資安通告:10/04~10/10 資安弱點威脅彙整週報
|
資安通告:10/04~10/10 資安弱點威脅彙整週報
|
|
|
|
|
2021-10-15
|
|
|
風險等級:
|
高度威脅
|
|
|
摘 要:
|
各大廠牌軟硬體高風險弱點摘要
|
廠牌
|
軟硬體型號
|
弱點數量
|
說明
|
CVE ID
|
archibus
|
web_central
|
1
|
ARCHIBUS Web Central 21.3.3.815 版本,其中Web應用程序(/archibus/login.axvw) 的 session token (會話令牌)存在驗證弱點。攻擊者只需向主頁發出未經身份驗證的 GET 請求並將任意值添加到 JSESSIONID 字段即可。登錄後,應用程序不會分配新令牌,而是繼續保留插入的令牌作為整個會話的標識符。
|
CVE-2021-41553
|
aviatorscript_project
|
aviatorscript
|
1
|
AviatorScript 5.2.7 (含)之前版本存在弱點。該弱點允許通過使用字節程式碼的函式庫 (BCEL) 編碼的表達式執行程式碼。
|
CVE-2021-41862
|
corel
|
pdf_fusion
|
1
|
Corel PDF Fusion 2.6.2.0 版本的 Coreip.dll 存在越界寫入的安全性弱點。未經身份驗證的攻擊者,可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。
|
CVE-2021-38096
|
corel
|
pdf_fusion
|
1
|
Corel PDF Fusion 2.6.2.0 存在越界寫入的安全性弱點。未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。
|
CVE-2021-38097
|
corel
|
photopaint_2020
|
1
|
Corel PhotoPaint Standard 2020 22.0.0.474 的 CDRRip.dll 存在越界寫入的安全性弱點。未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。
|
CVE-2021-38099
|
corel
|
presentations_2020
|
1
|
Corel Presentations 2020 20.0.0.200 中的 IBJPG2.FLT 存在越界寫入的安全性弱點。未經身份驗證的攻擊者可以利用此弱點在當前用戶的上下文中實現任意程式碼執行。
|
CVE-2021-38103
|
dell
|
isilon_insightiq_firmware
|
1
|
Dell EMC InsightIQ 4.1.4 (含)之前版本的 SSH 組件加密算法存在安全性弱點。未經身份驗證的遠端攻擊者可能藉由該弱點繞過身份驗證並遠端接管 InsightIQ進而完全控制 InsightIQ 以影響 SSH 提供的服務。
|
CVE-2021-36298
|
galera
|
galera_webtemplate
|
1
|
Galera WebTemplate 1.0 版本存在目錄遍歷的安全性弱點。該弱點可能會洩露來自 (/etc/passwd 和 /etc/shadow) 的資訊。
|
CVE-2021-40960
|
getcomposer
|
composer
|
1
|
Composer 是 PHP 語言的開源依賴管理器。在受影響的版本中,運行 Composer 以安裝不受信任的依賴項的 Windows 用戶會受到命令注入的影響,因此應升級其 Composer 版本。其他操作系統和 WSL 不受影響。
|
CVE-2021-41116
|
ptcl
|
hg150-ub_firmware
|
1
|
PTCL HG150-Ub v3.0 的管理員身份驗證面板存在弱點,該弱點允許攻擊者通過修改 cookie 值和響應路徑來繞過身份驗證。
|
CVE-2021-35296
|
qnap
|
qvr
|
1
|
QNAP 設備執行 QVR 的程序存在命令注入弱點。該弱點可能允許遠端攻擊者運行任意命令。
|
CVE-2021-34352
|
|
|
|
|
|
|
|
影響系統:
|
受影響廠牌如下:
- archibus
- aviatorscript_project
- corel
- dell
- galera
- getcomposer
- ptcl
- qnap
|
|
|
|
|
|
|
解決辦法:
|
詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb21-284 )
|
|
|
|
|
|
|
細節描述:
|
詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-284 )
|
|
|
|
|
|
|
參考資訊:
|
US-CERT
|
|
|
|
|
|
|