设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 安全预警 漏洞风险提示(20211205)
返回列表 发新帖

漏洞风险提示(20211205)

[复制链接]
发表于 2021-12-4 23:36 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 ZOHO ManageEngine ServiceDesk Plus授权问题漏洞(CVE-2021-44077)
一、漏洞描述:
       
        ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。
        ZOHO ManageEngine ServiceDesk Plus 存在安全漏洞,未经身份验证的攻击者可以远程执行代码。
二、风险等级:
          高危
三、影响范围:
        Zoho ManageEngine ServiceDesk Plus < 11306
        ServiceDesk Plus MSP < 10530
        SupportCenter Plus < 11014
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://pitstop.manageengine.com ... to-11305-22-11-2021

2 WordPress Stetic跨站请求伪造漏洞(CVE-2021-42364)
一、漏洞描述:
       
        WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 插件是WordPress开源的一个应用插件。
        WordPress插件 Stetic 1.0.6及其之前版本存在跨站请求伪造漏洞,该漏洞源于~/Stetic .php文件中缺少stats_page函数的nonce验证,这使得攻击者可利用该漏洞有可能在1.0.6及以下的版本中注入任意的Web脚本。
二、风险等级:
          高危
三、影响范围:
        Stetic <= 1.0.6
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://wordfence.com/vulnerability-advisories/#CVE-2021-42364

3 Huawei ESE620X vESS缓冲区错误漏洞(CVE-2021-39999)
一、漏洞描述:
        827.png
        Huawei ESE620X vESS是中国华为(Huawei)公司的一个虚拟企业服务控制器。提供语音,视频,中继通信和与行业相关的服务。
        Huawei eSE620X vESS 中存在缓冲区错误漏洞,该漏洞源于产品未对数据包内容进行充分验证。攻击者可通过该漏洞导致拒绝服务。
二、风险等级:
          高危
三、影响范围:
        Huawei eSE620X vESS
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.huawei.com/cn/psirt/ ... 211201-01-buffer-cn

4 D-Link DIR-809缓冲区错误漏洞(CVE-2021-33265)
一、漏洞描述:
        1621.png
        D-Link DIR-809是中国友讯(D-Link)公司的一款双频路由器。
        D-Link DIR-809 设备固件版本 DIR-809Ax_FW1.12WWB03_20190410 存在安全漏洞,该漏洞源于软件中formSetPortTr的FUN_80046eb4函数中存在堆栈缓冲区溢出漏洞。此漏洞是通过精心设计的POST请求触发的。
二、风险等级:
          高危
三、影响范围:
        D-Link DIR-809
四、修复建议:
        目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商安全公告以获取解决办法:
        https://www.dlink.com/en/security-bulletin/

5 VMware vCenter服务端请求伪造漏洞
一、漏洞描述:
       
        VMware vCenter Server中存在服务端请求伪造漏洞(SSRF),未经授权的远程攻击者可以通过此漏洞对服务器进行SSRF攻击,造成服务端敏感信息泄露。
二、风险等级:
          高危
三、影响范围:
        VMware vCenter Server 7.0.2.00100 & 7.0.2.00000
四、修复建议:
        可通过检查服务端 /etc/vmware/vsphere-ui/cm-service-packages/com.vmware.cis.vsphereclient.plugin/com.vmware.h4.vsphere.client-0.4.x.0/plugins/ 目录下是否存在 h5-vcav-bootstrap-service.jar 包的方式来自查安全状况,若存在则可升级至官方最新版本以避免受此漏洞影响。
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 15:14

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表