資安通告:01/03~01/09 資安弱點威脅彙整週報
|
資安通告:01/03~01/09 資安弱點威脅彙整週報
|
|
|
|
|
2022-01-13
|
|
|
風險等級:
|
高度威脅
|
|
|
摘 要:
|
各大廠牌軟硬體高風險弱點摘要
|
廠牌
|
軟硬體型號
|
弱點數量
|
說明
|
CVE ID
|
beyondtrust
|
appliance_base_software
|
1
|
BeyondTrust Secure Remote Access Base Software 6.0.1 可讓攻擊者使用 XSS/CSRF 攻擊使管理員創建一個新的管理員帳戶,包括對/appliance/users的惡意的請求,從而實現對設備的完全管理員訪問的權限。此跨站點腳本 (XSS) 漏洞發生在未正確清理對服務器的未經身份驗證的惡意 Web 請求時。
|
CVE-2021-31589
|
sun_moon_jingyao
|
network_computer_terminal_protection_system_firmware
|
1
|
Shockwall系統的服務器請求接收器功能存在不正確的身份驗證漏洞。區域網路內的代理電腦經過身份驗證後,攻擊者可以使用本地註冊表資訊對另一臺代理電腦發起伺服器端請求偽造(SSRF)攻擊,從而導致執行任意程式碼以控制系統或中斷服務。
|
CVE-2021-45917
|
transloadit
|
uppy
|
1
|
uppy易受伺服器端請求偽造(SSRF)的攻擊
|
CVE-2022-0086
|
|
|
|
|
|
|
|
影響系統:
|
受影響廠牌如下:
- beyondtrust
- sun_moon_jingyao
- transloadit
|
|
|
|
|
|
|
解決辦法:
|
詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb22-010 )
|
|
|
|
|
|
|
細節描述:
|
詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-010 )
|
|
|
|
|
|
|
參考資訊:
|
US-CERT
|
|
|
|
|
|
|