資安通告:08/09~08/15 資安弱點威脅彙整週報
|
資安通告:08/09~08/15 資安弱點威脅彙整週報
|
|
|
|
|
2021-08-20
|
|
|
風險等級:
|
高度威脅
|
|
|
摘 要:
|
各大廠牌軟硬體高風險弱點摘要
|
廠牌
|
軟硬體型號
|
弱點數量
|
說明
|
CVE ID
|
dell
|
openmanage_enterprise
|
1
|
Dell OpenManage Enterprise存在弱點,遠程未經身份認證的攻擊者利用此弱點發送執行操作。
|
CVE-2021-21564
|
dell
|
openmanage_enterprise
|
1
|
Dell OpenManage Enterprise存在弱點,遠程未經認證高權限用戶利用該弱點執行系統命令。
|
CVE-2021-21585
|
dlink
|
dir-615_firmware
|
1
|
D-Link DIR-615 C2 3.03存在弱點,該弱點網路系統或產品在記憶體上執行操作時,未正驗證,導致其他記憶體位置上執行了錯誤的讀寫操作。攻擊者利用該弱點導致緩衝區溢出或堆溢出等。
|
CVE-2021-37388
|
foxitsoftware
|
foxit_reader
|
1
|
Foxit Reader和PhantomPDF 10.1.4之前版本存在弱點,該弱點應用在PDF文檔轉換為不同的文檔格式發生記憶體損壞。
|
CVE-2021-38568
|
foxitsoftware
|
foxit_reader
|
1
|
Foxit Reader和PhantomPDF 10.1.4之前版本存在SQL注入弱點,攻擊者可利用該弱點執行SQL指令。
|
CVE-2021-38574
|
foxitsoftware
|
foxit_reader
|
1
|
Foxit Reader 10.1.4之前版本和PhantomPDF 10.1.4之前版本存在弱點,該弱點軟件在Office文檔轉換期間處理不當導致越界操作。
|
CVE-2021-33793
|
foxitsoftware
|
foxit_reader
|
1
|
Foxit Reader和PhantomPDF 10.1.4之前版本存在弱點,該弱點應用允許寫入任意文件。
|
CVE-2021-38573
|
foxitsoftware
|
foxit_reader
|
1
|
在Foxit Reader 和 PhantomPDF 10.1.4 版本之前中發現了一個漏洞。允許寫入任意文件,因為未驗證 extractPages 路徑。
|
CVE-2021-38572
|
jetbrains
|
hub
|
1
|
JetBrains Hub 2021.1.13389 之前版本的中,可以在密碼重置期間接管帳戶。
|
CVE-2021-36209
|
jetbrains
|
teamcity
|
1
|
JetBrains TeamCity 2020.2.4 之前版本中,存在不安全的反序列化。
|
CVE-2021-37544
|
linux
|
linux_kernel
|
1
|
Linux 5.13.4 之前版本中,核心的drivers/char/virtio_console.c 中,數據損壞或遺失可能由提供超過緩衝區大小的 buf->len 值的不受信任設備觸發。
|
CVE-2021-38160
|
prolink
|
prc2402m_firmware
|
1
|
ProLink PRC2402M V1.0.18 及更早版本中,adm.cgi 二進製文件中的 set_sys_cmd 函數(可通過 sysCMD 頁面參數值訪問)包含一個簡單的命令注入,其中命令參數的值直接傳遞給系統。
|
CVE-2021-36706
|
prolink
|
prc2402m_firmware
|
1
|
ProLink PRC2402M V1.0.18 及更早版本中,adm.cgi 二進製文件中的 set_TR069 函數(可通過頁面參數值 TR069 訪問)包含一個簡單的命令注入,其中 TR069_local_port 參數的值直接傳遞給系統。
|
CVE-2021-36705
|
prolink
|
prc2402m_firmware
|
1
|
ProLink PRC2402M V1.0.18 及更早版本中,adm.cgi 二進製文件中的 set_ledonoff 函數(可通過頁面參數值 ledonoff 訪問)包含一個簡單的命令注入,其中 led_cmd 參數的值直接傳遞給 do_system。
|
CVE-2021-36707
|
|
|
|
|
|
|
|
影響系統:
|
受影響廠牌如下:
- dell
- dlink
- foxitsoftware
- jetbrains
- linux
- prolink
|
|
|
|
|
|
|
解決辦法:
|
詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb21-228 )
|
|
|
|
|
|
|
細節描述:
|
詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-228 )
|
|
|
|
|
|
|
參考資訊:
|
US-CERT
|
|
|
|
|
|
|