安基網 首頁 資訊 安全報 查看內容

最近出現的幾大疑似漏洞大家需要了解下

2019-6-28 18:06| 投稿: lofor |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 隨著大數據時代的發展,互聯網的技術更是突飛猛進。同時也給了網絡犯罪分子帶來了有利條件,他們會通過各種方式去給企業造成不同程度的威脅。而我們最常見的就是他們通過程序系統漏洞或者源碼漏洞等方式。今天小編關 ...
隨著大數據時代的發展,互聯網的技術更是突飛猛進。同時也給了網絡犯罪分子帶來了有利條件,他們會通過各種方式去給企業造成不同程度的威脅。而我們最常見的就是他們通過程序系統漏洞或者源碼漏洞等方式。今天小編關注到CNVD即(國家信息安全漏洞共享平臺)統計發布了近期出現的幾大疑似漏洞,做為網絡運維的我們需要了解下。
1、Sequelize SQL注入漏洞 ,是一款用于Node.js的數據庫ORM(對象關系映射)工具。
漏洞描述:Sequelize 5.8.11之前版本中存在SQL注入漏洞。該漏洞源于基于數據庫的應用缺少對外部輸入SQL語句的驗證。攻擊者可利用該漏洞執行非法SQL命令。 
2、Mozilla Thunderbird類型混淆漏洞,是美國Mozilla基金會的一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協議以及HTML郵件格式。
漏洞描述:Mozilla Thunderbird 60.7.1 之前版本中的icalproperty.c文件存在類型混淆漏洞。攻擊者可通過誘使用戶打開特制的郵件利用該漏洞造成應用程序崩潰。
3、歪酷CMS存在文件上傳漏洞,是一套內容管理系統。
漏洞描述:歪酷CMS存在文件上傳漏洞,攻擊者利用該漏洞獲取網站服務器控制權。
4、TPshop開源商城系統Ap***.php文件存在SQL注入漏洞,TPshop一套多商家模式的商城系統。
漏洞描述:TPshop開源商城系統Ap***.php文件存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
5、致遠A8+協同管理軟件存在遠程Getshell漏洞,是一款協同管理軟件及云服務的供應商,專注專注在協同管理軟件領域。
漏洞掃描:致遠A8+協同管理軟件存在遠程Getshell漏洞。攻擊者通過上傳精心構造的后門文件即可Getshell,獲得目標服務器的權限。
6、IBM Security Access Manager Appliance開放重定向漏洞,是美國IBM公司的一款基于網絡設備的安全解決方案。該產品主要用于訪問控制和基于Web的威脅防護,提供系統性能監控、日志分析和診斷等功能。
漏洞描述:IBM ISAM Appliance中存在安全漏洞。攻擊者可通過誘使用戶訪問特制的網站利用該漏洞偽造URL,將用戶重定向到惡意的網站,獲取敏感信息或實施其他攻擊。
7、Mozilla Firefox和Firefox ESR安全繞過漏洞(CNVD-2019-19289),兩款都是美國Mozilla基金會的產品。Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。
漏洞掃描:Mozilla Firefox 67.0.4之前版本和Firefox ESR 60.7.2之前版本中存在安全漏洞。攻擊者可通過誘使用戶訪問特制的網站利用該漏洞繞過安全限制。
8、RDK WebUI組件訪問控制錯誤漏洞和RDK CcspWifiAgent模塊命令執行漏洞,是RDK Management社區的兩套模塊化、可移植、可定制的開源物聯網軟件解決方案。CcspWifiAgent是其中的一個支持WiFi功能的模塊。
漏洞掃描:RDK RDKB-20181217-1版本中的WebUI組件的actionHandlerUtility.php文件存在訪問控制錯誤漏洞。攻擊者可通過向PHP后端發送HTTP POST請求利用該漏洞控制DDNS、QoS、RIP和其他的特權配置。
漏洞描述:RDK RDKB-20181217-1版本中的CcspWifiAgent模塊的cosa_wifi_apis.c文件存在安全漏洞。攻擊者可通過將Wi-Fi網絡密碼更改成包含有特制轉義字符的密碼利用該漏洞執行任意的shell命令。
針對以上疑似漏洞的程序,墨者安全建議去相對應的官方網站下載最新的補丁程序進行更新;
對待開源商城模式的漏洞、電子郵件的混淆漏洞等重點排查,賬號密碼更改;
做一些臨時緩解的措施,配置URL訪問控制策略;
采用專業的查殺工具進行查殺處理,重點掃描;
找專業的安全技術人員幫忙協助做深入的排查等。
(注:漏洞信息轉載于CNVD即國家信息安全漏洞共享平臺)

小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!



免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧