c7c7娱乐平台

首页 > 手艺支持 > 升级通告 > 每周升级通告

每周升级通告-2022-05-10

宣布时间 2022-05-10

新增事务

事务名称：	HTTP_清静误差_GoAhead_远程下令执行
清静类型：	清静误差
事务形貌：	GoAhead是一个开源(商业允许)、简朴、轻盈、功效强盛、可以在多个平台运行的WebServer，，，，，，多用于嵌入式系统、智能装备。。。其支持运行ASP、Javascript和标准的CGI程序，，，，，，这个误差就泛起在运行CGI程序的时间。。。GoAhead在吸收到请求后，，，，，，将会从URL参数中取出键和值注册进CGI程序的情形变量，，，，，，且只过滤了REMOTE_HOST和HTTP_AUTHORIZATION。。。我们能够控制情形变量，，，，，，就有许多攻击方法。。。好比在Linux中，，，，，，LD_开头的情形变量和动态链接库有关，，，，，，如LD_PRELOAD中指定的动态链接库，，，，，，将会被自动加载；；；LD_LIBRARY_PATH指定的路径，，，，，，程序会去其中寻找动态链接库。。。我们可以指定LD_PRELOAD=/proc/self/fd/0，，，，，，由于/proc/self/fd/0是标准输入，，，，，，而在CGI程序中，，，，，，POST数据流即为标准输入流。。。我们编译一个动态链接库，，，，，，将其放在POSTBody中，，，，，，发送给http://target/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0，，，，，，CGI就会加载我们发送的动态链接库，，，，，，造成远程下令执行误差。。。
更新时间：	20220510

事务名称：	HTTP_清静误差_FreePBX_远程下令执行
清静类型：	清静误差
事务形貌：	FreePBX是一个最强盛的GUI（基于网页的）设置Asterisk的工具，，，，，，在其13和14版本保存清静误差，，，，，，主机有被执行恣意系统下令的危害。。。
更新时间：	20220510

事务名称：	HTTP_清静误差_WordPress_Levo_Slideshow_2.3_恣意文件上传误差
清静类型：	清静误差
事务形貌：	WordPressLevo-Slideshow插件2.3版本保存文件上传误差，，，，，，该误差源于对上传文件后缀检测不严谨，，，，，，可导致黑客上传恶意文件控制主机。。。
更新时间：	20220510

事务名称：	HTTP_清静误差_CA_Privileged_Access_Manager_下令注入误差
清静类型：	清静误差
事务形貌：	CAPrivilegedAccessManager2.8.2及更早版本中保存一个下令注入误差，，，，，，该误差允许远程攻击者使用特制请求执行恣意下令。。。
更新时间：	20220510

事务名称：	HTTP_清静误差_PixelStor_远程下令执行误差[CVE-2020-6756][CNNVD-202001-346]
清静类型：	清静误差
事务形貌：	RasilientPixelStor5000K:4.0.1580-20150629（KDI版本）中的languageOptions.php允许未经身份验证的攻击者通过lang参数远程执行下令。。。
更新时间：	20220510

截图20220510161912.png

事务名称：	HTTP_清静误差_PmWiki_PageListSort_远程代码注入误差
清静类型：	清静误差
事务形貌：	PmWiki是一种基于Wiki手艺的开源多人协作站点建设和维护工具。。。PmWiki2.0.0到2.2.34版本中保存远程PHP代码注入误差。。。攻击者可使用该误差在受影响的应用程序上下文中注入和执行恣意PHP代码，，，，，，这可能会增进攻击者操控应用程序和底层系统，，，，，，或者造成其他的攻击。。。
更新时间：	20220510

事务名称：	HTTP_清静误差_Basilic1.5.14-diff.php_远程下令执行
清静类型：	清静误差
事务形貌：	Basilic中保存远程下令执行误差。。。攻击者可使用该误差在受影响应用程序上下文中执行恣意下令。。。Basilic1.5.14版本中保存误差，，，，，，其他版本也可能受到影响。。。
更新时间：	20220510

事务名称：	HTTP_清静误差_WAN-Emulator-v2.3_恣意下令执行
清静类型：	清静误差
事务形貌：	WANEmulator是广域网络模拟器。。。WANEmulator保存不法会见误差，，，，，，dosu二进制文件装置了setuidroot后可触发此误差，，，，，，导致外地攻击者获取root权限。。。
更新时间：	20220510

事务名称：	HTTP_清静误差_好视通视频聚会系统_恣意文件下载
清静类型：	清静误差
事务形貌：	好视通视频聚会企业版效劳器治理后台保存恣意文件下载误差，，，，，，攻击者可使用该误差获取敏感信息。。。现在，，，，，，供应商宣布了清静通告及相关补丁信息，，，，，，修复了此误差。。。
更新时间：	20220510

事务名称：	HTTP_清静误差_Ruckus_IoT_Controller_身份验证绕过误差[CVE-2020-26879][CNNVD-202010-1425]
清静类型：	清静误差
事务形貌：	RuckusIoTController（<=1.5.1.0.21版本）中保存一个身份验证绕过误差。。。该误差是由于对全心设计的HTTP请求处置惩罚不当造成的，，，，，，远程攻击者可以通过向目的效劳器发送全心设计的HTTP请求来使用该误差，，，，，，乐成使用可能允许攻击者绕过身份验证。。。
更新时间：	20220510

事务名称：	HTTP_清静误差_Vtiger-CRM-装置剧本_未授权重装
清静类型：	清静误差
事务形貌：	VtigerCRM是美国Vtiger公司的一套基于SugarCRM开发的客户关系治理系统（CRM），，，，，，它提供治理、网络、剖析客户信息等功效。。。InstallModule是其中的一个装置�？？？�。。。VtigerCRM6.0版本的Install�？？？橹械膙iews/Index.php剧本中保存清静误差，，，，，，该误差源于程序没有准确限制会见权限。。。远程攻击者可通过发送包括X-Requested-WithHTTP头设置的请求使用该误差重装应用程序。。。
更新时间：	20220510

事务名称：	TCP_可疑行为_systeminfo_远程下令执行
清静类型：	清静误差
事务形貌：	流量中检测到执行了敏感系统下令的回显信息，，，，，，说明主机有可能已经被入侵，，，，，，且攻击者具有执行系统下令的权限。。。
更新时间：	20220510

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? c7c7娱乐平台版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】