上周关注度较高的产品安全漏洞(20210906-20210912)

VSole2021-09-13 17:17:47

一、境外厂商产品漏洞

1 Cisco Application Policy Infrastructure Controller权限提升漏洞(CNVD-2021-68724)

Cisco Application Policy InfrastructureController(APIC)是美国思科(Cisco)公司的一款自动化的基础架构部署和治理解决方案。Cisco Application PolicyInfrastructure Controller的API端点存在权限提升漏洞,攻击者可通过使用Cisco ACI Multi-SiteOrchestrator (MSO)的非特权凭证向Cisco APIC或Cloud APIC设备发送特定API请求利用该漏洞获取管理员凭据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-68724

2、MicrosoftMSHTML远程代码执行漏洞

MSHTML(又称为Trident)是微软旗下的Internet Explorer浏览器引擎,虽然MHTML主要用于已被弃用的Internet Explorer浏览器,但该组件也用于Office应用程序,以在 Word、Excel或PowerPoint文档中呈现Web托管的内容。Microsoft MSHTML存在远程代码执行漏洞。攻击者可利用漏洞通过制作带有恶意 ActiveX控件的Microsoft Office文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-69088

3、MIK.starlight输入验证错误漏洞

MIK.starlight是部门访问和创建仪表板、报告和规划环境。MIK.starlight存在输入验证错误漏洞,攻击者可通过该漏洞执行操作系统命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-69612

4、Apache Pulsar数据伪造问题漏洞

ApachePulsar是美国阿帕奇(Apache)基金会的一个用于云环境种,集消息、存储、轻量化函数式计算为一体的分布式消息流平台。该软件支持多租户、持久化存储、多机房跨区域数据复制,具有强一致性、高吞吐以及低延时的高可扩展流数据存储特性。ApachePulsar存在数据伪造问题漏洞,该漏洞源于在处理基于JSON Web令牌(JWT)的身份验证请求时出现的错误,远程攻击者可利用该漏洞绕过身份验证过程。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70104

5、IBM SterlingSecure Proxy弱加密算法漏洞(CNVD-2021-68436)

IBMSterling Secure Proxy通过防止外部合作伙伴与内部服务器之间直接连接,为可信网络建立安全防护屏障。IBMSterling Secure Proxy 6.0.1、6.0.2、2.4.3.2、3.4.3.2版存在弱加密算法漏洞。攻击者可利用该漏洞解密高度敏感的信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-68436

二、境内厂商产品漏洞

1、 DIAEnergie文件上传漏洞

DIAEnergie是DeltaElectronics推出的一款工业能源管理系统。DIAEnergie1.7.5及更早版本存在文件上传漏洞。攻击者可利用该漏洞实现远程代码执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-68443

2、ZTE ZXV10 M910代码问题漏洞

ZTEZXV10 M910是中国中兴通讯(ZTE)公司的一款视频会议高清视讯服务器。ZTEZXV10 M910存在安全漏洞,攻击者可以利用此漏洞通过向端口5001发送反序列化的有效负载来执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70089

3、HuCartCMS SQL注入漏洞(CNVD-2021-68441)

HuCart(虎卡)是一套开源的企业建站系统。HuCartCMS5.7.4版本的Messagecon_content字段存在SQL注入漏洞。攻击者可利用该漏洞发起SQL注入攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-68441

4、Ljcmsshop SQL注入漏洞

Ljcmsshop是中国Ljcms公司的一个基于Php开发的在线商城建站系统。Find aPlace LJCMS v1.3存在SQL注入漏洞,攻击者可利用该漏洞通过精心设计的POST请求访问敏感数据库信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-68751

5、WTCMS跨站请求伪造漏洞(CNVD-2021-69267)

WTCMS是一套基于ThinkPHP的内容管理系统(CMS)。WTCMS中的index.php?g=admin&m=nav&a=add_post组件存在跨站请求伪造漏洞,攻击者可利用该漏洞在管理员后台任意添加文章。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-69267

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

信息安全网络安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
中国信息产业商会秘书长张安安为此次总决赛致开幕词。大赛经预赛、复赛,全国80所高校队伍、450名师生会师本次总决赛。活动最后,出席本次大会的沈昌祥院士、黄殿中院士以及来自福州新区管委会、中国信息安全测评中心、西普科技和神州数码的专家领导,为本届大赛中表现优异的院校代表队进行了颁奖。
尽管如此,Combs和其他专家预测,未来一年对网络安全岗位的招聘需求仍将保持稳定。虽然不一定大幅增长,但Combs表示,招聘重点将转向更具战略价值、更关键的职位。Combs和其他职业战略师建议网络安全工作的申请人花更多时间准备面试,抓住机会使自己脱颖而出。如今开源学习机会和职业发展资源之多前所未有,Combs建议行业新人充分利用所有这些资源,但要远离那些声称保证就业的训练营。
SANS Institute遭受数据泄露,包含个人身份信息(PII)的28,000个用户记录被曝光。 8月6日,在审查电子邮件配置和规则时,SANS Institute的工作人员发现了一个安全漏洞。28,000条个人身份信息(PII)记录已转发至未知...
标准规范是对法律法规的支撑,细化具体行业或领域要求,量化具体行为,确保其活动和结果能够符合需要。自2020年以来,我国有关电信运营商、航空公司等单位的内网和信息系统先后多次出现越权登录、数据外传等异常网络行为,疑似遭受网络攻击。通过进一步深入调查证实,相关攻击活动是由某境外间谍情报机关精心策划、秘密实施的。在此阶段需防止无授权入侵以及数据泄露。
近日,全国信息安全标准化技术委员会秘书处发布了《信息安全技术 网络安全产品互联互通 告警信息格式》《信息安全技术 信息安全风险管理指导》《信息安全技术 信息安全管理体系 要求》《信息安全技术 网络安全产品互联互通 资产信息格式》四项国家标准征求意见稿。
全国信息安全标准化技术委员会归口的国家标准《信息安全技术网络安全信息共享指南》现已形成标准征求意见稿。 根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,如有意见或建议请于2022年2月15日24:00前反馈秘书处。
2023年9月13日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 网络安全保险应用指南》(以下简称《应用指南》)征求意见稿。
VSole
网络安全专家