資安通告:08/23~08/29 資安弱點威脅彙整週報
|
|
資安通告:08/23~08/29 資安弱點威脅彙整週報
|
|
|
|
|
|
2021-09-02
|
|
|
|
風險等級:
|
高度威脅
|
|
|
|
摘 要:
|
|
各大廠牌軟硬體高風險弱點摘要
|
|
廠牌
|
軟硬體型號
|
弱點數量
|
說明
|
CVE ID
|
|
adobe
|
bridge
|
1
|
Adobe Bridge 版本 11.0.2(及更早版本)由於堆堆的緩衝區溢出弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
|
CVE-2021-28624
|
|
adobe
|
bridge
|
1
|
Adobe Bridge 11.0.2 版(及更早版本)在解析特製檔案時受到越界寫入弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
|
CVE-2021-35989
|
|
adobe
|
bridge
|
1
|
Adobe Bridge 11.0.2 版(及更早版本)在解析特製文件時受到越界寫入弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
|
CVE-2021-35990
|
|
adobe
|
illustrator
|
1
|
Adobe Illustrator 版本 25.2.3(及更早版本)在解析特製文件時受到記憶體損壞弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
|
CVE-2021-36009
|
|
adobe
|
illustrator
|
1
|
Adobe Illustrator 版本 25.2.3(及更早版本)在與 JavaScript 腳本的開發和調試工具連接時受到潛在命令注入弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶相互作用,因為受害者必須打開惡意檔案。
|
CVE-2021-36011
|
|
adobe
|
media_encoder
|
1
|
Adobe Media Encoder 15.2 版(及更早版本)在解析特製文件時受到記憶體損壞弱點的影響。 未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。 利用此問題需要用戶交相互作用,因為受害者必須打開惡意檔案。
|
CVE-2021-36015
|
|
bludit
|
bludit
|
1
|
Bludit v3.8.1 中的無限製檔案上傳允許遠端攻擊者通過組件“bl-kereln/ajax/upload-logo.php”上傳惡意檔案來執行任意程式碼。
|
CVE-2020-18879
|
|
edit_comments_project
|
edit_comments
|
1
|
0.3 版的 Edit Comments WordPress 外掛程式在將 jal_edit_comments GET 參數用於 SQL 語句之前不會對其進行清理、驗證或轉義,從而導致 SQL 注入問題T parameter before using it in a SQL statement, leading to a SQL injection issue
|
CVE-2021-24551
|
|
safecurl_project
|
safecurl
|
1
|
0.9.2 之前的 SafeCurl 存在 DNS 重新綁定弱點。
|
CVE-2020-36474
|
|
|
|
|
|
|
|
|
|
影響系統:
|
受影響廠牌如下:
- adobe
- bludit
- edit_comments_project
- safecurl_project
|
|
|
|
|
|
|
|
|
解決辦法:
|
詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb21-242 )
|
|
|
|
|
|
|
|
|
細節描述:
|
詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-242 )
|
|
|
|
|
|
|
|
|
參考資訊:
|
US-CERT
|
|
|
|
|
|
|
|
ylpcl@mail.baojhong.gov.tw