优发国际网站官网

首页 > 手艺支持 > 升级通告 > 每周升级通告

每周升级通告-2022-05-10

宣布时间 2022-05-10

新增事务

事务名称：	HTTP_清静误差_GoAhead_远程下令执行
清静类型：	清静误差
事务形貌：	GoAhead是一个开源(商业允许)、简朴、轻盈、功效强盛、可以在多个平台运行的WebServer，多用于嵌入式系统、智能装备。其支持运行ASP、Javascript和标准的CGI程序，这个误差就泛起在运行CGI程序的时间。GoAhead在吸收到请求后，将会从URL参数中取出键和值注册进CGI程序的情形变量，且只过滤了REMOTE_HOST和HTTP_AUTHORIZATION。我们能够控制情形变量，就有许多攻击方法。好比在Linux中，LD_开头的情形变量和动态链接库有关，如LD_PRELOAD中指定的动态链接库，将会被自动加载；LD_LIBRARY_PATH指定的路径，程序会去其中寻找动态链接库。我们可以指定LD_PRELOAD=/proc/self/fd/0，由于/proc/self/fd/0是标准输入，而在CGI程序中，POST数据流即为标准输入流。我们编译一个动态链接库，将其放在POSTBody中，发送给http://target/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0，CGI就会加载我们发送的动态链接库，造成远程下令执行误差。
更新时间：	20220510

事务名称：	HTTP_清静误差_FreePBX_远程下令执行
清静类型：	清静误差
事务形貌：	FreePBX是一个最强盛的GUI（基于网页的）设置Asterisk的工具，在其13和14版本保存清静误差，主机有被执行恣意系统下令的危害。
更新时间：	20220510

事务名称：	HTTP_清静误差_WordPress_Levo_Slideshow_2.3_恣意文件上传误差
清静类型：	清静误差
事务形貌：	WordPressLevo-Slideshow插件2.3版本保存文件上传误差，该误差源于对上传文件后缀检测不严谨，可导致黑客上传恶意文件控制主机。
更新时间：	20220510

事务名称：	HTTP_清静误差_CA_Privileged_Access_Manager_下令注入误差
清静类型：	清静误差
事务形貌：	CAPrivilegedAccessManager2.8.2及更早版本中保存一个下令注入误差，该误差允许远程攻击者使用特制请求执行恣意下令。
更新时间：	20220510

事务名称：	HTTP_清静误差_PixelStor_远程下令执行误差[CVE-2020-6756][CNNVD-202001-346]
清静类型：	清静误差
事务形貌：	RasilientPixelStor5000K:4.0.1580-20150629（KDI版本）中的languageOptions.php允许未经身份验证的攻击者通过lang参数远程执行下令。
更新时间：	20220510

截图20220510161912.png

事务名称：	HTTP_清静误差_PmWiki_PageListSort_远程代码注入误差
清静类型：	清静误差
事务形貌：	PmWiki是一种基于Wiki手艺的开源多人协作站点建设和维护工具。PmWiki2.0.0到2.2.34版本中保存远程PHP代码注入误差。攻击者可使用该误差在受影响的应用程序上下文中注入和执行恣意PHP代码，这可能会增进攻击者操控应用程序和底层系统，或者造成其他的攻击。
更新时间：	20220510

事务名称：	HTTP_清静误差_Basilic1.5.14-diff.php_远程下令执行
清静类型：	清静误差
事务形貌：	Basilic中保存远程下令执行误差。攻击者可使用该误差在受影响应用程序上下文中执行恣意下令。Basilic1.5.14版本中保存误差，其他版本也可能受到影响。
更新时间：	20220510

事务名称：	HTTP_清静误差_WAN-Emulator-v2.3_恣意下令执行
清静类型：	清静误差
事务形貌：	WANEmulator是广域网络模拟器。WANEmulator保存不法会见误差，dosu二进制文件装置了setuidroot后可触发此误差，导致外地攻击者获取root权限。
更新时间：	20220510

事务名称：	HTTP_清静误差_好视通视频聚会系统_恣意文件下载
清静类型：	清静误差
事务形貌：	好视通视频聚会企业版服务器治理后台保存恣意文件下载误差，攻击者可使用该误差获取敏感信息。现在，供应商宣布了清静通告及相关补丁信息，修复了此误差。
更新时间：	20220510

事务名称：	HTTP_清静误差_Ruckus_IoT_Controller_身份验证绕过误差[CVE-2020-26879][CNNVD-202010-1425]
清静类型：	清静误差
事务形貌：	RuckusIoTController（<=1.5.1.0.21版本）中保存一个身份验证绕过误差。该误差是由于对全心设计的HTTP请求处置惩罚不当造成的，远程攻击者可以通过向目的服务器发送全心设计的HTTP请求来使用该误差，乐成使用可能允许攻击者绕过身份验证。
更新时间：	20220510

事务名称：	HTTP_清静误差_Vtiger-CRM-装置剧本_未授权重装
清静类型：	清静误差
事务形貌：	VtigerCRM是美国Vtiger公司的一套基于SugarCRM开发的客户关系治理系统（CRM），它提供治理、网络、剖析客户信息等功效。InstallModule是其中的一个装置�？�。VtigerCRM6.0版本的Install�？橹械膙iews/Index.php剧本中保存清静误差，该误差源于程序没有准确限制会见权限。远程攻击者可通过发送包括X-Requested-WithHTTP头设置的请求使用该误差重装应用程序。
更新时间：	20220510

事务名称：	TCP_可疑行为_systeminfo_远程下令执行
清静类型：	清静误差
事务形貌：	流量中检测到执行了敏感系统下令的回显信息，说明主机有可能已经被入侵，且攻击者具有执行系统下令的权限。
更新时间：	20220510

上一篇下一篇

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号