您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
CNVD漏洞周報(bào)2021年第49期
本周漏洞態(tài)勢(shì)研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱(chēng)CNVD)本周共收集、整理信息安全漏洞658個(gè),其中高危漏洞176個(gè)、中危漏洞430個(gè)、低危漏洞52個(gè)。漏洞平均分值為5.73。本周收錄的漏洞中,涉及0day漏洞387個(gè)(占59%),其中互聯(lián)網(wǎng)上出現(xiàn)“WordPressSurvey And Poll SQL注入漏洞、Sourcecodester AlumniManagement System跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的原創(chuàng)漏洞總數(shù)35692個(gè),與上周(10359個(gè))環(huán)比增加245%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計(jì)
本周漏洞事件處置情況
本周,CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件24起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件32起,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門(mén)漏洞事件581起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高??蒲性核到y(tǒng)漏洞事件191起,向國(guó)家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門(mén)戶、子站或直屬單位信息系統(tǒng)漏洞事件90起。
圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計(jì)
圖4 CNCERT各分中心處置情況按周統(tǒng)計(jì)
圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計(jì)
此外,CNVD通過(guò)已建立的聯(lián)系機(jī)制或涉事單位公開(kāi)聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
淄博閃靈網(wǎng)絡(luò)科技有限公司、重慶聚合科技有限公司、中科博華信息科技有限公司、長(zhǎng)沙市靈心康復(fù)器材有限公司、友訊電子設(shè)備(上海)有限公司、兄弟(中國(guó))商業(yè)有限公司、新天科技股份有限公司、武漢捷訊信息技術(shù)有限公司、武漢烽火眾智數(shù)字技術(shù)有限責(zé)任公司、網(wǎng)經(jīng)科技(蘇州)有限公司、天津神州浩天科技有限公司、蘇州萬(wàn)戶網(wǎng)絡(luò)科技有限公司、蘇州托普斯網(wǎng)絡(luò)科技有限公司、泗洪雷速軟件有限公司、四平市九州易通科技有限公司、四創(chuàng)科技有限公司、世邦通信股份有限公司、石家莊市征紅網(wǎng)絡(luò)科技有限公司、深圳市西迪特科技有限公司、深圳市微耕實(shí)業(yè)有限公司、深圳市必聯(lián)電子有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海億速網(wǎng)絡(luò)科技有限公司、上海藍(lán)山辦公軟件有限公司、上海斐訊數(shù)據(jù)通信技術(shù)有限公司、上海泛微網(wǎng)絡(luò)科技股份有限公司、上海貝銳信息科技股份有限公司、上海阿法迪智能數(shù)字科技股份有限公司、山西先啟科技有限公司、山東濰微科技股份有限公司、山東金鐘科技集團(tuán)股份有限公司、廈門(mén)昕桐科技有限公司、廈門(mén)海為科技有限公司、三星(中國(guó))投資有限公司、普聯(lián)技術(shù)有限公司、歐姆龍(中國(guó))有限公司、南京云網(wǎng)匯聯(lián)軟件技術(shù)有限公司、茉柏枘(上海)軟件科技有限公司、邁普通信技術(shù)股份有限公司、遼寧暢通數(shù)據(jù)通信有限公司、浪潮通用軟件有限公司、金華市寧志網(wǎng)絡(luò)科技有限公司、江蘇金智教育信息股份有限公司、佳能(中國(guó))有限公司、惠普貿(mào)易(上海)有限公司、湖南強(qiáng)智科技發(fā)展有限公司、湖南翱云網(wǎng)絡(luò)科技有限公司、衡水金航計(jì)算機(jī)科技有限公司、杭州奕銳電子有限公司、杭州三匯信息工程有限公司、杭州合泰軟件有限公司、杭州迪普科技股份有限公司、海南馳豹科技有限公司、海爾集團(tuán)電子商務(wù)有限公司、貴州覓新科技有限公司、廣州圖創(chuàng)計(jì)算機(jī)軟件開(kāi)發(fā)有限公司、廣州齊博網(wǎng)絡(luò)科技有限公司、廣州南方衛(wèi)星導(dǎo)航儀器有限公司、廣州合優(yōu)網(wǎng)絡(luò)科技有限公司、廣東紫旭科技有限公司、廣東環(huán)天電子技術(shù)發(fā)展有限公司、甘肅成興信息科技有限公司、富士膠片(中國(guó))投資有限公司、福建銀達(dá)匯智信息科技股份有限公司、福建福昕軟件開(kāi)發(fā)股份有限公司、佛山市順德區(qū)出格軟件設(shè)計(jì)有限公司、成都索貝數(shù)碼科技股份有限公司、成都思必得信息技術(shù)有限公司、常州文庭軟件有限公司、北京中航訊科技股份有限公司、北京易訊思達(dá)科技開(kāi)發(fā)有限公司、北京信安世紀(jì)科技股份有限公司、北京文網(wǎng)億聯(lián)科技有限公司、北京萬(wàn)戶網(wǎng)絡(luò)技術(shù)有限公司、北京天星組態(tài)軟件有限公司、北京天生創(chuàng)想信息技術(shù)有限公司、北京魔方恒久軟件有限公司、北京美特軟件技術(shù)有限公司、北京獵豹移動(dòng)科技有限公司、北京慧圖科技(集團(tuán))股份有限公司、北京愛(ài)奇藝科技有限公司、百度安全應(yīng)急響應(yīng)中心、愛(ài)普生(中國(guó))有限公司、信呼、大米CMS、中環(huán)CMS、小說(shuō)精品屋、物美智能、工作易人才招聘系統(tǒng)、XnSoft、Typecho、TwoThink、TOTOLINK、SEMCMS、SapidoTechnology Inc、Opto22、IrfanSkiljan、Emerson、Dnsmasq、Belkin International,Inc、Bandisoft、ApacheSoftware Foundation、DecisoB.V.和Adobe。
本周,CNVD發(fā)布了《關(guān)于ApacheLog4j2存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告》。詳情參見(jiàn)CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7116
本周漏洞報(bào)送情況統(tǒng)計(jì)
本周報(bào)送情況如表1所示。其中,廈門(mén)服云信息科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、新華三技術(shù)有限公司、哈爾濱安天科技集團(tuán)股份有限公司、恒安嘉新(北京)科技股份公司等單位報(bào)送公開(kāi)收集的漏洞數(shù)量較多。新疆海狼科技有限公司、北京華順信安科技有限公司、北京信聯(lián)科匯科技有限公司、河南信安世紀(jì)科技有限公司、河南靈創(chuàng)電子科技有限公司、廣東藍(lán)爵網(wǎng)絡(luò)安全技術(shù)股份有限公司、山東新潮信息技術(shù)有限公司、南京樹(shù)安信息技術(shù)有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、快頁(yè)信息技術(shù)有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、京東云安全、北京安帝科技有限公司、重慶都會(huì)信息科技有限公司、上海紐盾科技股份有限公司、南京領(lǐng)行科技股份有限公司、博智安全科技股份有限公司、北京云科安信科技有限公司(Seraph安全實(shí)驗(yàn)室)、廣州易東信息安全技術(shù)有限公司、福建省海峽信息技術(shù)有限公司、安徽長(zhǎng)泰科技有限公司、平安銀河實(shí)驗(yàn)室、浙江大華技術(shù)股份有限公司、星云博創(chuàng)科技有限公司、北京機(jī)沃科技有限公司、深圳市魔方安全科技有限公司、北京百度網(wǎng)訊科技有限公司、河南天祺信息安全技術(shù)有限公司、山東云天安全技術(shù)有限公司、思而聽(tīng)網(wǎng)絡(luò)科技有限公司、百度AIoT安全團(tuán)隊(duì)、浙江大學(xué)控制科學(xué)與工程學(xué)院、內(nèi)蒙古洞明科技有限公司、北京時(shí)代新威信息技術(shù)有限公司、四川博恩信息技術(shù)有限公司、北京君云天下科技有限公司、北京邊界無(wú)限科技有限公司、杭州天谷信息科技有限公司及其他個(gè)人白帽子向CNVD提交了35692個(gè)以事件型漏洞為主的原創(chuàng)漏洞,其中包括奇安信網(wǎng)神(補(bǔ)天平臺(tái))、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子報(bào)送的30259條原創(chuàng)漏洞信息。
表1 漏洞報(bào)送情況統(tǒng)計(jì)表
本周漏洞按類(lèi)型和廠商統(tǒng)計(jì)
本周,CNVD收錄了658個(gè)漏洞。WEB應(yīng)用345個(gè),應(yīng)用程序192個(gè),網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)71個(gè),智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)23個(gè),操作系統(tǒng)17個(gè),安全產(chǎn)品7個(gè),數(shù)據(jù)庫(kù)3個(gè)。
表2 漏洞按影響類(lèi)型統(tǒng)計(jì)表
圖6 本周漏洞按影響類(lèi)型分布
CNVD整理和發(fā)布的漏洞涉及石家莊市征紅網(wǎng)絡(luò)科技有限公司、淄博閃靈網(wǎng)絡(luò)科技有限公司、D-Link等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了58個(gè)電信行業(yè)漏洞,7個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,6個(gè)工控行業(yè)漏洞(如下圖所示)。其中,“D-Link DIR-615緩沖區(qū)溢出漏洞、D-LINK DIR-3040信息泄露漏洞(CNVD-2021-94832)”等漏洞的綜合評(píng)級(jí)為“高危”。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫(kù)鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計(jì)
圖4 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Adobe產(chǎn)品安全漏洞
Adobe Reader(也被稱(chēng)為Acrobat Reader)是Adobe公司開(kāi)發(fā)的一款PDF文件閱讀軟件。Adobe Acrobat是由Adobe公司開(kāi)發(fā)的一款PDF編輯軟件。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞讀取任意文件系統(tǒng),執(zhí)行任意代碼等。
CNVD收錄的相關(guān)漏洞包括:Adobe Acrobat/Reader釋放后重用漏洞(CNVD-2021-94911、CNVD-2021-94912、CNVD-2021-94913、CNVD-2021-94914)、Adobe Acrobat/Reader棧緩沖區(qū)溢出漏洞(CNVD-2021-94917、CNVD-2021-94916)、Adobe Acrobat/Reader越界寫(xiě)入漏洞(CNVD-2021-94918)、Adobe Acrobat/Reader越界讀取漏洞(CNVD-2021-94939)。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94911
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94912
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94913
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94914
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94917
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94916
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94918
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94939
2、D-Link產(chǎn)品安全漏洞
D-Link DIR-809是中國(guó)友訊(D-Link)公司的一款雙頻路由器。D-Link DIR-605L是D-link公司推出的第一款云路由器,傳輸速度為300Mpbs。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取用戶名和密碼,導(dǎo)致拒絕服務(wù)或執(zhí)行任意代碼等。
CNVD收錄的相關(guān)漏洞包括:D-Link DIR-809 formStaticDHCP緩沖區(qū)溢出漏洞、D-Link DIR-809 formSetPortTr緩沖區(qū)溢出漏洞(CNVD-2021-94717)、D-Link DIR-809 formVirtualApp緩沖區(qū)溢出漏洞、D-Link DIR-809 formVirtualServ緩沖區(qū)溢出漏洞(CNVD-2021-94719)、D-Link DIR-809 formSetPortTr緩沖區(qū)溢出漏洞、D-Link DIR-809 formWlanSetup緩沖區(qū)溢出漏洞、D-Link DIR-809 formAdvFirewall緩沖區(qū)溢出漏洞、D-Link DIR-605L信息泄露漏洞。其中,除“D-Link DIR-605L信息泄露漏洞”外,其余漏洞綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94716
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94717
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94718
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94719
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94721
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94723
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94722
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94835
3、Dell產(chǎn)品安全漏洞
Dell EMC iDRAC9是美國(guó)戴爾(DELL)公司的一套包含硬件和軟件的系統(tǒng)管理解決方案。該方案為Dell PowerEdge系統(tǒng)提供遠(yuǎn)程管理、崩潰系統(tǒng)恢復(fù)和電源控制等功能。Dell EMC PowerFlex是美國(guó)戴爾(DELL)公司的一個(gè)應(yīng)用軟件。提供極高的靈活性和可擴(kuò)展性,以及企業(yè)級(jí)性能和彈性,同時(shí)簡(jiǎn)化基礎(chǔ)設(shè)施的管理和操作。Dell OpenManage Enterprise是美國(guó)戴爾(DELL)公司的一款用于IT基礎(chǔ)架構(gòu)管理的易于使用的一對(duì)多系統(tǒng)管理控制臺(tái)。該軟件支持一個(gè)控制臺(tái)中經(jīng)濟(jì)高效地為 Dell EMC PowerEdge 服務(wù)器提供全面的生命周期管理。Dell PowerEdge Server BIOS是美國(guó)戴爾(DELL)公司的一款系統(tǒng)更新驅(qū)動(dòng)程序。Dell Emc Streaming Data Platform是美國(guó)戴爾(Dell)公司的一個(gè)用于實(shí)時(shí)攝取、存儲(chǔ)和分析連續(xù)流數(shù)據(jù)的平臺(tái)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞欺騙受害者用戶點(diǎn)擊惡意制作的鏈接,將用戶重定向到任意的鏈接地址,執(zhí)行非法SQL命令,導(dǎo)致客戶端代碼執(zhí)行等。
CNVD收錄的相關(guān)漏洞包括:Dell EMC iDRAC9跨站腳本漏洞(CNVD-2021-94891、CNVD-2021-94895、CNVD-2021-94894)、Dell EMC iDRAC9輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2021-94890)、Dell powerflex presentation server數(shù)據(jù)偽造問(wèn)題漏洞、Dell OpenManage Enterprise操作系統(tǒng)命令注入漏洞、Dell PowerEdge緩沖區(qū)溢出漏洞、Dell EMC Streaming Data Platform SQL注入漏洞。其中,“Dell PowerEdge緩沖區(qū)溢出漏洞”的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94891
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94890
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94896
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94895
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94894
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94898
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94897
https://www.cnvd.org.cn/flaw/show/CNVD-2021-95602
4、ZOHO產(chǎn)品安全漏洞
ZOHO ManageEngine SupportCenter Plus是ZOHO公司的一種基于Web的客戶支持軟件。ZOHO ManageEngine M365 Manager Plus是ZOHO公司的一個(gè)廣泛 Microsoft 365工具。ZOHO ManageEngine ADManager Plus是美國(guó)Zoho公司的一個(gè) Active Directory (AD) 管理和報(bào)告解決方案。ZOHO ManageEngine Log360是美國(guó)卓豪(ZOHO)公司的一個(gè)集成的日志管理和Active Directory審計(jì)和警報(bào)解決方案。ZOHO ManageEngine Network Configuration Manager是美國(guó)ZOHO公司的一種多供應(yīng)商網(wǎng)絡(luò)變更、配置和合規(guī)性管理 (Nccm) 解決方案。ZOHO ManageEngine ServiceDesk Plus(SDP)是美國(guó)卓豪(ZOHO)公司的一套基于ITIL架構(gòu)的IT服務(wù)管理軟件。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞通過(guò)SSO接管帳戶,獲取敏感數(shù)據(jù),遠(yuǎn)程執(zhí)行代碼等。
CNVD收錄的相關(guān)漏洞包括:ZOHO ManageEngine SupportCenter Plus跨站腳本漏洞(CNVD-2021-94825、CNVD-2021-94824)、ZOHO ManageEngine M365 Manager Plus文件上傳漏洞、ZOHO ManageEngine ADManager Plus授權(quán)問(wèn)題漏洞、ZOHO ManageEngine Log360訪問(wèn)控制錯(cuò)誤漏洞、ZOHO ManageEngine Network Configuration Manager命令注入漏洞、ZOHO ManageEngine SupportCenter Plus服務(wù)器端請(qǐng)求偽造漏洞、ZOHO ManageEngine ServiceDesk Plus遠(yuǎn)程代碼執(zhí)行漏洞。其中,“ZOHO ManageEngine M365 Manager Plus文件上傳漏洞、ZOHO ManageEngine ADManager Plus授權(quán)問(wèn)題漏洞、ZOHO ManageEngine Log360訪問(wèn)控制錯(cuò)誤漏洞、ZOHO ManageEngine Network Configuration Manager命令注入漏洞”的綜合評(píng)級(jí)為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94825
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94824
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94823
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94829
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94828
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94827
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94826
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94846
5、Philips Healthcare Tasy Electronic Medical Record(EMR) SQL注入漏洞
Philips Healthcare Tasy Electronic Medical Record (EMR)是一個(gè)全面的醫(yī)療信息學(xué)解決方案,涉及醫(yī)療環(huán)境的所有領(lǐng)域,將醫(yī)療保健連續(xù)體中臨床和非臨床領(lǐng)域的點(diǎn)連接起來(lái)。本周,Philips HealthcareTasy Electronic Medical Record (EMR)被披露存在SQL注入漏洞。攻擊者可通過(guò)CorCad_F2/executaConsultaEspecificoIE_CORPO_ASSIST或CD_USUARIO_CONVENIO參數(shù)利用該漏洞進(jìn)行SQL注入攻擊。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時(shí)關(guān)注廠商主頁(yè),以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94943
小結(jié):本周,Adobe產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞讀取任意文件系統(tǒng),執(zhí)行任意代碼等。此外,D-Link、Dell、ZOHO等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞通過(guò)SSO接管帳戶,獲取敏感數(shù)據(jù),執(zhí)行非法SQL命令,遠(yuǎn)程執(zhí)行代碼等。另外,Philips Healthcare Tasy Electronic Medical Record (EMR) 被披露存在SQL注入漏洞。攻擊者可通過(guò)CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST或CD_USUARIO_CONVENIO參數(shù)利用該漏洞進(jìn)行SQL注入攻擊。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁(yè),及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
本周重要漏洞攻擊驗(yàn)證情況
本周,CNVD建議注意防范以下已公開(kāi)漏洞攻擊驗(yàn)證情況。
1、WordPress Survey And PollSQL注入漏洞
驗(yàn)證描述
WordPress是Wordpress基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái)。WordPressSurvey and Poll是網(wǎng)站上游客直接反饋的解決方案。
WordPress Survey And Poll SQL注入漏洞,攻擊者可利用漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
驗(yàn)證信息
POC鏈接:
https://packetstormsecurity.com/files/164060/WordPress-Survey-And-Poll-1.5.7.3-SQL-Injection.html
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-95636
信息提供者
深信服科技股份有限公司
注:以上驗(yàn)證信息(方法)可能帶有攻擊性,僅供安全研究之用。請(qǐng)廣大用戶加強(qiáng)對(duì)漏洞的防范工作,盡快下載相關(guān)補(bǔ)丁。
來(lái)源:國(guó)家信息安全漏洞共享平臺(tái)