跳到主要內容區塊

資通安全專區

資安通告:03/14~03/20 資安弱點威脅彙整週報
資安通告:03/14~03/20 資安弱點威脅彙整週報  
   
2022-03-25
 
  風險等級: 高度威脅    
  摘  要:
各大廠牌軟硬體高風險弱點摘要
廠牌 軟硬體型號 弱點數量 說明 CVE ID
adobe illustrator 1 Adobe Illustrator 26.0.3 版(及更早版本)由於對精心製作的文件的不安全處理而受到緩衝區溢位弱點的影響,可能導致在當前用戶的上下文中執行任意程式碼。 利用需要用戶交互,因為受害者必須在 Illustrator 中打開精心製作的文件。 CVE-2022-23187
apache http_server 1 Apache HTTP Server 的 mod_sed 中的越界寫入弱點允許攻擊者使用可能攻擊者提供的資料覆蓋堆記憶體。 CVE-2022-23943
apache http_server 1 Apache HTTP Server 2.4.52 及更早版本在丟棄請求正文時無法關閉入站連接,從而將服務器暴露於 HTTP 請求走私 CVE-2022-22720
dell alienware_13_r3_firmware 1 Dell BIOS 包含不正確的輸入驗證弱點。 本地經過身份驗證的惡意用戶可能會通過使用 SMI 在 SMM 期間執行任意程式碼。 CVE-2022-24420
dell alienware_13_r3_firmware 1 Dell BIOS 包含不正確的輸入驗證弱點。 本地經過身份驗證的惡意用戶可能會通過使用 SMI 在 SMM 期間執行任意程式碼。 CVE-2022-24419
dell alienware_13_r3_firmware 1 Dell BIOS 包含不正確的輸入驗證弱點。 本地經過身份驗證的惡意用戶可能會通過使用 SMI 在 SMM 期間執行任意程式碼。 CVE-2022-24416
dell alienware_13_r3_firmware 1 Dell BIOS 包含不正確的輸入驗證弱點。 本地經過身份驗證的惡意用戶可能會通過使用 SMI 在 SMM 期間執行任意程式碼。 CVE-2022-24415
dell alienware_13_r3_firmware 1 Dell BIOS 包含不正確的輸入驗證弱點。 本地經過身份驗證的惡意用戶可能會通過使用 SMI 在 SMM 期間執行任意程式碼。 CVE-2022-24421
lg webos 1 公共 API 錯誤導致攻擊者能夠繞過 API 訪問控制。 CVE-2022-23730
simple-git_project simple-git 1 3.3.0 之前的包 simple-git 容易受到通過參數注入的命令注入攻擊。 當調用 .fetch(remote, branch, handlerFn) 函數時,remote 和 branch 參數都被傳遞給 git fetch 子命令。 通過注入一些 git 選項,可以執行任意命令。 CVE-2022-24433
totolink a3100r_firmware 1 通過 hosTime 參數在 adm/ntm.asp 中的 TOTOLINK A3100R <=v4.1.2cu.5050_b20200504 中存在命令注入弱點。< td> CVE-2021-44620
yokogawa centum_vp_firmware 1 以下橫河電機產品編碼 CAMS 服務器應用程式的密碼:CENTUM VP 版本從 R5.01.00 到 R5.04.20 和版本從 R6.01.00 到 R6.08.00,Exaopc 版本從 R3.72.00 到 R3.79.00 CVE-2022-23402

 

 
       
  影響系統:

受影響廠牌如下:

  • adobe
  • dell
  • lg
  • totolink
  • yokogawa
  • simple-git

 

 
       
  解決辦法: 詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb22-080 )  
       
  細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-080 )
 
       
  參考資訊:

US-CERT

最後異動時間:2022-04-12 下午 02:04:40
TOP