跳到主要內容區塊

資通安全專區

資安通告:07/26~08/01 資安弱點威脅彙整週報

 

資安通告:07/26~08/01 資安弱點威脅彙整週報

 

 

 

2021-08-05

 

 

風險等級:

高度威脅  

 

 

摘  要:

各大廠牌軟硬體高風險弱點摘要

廠牌

軟硬體型號

弱點數量

說明

CVE ID

naviwebs

navigatecms

1

在 NavigateCMS 2.9.4 及以下版本中,`product.php` 中的函數容易通過 post 請求對參數 `products-order` 進行 sql injection,從而導致在後端資料庫中執行任意 sql 查詢。

CVE-2021-37473

naviwebs

navigatecms

1

在 NavigateCMS 2.9.4 及以下版本中,`templates.php` 中的函數容易受到參數 `template-properties-order` 的 sql injection,從而導致在後端資料庫中執行任意 sql 查詢。

CVE-2021-37475

naviwebs

navigatecms

1

在 NavigateCMS 2.9.4 及以下版本中,`product.php` 中的函數容易通過 post 請求對參數 `id` 進行 sql injection,從而導致在後端資料庫中執行任意 sql 查詢。

CVE-2021-37476

naviwebs

navigatecms

1

在 NavigateCMS 2.9.4 及以下版本中,`structure.php` 中的函數容易受到參數 `children_order` 上的 sql injection,從而導致在後端資料庫中執行任意 sql 查詢。

CVE-2021-37477

sourcecodester

e-commerce_website

1

SourceCodester E-Commerce Website v 1.0 中的任意文件上傳弱點允許攻擊者通過將文件上傳到 prodViewUpdate.php 來執行任意程式碼。

CVE-2021-25207

sourcecodester

responsive_ordering_system

1

SourceCodester 響應式訂購系統 v 1.0 中的任意文件上傳弱點允許攻擊者通過將文件上傳到 Product_model.php 來執行任意程式碼。

CVE-2021-25206

sourcecodester

travel_management_system

1

SourceCodester Travel Management System v 1.0 中的任意文件上傳弱點允許攻擊者通過將文件上傳到 updatepackage.php 來執行任意程式碼。

CVE-2021-25208

victor_cms_project

victor_cms

1

Victor CMS v 1.0 中的任意文件上傳弱點允許攻擊者通過將文件上傳到\CMSsite-master\admin\includes\admin_add_post.php 來執行任意程式碼。

CVE-2021-25203

 

 

 

 

 

 

影響系統:

受影響廠牌如下:

  • naviwebs
  • sourcecodester
  • victor_cms_project

 

 

 

 

 

 

解決辦法:

詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb21-214 )

 

 

 

 

 

 

細節描述:

詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-214 )

 

 

 

 

 

 

參考資訊:

US-CERT

 

 

 

 

 

最後異動時間:2021-08-06 上午 08:23:13
TOP