 7.1.3 版本 存在 SQL 注入攻擊弱點。 CVE-2022-44298

limesurvey limesurvey 1 LimeSurvey v5.4.15 版本插件管理器中存在驗證弱點。該弱點為任意文件上傳可能允許攻擊者通過偽造PHP 檔案執行任意程式碼。 CVE-2022-48008

opencats opencats 1 Opencats v0.9.7 版本的 Import viewerrors 函數中的 importID
參數存在 SQL 注入弱點。
CVE-2022-48011

phicomm k2_firmware 1 Phicomm K2  v22.6.534.263 版本的 autoUpTime 參數存在命令注入弱點。 CVE-2022-48070

phicomm k2_firmware 1 Phicomm K2G  v22.6.3.20 版本的 autoUpTime參數存在命令注入弱點。 CVE-2022-48072

changingtec megaservisignadapter 1 ChangingTech 產品 MegaServiSignAdapter
組件在其文件讀取功能中存在路徑遍歷弱點。 未經身份驗證的遠端攻擊者可藉由此弱點存取任意系統文件。
CVE-2022-39059

phicomm k2_firmware 1 Phicomm K2  v22.6.534.263 版本存儲 root 和 admin密碼存在以明文形式的安全性弱點。 CVE-2022-48071

phicomm k2_firmware 1 Phicomm K2  v22.6.534.263 版本存儲 root 和 admin密碼存在以明文形式的安全性弱點。 CVE-2022-48073

froxlor froxlor 1 GitHub 資料庫 froxlor/froxlor 2.0.10 (含)之前版本存在弱密碼要求的安全性弱點。 CVE-2023-0564

ayacms_project ayacms 1 AyaCMS v3.1.2 的組件 /admin /tpl_edit.inc.php 存在遠端程式碼執行(RCE) 弱點。 CVE-2022-48116

影響系統:
    • 受影響廠牌如下:
  • qnap
  • changingtec
  • sscms
  • limesurvey
  • opencats
  • phicomm
  • changingtec
  • froxlor
  • ayacms
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb23-037 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb23-037 )
參考資訊: US-CERT