摘要:今天小编关注到即国家信息安全漏洞共享平台统计发布了近期出现的几大疑似漏洞,做为网络运维的我们需要了解下。攻击者可利用该漏洞执行非法命令。歪酷存在文件上传漏洞,是一套内容管理系统。攻击者可通过诱使用户访问特制的网站利用该漏洞绕过安全限制。
随着大数据时代的发展,互联网的技术更是突飞猛进。同时也给了网络犯罪分子带来了有利条件,他们会通过各种方式去给企业造成不同程度的威胁。而我们最常见的就是他们通过程序系统漏洞或者源码漏洞等方式。今天小编关注到CNVD即(国家信息安全漏洞共享平台)统计发布了近期出现的几大疑似漏洞,做为网络运维的我们需要了解下。
1、Sequelize SQL注入漏洞 ,是一款用于Node.js的数据库ORM(对象关系映射)工具。
漏洞描述:Sequelize 5.8.11之前版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
2、Mozilla Thunderbird类型混淆漏洞,是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。
漏洞描述:Mozilla Thunderbird 60.7.1 之前版本中的icalproperty.c文件存在类型混淆漏洞。攻击者可通过诱使用户打开特制的邮件利用该漏洞造成应用程序崩溃。
3、歪酷CMS存在文件上传漏洞,是一套内容管理系统。
漏洞描述:歪酷CMS存在文件上传漏洞,攻击者利用该漏洞获取网站服务器控制权。
4、TPshop开源商城系统Ap*.php文件存在SQL注入漏洞,TPshop一套多商家模式的商城系统。
漏洞描述:TPshop开源商城系统Ap*.php文件存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
5、致远A8+协同管理软件存在远程Getshell漏洞,是一款协同管理软件及云服务的供应商,专注专注在协同管理软件领域。
漏洞扫描:致远A8+协同管理软件存在远程Getshell漏洞。攻击者通过上传精心构造的后门文件即可Getshell,获得目标服务器的权限。
6、IBM Security Access Manager Appliance开放重定向漏洞,是美国IBM公司的一款基于网络设备的安全解决方案。该产品主要用于访问控制和基于Web的威胁防护,提供系统性能监控、日志分析和诊断等功能。
漏洞描述:IBM ISAM Appliance中存在安全漏洞。攻击者可通过诱使用户访问特制的网站利用该漏洞伪造URL,将用户重定向到恶意的网站,获取敏感信息或实施其他攻击。
7、Mozilla Firefox和Firefox ESR安全绕过漏洞(CNVD-2019-19289),两款都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。
漏洞扫描:Mozilla Firefox 67.0.4之前版本和Firefox ESR 60.7.2之前版本中存在安全漏洞。攻击者可通过诱使用户访问特制的网站利用该漏洞绕过安全限制。
8、RDK WebUI组件访问控制错误漏洞和RDK CcspWifiAgent模块命令执行漏洞,是RDK Management社区的两套模块化、可移植、可定制的开源物联网软件解决方案。CcspWifiAgent是其中的一个支持WiFi功能的模块。
漏洞扫描:RDK RDKB-20181217-1版本中的WebUI组件的actionHandlerUtility.php文件存在访问控制错误漏洞。攻击者可通过向PHP后端发送HTTP POST请求利用该漏洞控制DDNS、QoS、RIP和其他的特权配置。
漏洞描述:RDK RDKB-20181217-1版本中的CcspWifiAgent模块的cosa_wifi_apis.c文件存在安全漏洞。攻击者可通过将Wi-Fi网络密码更改成包含有特制转义字符的密码利用该漏洞执行任意的shell命令。
针对以上疑似漏洞的程序,墨者安全建议去相对应的官方网站下载最新的补丁程序进行更新;
对待开源商城模式的漏洞、电子邮件的混淆漏洞等重点排查,账号密码更改;
做一些临时缓解的措施,配置URL访问控制策略;
采用专业的查杀工具进行查杀处理,重点扫描;
找专业的安全技术人员帮忙协助做深入的排查等。
(注:漏洞信息转载于CNVD即国家信息安全漏洞共享平台)
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/34561.html
摘要:月日,微博大互联网那些事爆料,拼多多百元通用优惠券的营销推广出现重大漏洞,无论新老用户,都可以元优惠券购买无门槛不限品类使用的通用优惠券。从多个渠道了解,此次漏洞,拼多多至少损失数千万。 1月20日,微博大V @互联网那些事 爆料,拼多多百元通用优惠券的营销推广出现重大漏洞,无论新老用户,都可以0.4元优惠券购买无门槛、不限品类使用的通用优惠券。近日半夜被羊毛党发现后,疯狂购买可以快速...
摘要:混合云也不例外混合式方法引发了各种误解。我们请几位云专家分享他们对混合云持续存在的一些重要误解的看法。事实上,伍兹表示,除了特别庞大的遗留系统之外,云计算项目不需要取消现有投资或进行繁琐的现代化大修。云计算的崛起,就像任何IT的进化趋势一样,都有它的炒作的份额-以及随之而来的噪音,这会导致混乱和神话。混合云也不例外:混合式方法引发了各种误解。 我们请几位云专家分享他们对混合云持续存在的一些重...
摘要:安全性设计随着物联网的普及,人们开始担心能否保证其安全性。在开发物联网服务系统的初始阶段,开发者们为了验证效果,容易把精力放在操作的实现上,而忽视安全性问题。下面我们将按照下列各项要素,来说明物联网系统独有的安全对策。 安全性设计 随着物联网的普及,人们开始担心能否保证其安全性。就物联网服...
摘要:架构必会几大技术点关于学习架构,必须会的几点技术列表项目反射技术文件处理属性文件处理线程安全机制注解设计模式代理机制基础过滤器等等几样比较实用的技术模板语言工具类大家对于几大框架望而生畏,实际上只要明白他的原理,就会触类旁通,在这里我 Java架构必会几大技术点 关于学习架构,必须会的几点技术 列表项目 java反射技术 xml文件处理 properties属性文件处理 线程安全机制...
众所周知,现在市面上的移动端操作系统已被Android和IOS占领,其中Android的份额更是在80%以上。那么面对市面上林林总总的自动化测试框架和工具,为什么说Appium在自动化测试框架的统治级优势呢,下面先看一下各大主流框架的对比及优势。 一、主流框架对比 下面对比了市面上主流的几大框架:showImg(https://segmentfault.com/img/bVbjsK9?w=9...
阅读 1832·2023-04-26 02:19
阅读 1641·2021-11-19 09:40
阅读 1523·2021-09-29 09:35
阅读 3268·2021-09-29 09:34
阅读 3803·2021-09-07 10:16
阅读 5122·2021-08-11 11:14
阅读 3357·2019-08-30 15:54
阅读 1469·2019-08-30 15:53
