漏洞风险提示（20211209）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Tenda AC15缓冲区溢出漏洞（CVE-2021-44352）
一、漏洞描述：
       
        AC15是深圳市吉祥腾达科技有限公司2015年10月推出的一款1900M 无线路由器。
        该漏洞的存在是由于goform/SetIpMacBind 中的“list”参数存在边界错误。远程未经身份验证的攻击者可以触发基于堆栈的缓冲区溢出并在目标系统上执行任意代码。成功利用此漏洞可能会导致易受攻击的系统完全受到攻击。
二、风险等级：
          高危
三、影响范围：
        Tenda AC15 = V15.03.05.18_multi
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，用户请尽快更新至安全版本V15.03.05.19。详情请关注厂商主页：
        https://www.smallnetbuilder.com/ ... ifi-router-reviewed

---

2 GOautodial安全漏洞（CVE-2021-43175）
一、漏洞描述：
       
        GOautodial是下一代开源全渠道联络中心套件。
        Goautodial 存在安全漏洞，该漏洞源于软件当中的API 没有正确验证用户名和密码，允许调用者为参数指定任何值并成功地进行身份验证。
二、风险等级：
          高危
三、影响范围：
        GOautodial API < 15a40bc
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.synopsys.com/blogs/s ... al-vulnerabilities/

---

3 JAMF Jamf Pro SSRF漏洞（CVE-2021-40809）
一、漏洞描述：
       
        JAMF Jamf Pro是美国Jamf（JAMF）公司的一套Apple设备管理解决方案。
        Jamf Pro 存在安全漏洞，该漏洞源于在10.32.0之前的Jamf Pro中发现了一个问题，即PI-009921，为了响应使用特定登录工作流的身份验证，可能会向帐户授予错误的特权。它允许攻击者强迫web服务器向任意域发出HTTP请求。它可能导致各种恶意活动，包括数据盗窃和远程代码执行。
二、风险等级：
          高危
三、影响范围：
        Jamf Pro < 10.32.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
        https://www.jamf.com/resources/p ... -pro-release-notes/

---

4 Sonicwall SMA 100系列多个漏洞
一、漏洞描述：
       
        SMA（SonicWall Secure Mobile Access）是统一的安全访问网关，使组织能够随时随地以任何设备访问任何应用程序。
        SonicWall发布安全公告，修复了8个存在于Sonicwall SMA 100系列中的漏洞。其中，2个严重漏洞，4个高危漏洞，2个中危漏洞，漏洞详情如下：
       
二、风险等级：
          高危
三、影响范围：
        SonicWall SMA100 <= 10.2.1.0-17sv
        SonicWall SMA100 <= 10.2.1.1-19sv
        SonicWall SMA100 <= 10.2.1.2-24sv
        SonicWall SMA100 <= 9.0.0.11-31sv*
        SonicWall SMA100 <= 10.2.0.8-37sv
四、修复建议：
        厂商已发布补丁修复漏洞，用户请尽快更新至安全版本10.2.1.3-27sv、10.2.0.9-41sv。详情请关注厂商主页：
        https://www.sonicwall.com/

---