資安通告:08/16~08/22 資安弱點威脅彙整週報
|
資安通告:08/16~08/22 資安弱點威脅彙整週報
|
|
|
|
|
2021-08-26
|
|
|
風險等級:
|
高度威脅
|
|
|
摘 要:
|
各大廠牌軟硬體高風險弱點摘要
|
廠牌
|
軟硬體型號
|
弱點數量
|
說明
|
CVE ID
|
cisco
|
application_extension_platform
|
1
|
Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器的通用隨插即用 (UPnP) 服務中存在一個漏洞,該漏洞可能允許未經身份驗證的遠端攻擊者執行任意程式碼或使受影響的設備意外重啟,從而導致阻斷服務 (DoS) 條件。此漏洞是對傳入 UPnP 流量的驗證不當造成的。攻擊者可以向受影響的設備發送惡意的 UPnP 請求來利用此漏洞。成功的利用可能允許攻擊者以 root 用戶身份在底層操作系統上執行任意程式碼或導致設備重新安裝,從而導致 DoS 條件。Cisco尚未發布解決此漏洞的軟體更新。
|
CVE-2021-34730
|
dated_news_project
|
dated_news
|
1
|
TYPO3的5.1.1版本的dated_news(又稱dated news)擴充,允許SQL Injection。
|
CVE-2021-36789
|
throughtek
|
kalay_p2p_software_development_kit
|
1
|
ThroughTek的Kalay Platform 2.0網絡允許攻擊者在給定有效20位元組的唯一分配識別字(UID)的情?下冒充任意ThroughTek(TUTK)設備。這可能導致攻擊者劫持受害者的連接,並迫使他們提供訪問受害者TUTK設備所需的憑證。
|
CVE-2021-28372
|
|
|
|
|
|
|
|
影響系統:
|
受影響廠牌如下:
- cisco
- dated_news_project
- throughtek
|
|
|
|
|
|
|
解決辦法:
|
詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb21-235 )
|
|
|
|
|
|
|
細節描述:
|
詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-235 )
|
|
|
|
|
|
|
參考資訊:
|
US-CERT
|
|
|
|
|
|
|