01 IoT智能設(shè)備漏洞
NETGEAR R7000授權(quán)問題漏洞
漏洞代號(hào):CVE-2021-34977
漏洞類型:授權(quán)問題
漏洞介紹:
Netgear R7000是美國(guó)網(wǎng)件(Netgear)公司的一款無線路由器��。
Netgear R7000 1.0.11.116_10.2.100版本的某個(gè)請(qǐng)求處理過程存在授權(quán)問題漏洞����,該漏洞源于程序在重置密碼之前未進(jìn)行正確的身份驗(yàn)證���。攻擊者可利用該漏洞繞過身份認(rèn)證����,重置管理員密碼�����。
影響產(chǎn)品/版本:
NETGEAR R7000 1.0.11.116_10.2.100
Moxa TN-5900 命令注入漏洞
漏洞編號(hào):CVE-2021-46560
漏洞類型:命令注入
漏洞介紹:
Moxa TN-5900是中國(guó)Moxa公司的一系列En50155壁掛式路由器�。
Moxa TN-5900 3.1版本及之前版本的固件存在命令注入漏洞。攻擊者可能利用該漏洞通過導(dǎo)致設(shè)備損壞���。
影響產(chǎn)品/版本:
Moxa TN-5900 <= 3.1
Reolink RLC-410W拒絕服務(wù)漏洞
漏洞編號(hào):CVE-2021-44372
漏洞類型:拒絕服務(wù)
漏洞介紹:
Reolink RlC-410W是中國(guó)Reolink公司的一款Wifi安全攝像頭��。
Reolink RLC-410W 3.0.0.136 20121102版本的某個(gè) JSON命令解析功能存在拒絕服務(wù)漏洞����。攻擊者可利用該漏洞通過發(fā)送特制的HTTP請(qǐng)求導(dǎo)致設(shè)備重啟�����。
影響產(chǎn)品/版本:
Reolink RLC-410W 3.0.0.136 2012110
02 其他熱門漏洞
NO.1 Apache CouchDB代碼執(zhí)行漏洞
漏洞編號(hào):CVE-2022-24706
漏洞信息:
CouchDB 是一個(gè)開源的面向文檔的數(shù)據(jù)庫(kù)管理系統(tǒng)�,可以通過 RESTful JavaScript Object Notation (JSON) API 訪問����。
由于CouchDB的默認(rèn)安裝配置存在缺陷����,未授權(quán)的遠(yuǎn)程攻擊者可以通過訪問特定端口�,繞過權(quán)限驗(yàn)證并獲得管理員權(quán)限,最終接管服務(wù)器�。
影響版本:Apache CouchDB < 3.2.2
NO.2 Jira 身份驗(yàn)證繞過漏洞
漏洞編號(hào):CVE-2022-0540
漏洞信息:
JIRA是Atlassian公司出品的項(xiàng)目與事務(wù)跟蹤工具,被廣泛應(yīng)用于缺陷跟蹤��、客戶服務(wù)���、需求收集�����、流程審批��、任務(wù)跟蹤�����、項(xiàng)目跟蹤和敏捷管理等工作領(lǐng)域����。
Jira 和 Jira Service Management 容易受到其 Web 身份驗(yàn)證框架 Jira Seraph 中的身份驗(yàn)證繞過的攻擊。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過發(fā)送特制的 HTTP 請(qǐng)求來利用此漏洞���,以使用受影響的配置繞過 WebWork 操作中的身份驗(yàn)證和授權(quán)要求��。
影響版本:
Jira:
- Jira所有版本 < 8.13.18
- Jira 8.14.x�、8.15.x����、8.16.x、8.17.x����、8.18.x、8.19.x
- Jira 8.20.x < 8.20.6
- Jira 8.21.x
Jira Service Management:
- Jira Service Management所有版本 < 4.13.18
- Jira Service Management 4.14.x�����、4.15.x��、4.16.x���、4.17.x���、4.18.x、4.19.x
- Jira Service Management 4.20.x < 4.20.6
- Jira Service Management 4.21.x
參考鏈接:https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html
NO.3 Zabbix Sia Zabbix授權(quán)問題漏洞
漏洞編號(hào):CVE-2022-23134
漏洞信息:
Zabbix Sia Zabbix是拉脫維亞Zabbix SIA(Zabbix Sia)公司的一套開源的監(jiān)控系統(tǒng)。
Zabbix Sia Zabbix 5.4.8和6.0.0beta1版本存在授權(quán)錯(cuò)誤漏洞����。未經(jīng)身份認(rèn)證的攻擊者可利用該漏洞訪問本應(yīng)只有超級(jí)管理員才可訪問的某個(gè)文件的設(shè)置步驟�����,并通過步驟檢查����,更改Zabbix前端配置。
影響版本:
Zabbix Sia Zabbix Sia Zabbix 6.0.0beta1
Zabbix Sia Zabbix Sia Zabbix 5.4.8
03 安全事件
QNAP 建議在補(bǔ)丁可用之前
禁用AFP服務(wù)以緩解遠(yuǎn)程代碼執(zhí)行漏洞
網(wǎng)絡(luò)存儲(chǔ) (NAS) 設(shè)備制造商 QNAP 周三表示�����,在 Netatalk 上個(gè)月發(fā)布補(bǔ)丁以包含其軟件中的七個(gè)安全漏洞之后��,它正在努力更新其 QTS 和 QuTS 操作系統(tǒng)�。
Netatalk是 Apple 歸檔協(xié)議 ( AFP )的開源實(shí)現(xiàn),允許類 Unix 操作系統(tǒng)充當(dāng) Apple macOS 計(jì)算機(jī)的文件服務(wù)器��。
2022 年 3 月 22 日�,其維護(hù)者發(fā)布了該軟件的3.1.13 版本以解決主要安全問題 - CVE-2021-31439、CVE-2022-23121����、CVE-2022-23122�、CVE-2022-23123���、CVE-2022- 23124�、CVE-2022-23125和CVE-2022-0194 — 可被利用以實(shí)現(xiàn)任意代碼執(zhí)行�。
在更新可用之前,這家臺(tái)灣公司建議用戶禁用 AFP����。到目前為止,QTS 4.5.4.2012 build 20220419 及更高版本中的缺陷已得到修復(fù)��。
參考鏈接:https://www.qnap.com/en/security-advisory/qsa-22-12
文章來源:天防安全
在線咨詢
在線咨詢
0371-63319761