鉴黑担保网

首页 > 手艺支持 > 升级通告 > 每周升级通告

每周升级通告-2021-10-26

宣布时间 2021-10-27

新增事务

事务名称：	HTTP_清静误差_QNAP-QTS_下令注入[CVE-2017-7876][CNNVD-201704-779]
清静类型：	清静误差
事务形貌：	QNAPSystemsQNAPQTS是中国威联通（QNAPSystems）公司的一套TurboNAS作业系统。。。。该系统可提供档案贮存、治理、备份，，，，，，多媒体应用及清静监控等功效。。。。QNAPQTS4.2.6build20170517之前的版本中保存下令注入误差。。。。攻击者可使用该误差注入下令。。。。
更新时间：	20211026

事务名称：	TCP_清静误差_VMware_vCenter_Server_效劳器端请求伪造误差[CVE-2021-21973][CNNVD-202102-1559]
清静类型：	清静误差
事务形貌：	检测到源IP主机正在使用VMwarevCenterServer效劳器端请求伪造误差对目的主机举行攻击的行为。。。。该误差源于VMwarevCenterServer插件中对用户提供的输入验证不当，，，，，，未经由身份验证的远程攻击者可以发送特制的HTTP请求，，，，，，诱骗应用程序向恣意系统提倡请求实现内网扫描，，，，，，获取内网信息，，，，，，导致信息泄露。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_Jetty_WEB-INF_信息泄露误差[CVE-2021-34429]
清静类型：	清静误差
事务形貌：	EclipseJetty版本9.4.37-9.4.42、10.0.1-10.0.5和11.0.1-11.0.5，，，，，，可以使用一些编码字符结构特殊的URI来会见WEB-INF目录的内容。。。。
更新时间：	20211019

事务名称：	HTTP_清静误差_D-LinkDSL-2640U&DSL-2540U_下令执行[CVE-2018-5371][CNNVD-201801-545]
清静类型：	清静误差
事务形貌：	D-LinkDSL-2640U装备（固件为IM_1.00和ME_1.00）和DSL-2540U装备（固件为ME_1.00）上的diag_ping.cmd允许经由身份验证的远程攻击者通过HTTPGET请求的ipaddr字段中的shell元字符执行恣意OS下令。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_Subrion-CMS_代码执行[CVE-2018-19422][CNNVD-201811-628]
清静类型：	清静误差
事务形貌：	SubrionCMS是Subrion团队开发的一套基于PHP的内容治理系统（CMS）。。。。该系统可被集成到网站，，，，，，并支持多种扩展插件等。。。。SubrionCMS4.2.1版本中的/panel/uploads保存清静误差，，，，，，该误差源于.htaccess文件没有榨取对pht和phar文件的执行操作。。。。远程攻击者可借助.pht或.phar文件使用该误差执行恣意的PHP代码。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_OpenMRS_代码执行[CVE-2018-19276][CNNVD-201902-602]
清静类型：	清静误差
事务形貌：	OpenMRS是美国OpenMRS公司的一套开源的电子病历系统。。。。OpenMRSPlatform2.24.0之前版本中保存清静误差。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_Billion_5200W-T_远程下令执行误差[CVE-2017-18372][CNNVD-201905-077]
清静类型：	清静误差
事务形貌：	Billion5200W-T路由器在时间设置功效中保存远程下令执行误差。。。。该误差位于tools_time.asp页面，，，，，，远程攻击者可以通过uiViewSNTPServer参数注入恶意下令并执行。。。。
更新时间：	20211026

事务名称：	UDP_DD-WRT_缓冲区溢出误差[CVE-2021-27137]
清静类型：	缓冲溢出
事务形貌：	DD-WRT是一个基于Linux的无线路由软件。。。。该误差，，，，，，通过缓冲区溢出可执行恣意下令，，，，，，导致主机有被接受的危害。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_Billion_5200W-T_远程下令执行误差[CVE-2017-18369][CNNVD-201905-073]
清静类型：	清静误差
事务形貌：	Billion5200W-T路由器在在adv_remotelog.asp文件中保存未经身份验证的下令注入。。。。远程攻击者可以通过uiViewSNTPServer参数注入恶意下令并执行。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_OTRS_远程下令执行误差[CVE-2017-16921][CNNVD-201711-917]
清静类型：	清静误差
事务形貌：	在OTRS6.0.x至6.0.1、OTRS5.0.x至5.0.24和OTRS4.0.x至4.0.26中，，，，，，以署理身份登录OTRS的攻击者可以使用表单参数（与PGP相关）并在OTRS或Web效劳器用户的权限下执行恣意shell下令。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_HPE智能治理中心_远程代码执行误差[CVE-2020-7184][CNNVD-202010-863]
清静类型：	清静误差
事务形貌：	HPEIntelligentManagementCenter是美国惠普企业公司（HewlettPackardEnterprise，，，，，，HPE）的一套网络智能治理中心解决计划。。。。该解决计划可提供整个网络规模的可视性，，，，，，实现对资源、效劳和用户的周全治理。。。。HPEIntelligentManagementCenter(iMC)7.3之前版本保存清静误差，，，，，，该误差源于viewbatchtaskresultdetailfact表达式语言注入远程代码执行误差。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_FreePBX清静绕过误差[CVE-2019-19006][CNNVD-201911-1264]
清静类型：	清静误差
事务形貌：	检测到源IP装备使用FreePBX清静绕过误差攻击目的IP装备。。。。FreePBX（前称AsteriskManagementPortal）是FreePBX项目的一套通过GUI（基于网页的图形化接口）设置Asterisk（IP电话系统）的工具。。。。FreePBX115.0.16.26及之前版本、14.0.13.11及之前版本和13.0.197.13及之前版本中保存清静误差，，，，，，该误差源于程序没有举行准确的会见控制。。。。攻击者可使用该误差绕过密码身份验证并会见效劳功效。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_D-Link_DIR-859远程下令执行误差[CVE-2019-17621][CNNVD-201912-1224]
清静类型：	清静误差
事务形貌：	检测到源IP装备使用D-Link_DIR-859远程下令执行误差攻击目的IP装备。。。。D-LinkDIR-859装备LAN层中泛起未经身份验证的下令执行误差。。。。
更新时间：	20211026

事务名称：	HTTP_代码执行_VMware_NSX_SD-WAN_Edge_远程代码执行误差[CVE-2018-6961][CNNVD-201805-1140]
清静类型：	清静误差
事务形貌：	检测到源ip正在使用VMware_NSX_SD-WANEdge的误差举行攻击；；；；VMwareSD-WANEdge是一款零接触式企业级装备,能够以经由优化的方法为专有、公共或混淆应用,以及盘算和虚拟化效劳提供清静毗连。。。。
更新时间：	20211026

事务名称：	HTTP_清静误差_ZyXEL-CloudCNM-SecuManager_代码注入[CVE-2020-15348][CNNVD-202006-1754]
清静类型：	清静误差
事务形貌：	ZyxelCNMSecuManager3.1.0和3.1.1版保存硬编码神秘、身份验证丧失、后门和远程代码执行误差。。。。通过delete_cpes_by_ids举行代码注入可执行恣意代码，，，，，，危害主机清静。。。。
更新时间：	20211026

修改事务

事务名称：	HTTP_FCKeditor_ASP_剖析误差上传剧本执行误差
清静类型：	清静误差
事务形貌：	检测到源IP主机正在使用FCKeditor_ASP_剖析误差上传剧本执行误差对目的主机举行攻击的行为。。。。FCKeditor是开源的网页编辑器，，，，，，被众多带有编辑功效的网站或者CMS使用。。。。FCKeditor保存FCKeditor_ASP_剖析误差上传剧本执行误差，，，，，，攻击者使用此误差上传恣意类型文件，，，，，，获取目的网站的webshell，，，，，，进一步获取网站控制权。。。。窃取敏感信息，，，，，，获取治理员权限。。。。
更新时间：	20211026

事务名称：	HTTP_fastjson_1.2.61_JSON反序列化_远程代码执行误差
清静类型：	清静误差
事务形貌：	检测到源IP主机正在使用fastjsonJSON反序列化远程代码执行误差对目的IP主机举行攻击的行为，，，，，，试图通过传入全心结构的恶意代码或下令来入侵目的IP主机。。。。FastJson是阿里巴巴的开源JSON剖析库，，，，，，它可以剖析JSON名堂的字符串，，，，，，支持将JavaBean序列化为JSON字符串，，，，，，也可以从JSON字符串反序列化到JavaBean，，，，，，由于具有执行效率高的特点，，，，，，应用规模很广。。。。攻击乐成，，，，，，可远程执行恣意代码。。。。
更新时间：	20211026

删除事务

1、HTTP_通用_unicode绕过

2、SMB_拒绝效劳_Winnuke_攻击[CVE-1999-0153]

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】