免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 CKEditor安全漏洞(CVE-2021-41165)
一、漏洞描述:
CKEditor是一套开源的、基于网页的文字编辑器。
CKEditor 4 中存在跨站脚本漏洞,该漏洞源于产品未对输入数据的特殊字符做有效过滤。攻击者可通过该漏洞执行客户端代码。
二、风险等级:
高危
三、影响范围:
CKEditor < 4.17.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/ckeditor/cked ... GHSA-7h26-63m7-qhf2
2 Sky路由器安全漏洞
一、漏洞描述:
Sky公司花了17个多月的时间修复了一个安全漏洞,该漏洞影响了大约600万台属于其客户的路由器。英国网络安全公司Pen Test Partners的研究员Raf Fini于2020年5月发现了DNS重绑定漏洞。
该漏洞可能将受害者的家庭网络暴露在互联网上,使网络罪犯能够直接访问受害者的计算机和设备。
二、风险等级:
高危
三、影响范围:
Sky Hub
Sky Hub 3
Sky Hub 3.5
Sky Hub 4
Booster 3
Booster 4
四、修复建议:
参考链接:
https://www.infosecurity-magazin ... uter-flaw-slow-fix/
3 Wireshark多个安全漏洞
一、漏洞描述:
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark发布安全公告,修复了多个漏洞。漏洞详情如下:
CVE-2021-39924
漏洞类型:拒绝服务
漏洞说明:打开格式错误的数据包可能会使 Wireshark 消耗过多的 CPU 资源。
CVE-2021-39929
漏洞类型:拒绝服务
漏洞说明:打开格式错误的数据包可能会使 Wireshark 崩溃。
CVE-2021-39920
漏洞类型:拒绝服务
漏洞说明:打开格式错误的数据包可能会使 Wireshark 崩溃。
CVE-2021-39928
漏洞类型:拒绝服务
漏洞说明:打开格式错误的数据包可能会使 Wireshark 崩溃。
CVE-2021-39922
漏洞类型:拒绝服务
漏洞说明:打开格式错误的数据包可能会使 Wireshark 崩溃。
CVE-2021-39925
漏洞类型:拒绝服务
漏洞说明:打开格式错误的数据包可能会使 Wireshark 崩溃。
CVE-2021-39926
漏洞类型:拒绝服务
漏洞说明:打开格式错误的数据包可能会使 Wireshark 崩溃。
二、风险等级:
中危
三、影响范围:
3.2.0<=Wireshark<=3.2.17
3.4.0<=Wireshark<=3.4.9
四、修复建议:
Wireshark官方已经在3.4.10和3.2.18版本修复上述漏洞,用户请尽快升级到安全版本,官方下载链接:
https://www.wireshark.org/download.html |
发表于 2021-11-22 09:45