优发国际网站官网

首页 > 手艺支持 > 升级通告 > 每周升级通告

每周升级通告-2021-11-30

宣布时间 2021-12-10

新增事务

事务名称：	HTTP_清静误差_QNAP-QTS_代码执行[CVE-2017-6361][CNNVD-201702-940]
清静类型：	代码执行
事务形貌：	QNAPQTS是中国威联通（QNAPSystems）公司的一套TurboNAS作业系统。该系统可提供档案贮存、治理、备份，多媒体应用及清静监控等功效。QNAPQTS4.2.4Build20170313之前的版本中保存清静误差。攻击者可使用该误差执行恣意下令。
更新时间：	20211130

事务名称：	HTTP_清静误差_QNAP-QTS_下令执行[CVE-2017-6360][CNNVD-201702-941]
清静类型：	下令执行
事务形貌：	QNAPQTS是中国威联通（QNAPSystems）公司的一套TurboNAS作业系统。该系统可提供档案贮存、治理、备份，多媒体应用及清静监控等功效。QNAPQTS4.2.4Build20170313之前的版本中保存清静误差。攻击者可使用该误差执行恣意下令，获取治理员权限和敏感信息。
更新时间：	20211130

事务名称：	HTTP_清静误差_QNAP-QTS_下令执行[CVE-2017-6359][CNNVD-201702-942]
清静类型：	下令执行
事务形貌：	QNAPQTS是中国威联通（QNAPSystems）公司的一套TurboNAS作业系统。该系统可提供档案贮存、治理、备份，多媒体应用及清静监控等功效。QNAPQTS4.2.4Build20170313之前的版本中保存清静误差。攻击者可使用该误差获取治理员权限，执行恣意下令。
更新时间：	20211130

事务名称：	TCP_清静误差_Hadoop_Yarn_RPC未授权会见误差
清静类型：	非授权会见/权限绕过
事务形貌：	检测到源ip正在使用HadoopYarn的误差举行未授权会见；关于8032袒露在互联网且未开启kerberos的HadoopYarnResourceManager，编写应用程序挪用yarnClient.getApplications()即可审查所有应用信息；Hadoop作为一个漫衍式盘算应用框架，种类功效繁多，而HadoopYarn作为其焦点组件之一。
更新时间：	20211130

事务名称：	HTTP_清静误差_Apache_CouchDB_JSON_远程代码执行误差[CVE-2017-12636][CNNVD-201711-486]
清静类型：	下令执行
事务形貌：	检测到源IP装备正在使用ApacheCouchDBJSON远程下令执行误差攻击目的IP装备。ApacheCouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。CouchDB会默认会在5984端口开放Restful的API接口，用于数据库的治理功效。它是一个使用JSON作为存储名堂，JavaScript作为盘问语言，MapReduce和HTTP作为API的NoSQL数据库。CouchDB接纳基于Erlang的JSON剖析器，与基于JavaScript的JSON剖析器差别，CouchDB可以在数据库中提交带有角色重复键的_users文档用于实现会见控制，甚至包括体现治理用户的_admin角色。恶意攻击者使用这一功效并团结CVE-2017-12636误差，可以使非治理员用户以数据库系统用户的身份会见服务器上的恣意shell下令。
更新时间：	20211130

事务名称：	HTTP_清静误差_Netgear_Nighthawk_R7000未授权远程代码执行误差[CVE-2021-31802]
清静类型：	代码执行
事务形貌：	检测到源IP装备正在使用Netgea路由器远程下令执行误差攻击目的IP装备。在NETGEARR7000上保存一个身份验证旁路清静误差。误差使用乐成后，可以root权限执远程行代码。
更新时间：	20211130

事务名称：	HTTP_清静误差_Primefaces_远程代码执行误差[CVE-2017-1000486][CNNVD-201801-112]
清静类型：	代码执行
事务形貌：	PrimeFaces是一个开源用户界面(UI)组件库，用于基于JavaServerFaces的应用程序，由土耳其公司PrimeTekInformatics建设。Primefaces5.x保存弱加密误差，攻击者可使用该误差实现远程代码执行。
更新时间：	20211130

事务名称：	HTTP_清静误差_D-Link_DWL-2600AP_操作系统下令注入误差[CVE-2019-20499/CVE-2019-20500/CVE-2019-20501][CNNVD-202003-201/CNNVD-202003-205/CNNVD-202003-204]
清静类型：	下令执行
事务形貌：	D-LinkDWL-2600AP是中国台湾友讯（D-Link）公司的一款无线接入点装备。D-LinkDWL-2600AP4.2.0.15RevA版本中保存操作系统下令注入误差。攻击者可借助生涯设置功效使用该误差执行恣意的操作系统下令。
更新时间：	20211130

事务名称：	HTTP_清静误差_Terramaster_TOS_下令注入误差[CVE-2020-35665]
清静类型：	下令执行
事务形貌：	TerramasterTOS是中国深圳市图美电子手艺（Terramaster）公司的一款基于Linux平台的，专用于erraMaster云存储NAS服务器的操作系统。TerraMasterTOS4.2.06版本及之前版本保存操作系统下令注入误差，攻击者可使用该误差通过在事务参数中包括makecvs.php注入操作系统下令。
更新时间：	20211130

事务名称：	HTTP_清静误差_SQL_Server_远程代码执行误差[CVE-2020-0618][CNNVD-202002-496]
清静类型：	代码执行
事务形貌：	SQLServer是Microsoft开发的一个关系数据库治理系统(RDBMS)，是现在天下上普遍使用的数据库之一。该误差源于获得低权限的攻击者向受影响版本的SQLServer的ReportingServices实例发送全心结构的请求，可使用此误差在报表服务器服务帐户的上下文中执行恣意代码。
更新时间：	20211130

事务名称：	HTTP_代码执行_骑士CMS远程代码执行误差[CVE-2020-35339][CNNVD-202102-1295]
清静类型：	代码执行
事务形貌：	检测检测到源IP主机正在使用骑士CMS的“网站域名”对应参数举行代码执行操作；骑士人才系统是一项基于PHPMYSQL为焦点开发的一套免费开源专业人才招聘系统。为小我私家求职和企业招聘提供信息化解决计划,骑士人才系统具备执行效率高、模板切换自由、后台治理功效无邪、�？楣π渴⒌忍氐�。
更新时间：	20211130

事务名称：	HTTP_清静误差_XStream_远程代码执行误差[CVE-2020-26217][CNNVD-202011-1441]
清静类型：	代码执行
事务形貌：	Xstream解组时处置惩罚的流包括类型信息以重新建设以前编写的工具。XStream因此基于这些类型信息建设新实例。攻击者可以使用处置惩罚过的输入流并替换或注入可以执行恣意shell下令的工具。
更新时间：	20211130

修改事务

事务名称：	HTTP_清静误差_MacCms8.X_远程代码执行下令误差
清静类型：	代码执行
事务形貌：	魅魔影戏程序(MaccmsPHP)是一套接纳PHP/MySQL数据库运行的全新且完善的强盛视频影戏系统。完善支持众多视频网站和高清播放器(youku,tudou,qvod,gvod等)，完全免费开源。该误差主要的爆发缘故原由是CMS搜索页面搜索参数过滤不严导致直接eval执行PHP语句。
更新时间：	20211130

上一篇下一篇

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号