内容简介:随着大数据时代的发展,互联网的技术更是突飞猛进。同时也给了网络犯罪分子带来了有利条件,他们会通过各种方式去给企业造成不同程度的威胁。而我们最常见的就是他们通过程序系统漏洞或者源码漏洞等方式。今天小编关注到CNVD即(国家信息安全漏洞共享平台)统计发布了近期出现的几大疑似漏洞,做为网络运维的我们需要了解下。1、Sequelize SQL注入漏洞 ,是一款用于Node.js的数据库ORM(对象关系映射)工具。
随着大数据时代的发展,互联网的技术更是突飞猛进。同时也给了网络犯罪分子带来了有利条件,他们会通过各种方式去给企业造成不同程度的威胁。而我们最常见的就是他们通过程序系统漏洞或者源码漏洞等方式。今天小编关注到CNVD即(国家信息安全漏洞共享平台)统计发布了近期出现的几大疑似漏洞,做为网络运维的我们需要了解下。
1、Sequelize SQL注入漏洞 ,是一款用于Node.js的数据库ORM(对象关系映射)工具。
漏洞描述:Sequelize 5.8.11之前版本中存在 SQL 注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
2、Mozilla Thunderbird类型混淆漏洞,是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。
漏洞描述:Mozilla Thunderbird 60.7.1 之前版本中的icalproperty.c文件存在类型混淆漏洞。攻击者可通过诱使用户打开特制的邮件利用该漏洞造成应用程序崩溃。
3、歪酷CMS存在文件上传漏洞,是一套内容管理系统。
漏洞描述:歪酷CMS存在文件上传漏洞,攻击者利用该漏洞获取网站服务器控制权。
4、TPshop开源商城系统Ap * .php文件存在SQL注入漏洞,TPshop一套多商家模式的商城系统。
漏洞描述:TPshop开源商城系统Ap * .php文件存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
5、致远A8+协同管理软件存在远程Getshell漏洞,是一款协同管理软件及云服务的供应商,专注专注在协同管理软件领域。
漏洞扫描:致远A8+协同管理软件存在远程Getshell漏洞。攻击者通过上传精心构造的后门文件即可Getshell,获得目标服务器的权限。
6、IBM Security Access Manager Appliance开放重定向漏洞,是美国IBM公司的一款基于网络设备的安全解决方案。该产品主要用于访问控制和基于Web的威胁防护,提供系统性能监控、日志分析和诊断等功能。
漏洞描述:IBM ISAM Appliance中存在安全漏洞。攻击者可通过诱使用户访问特制的网站利用该漏洞伪造URL,将用户重定向到恶意的网站,获取敏感信息或实施其他攻击。
7、Mozilla Firefox和Firefox ESR安全绕过漏洞(CNVD-2019-19289),两款都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。
漏洞扫描:Mozilla Firefox 67.0.4之前版本和Firefox ESR 60.7.2之前版本中存在安全漏洞。攻击者可通过诱使用户访问特制的网站利用该漏洞绕过安全限制。
8、RDK WebUI组件访问控制错误漏洞和RDK CcspWifiAgent模块命令执行漏洞,是RDK Management社区的两套模块化、可移植、可定制的开源物联网软件解决方案。CcspWifiAgent是其中的一个支持WiFi功能的模块。
漏洞扫描:RDK RDKB-20181217-1版本中的WebUI组件的actionHandlerUtility.php文件存在访问控制错误漏洞。攻击者可通过向 PHP 后端发送HTTP POST请求利用该漏洞控制DDNS、QoS、RIP和其他的特权配置。
漏洞描述:RDK RDKB-20181217-1版本中的CcspWifiAgent模块的cosa_wifi_apis.c文件存在安全漏洞。攻击者可通过将Wi-Fi网络密码更改成包含有特制转义字符的密码利用该漏洞执行任意的 shell 命令。
针对以上疑似漏洞的程序,墨者安全建议去相对应的官方网站下载最新的补丁程序进行更新;
对待开源商城模式的漏洞、电子邮件的混淆漏洞等重点排查,账号密码更改;
做一些临时缓解的措施,配置URL访问控制策略;
采用专业的查杀 工具 进行查杀处理,重点扫描;
找专业的安全技术人员帮忙协助做深入的排查等。
(注:漏洞信息转载于CNVD即国家信息安全漏洞共享平台)
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 疑似“Group 123” APT团伙利用HWP软件未公开漏洞的定向攻击分析
- 疑似MuddyWater最新攻击活动分析
- ikun 潜入?疑似 B 站后台源码泄露
- 小米疑似误推送“MIUI 11”,已火速撤包
- 疑似国内某知名团伙的最新挖矿脚本分析
- 勒索软件Ryuk幕后主使者疑似来自俄罗斯
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
互联网运营实战手册
李春雷 / 人民邮电出版社 / 2017-4 / 49.80元
为什么网络推广做不起来?微信文章也是套路?标题党的背后是什么?把服务器搞瘫痪的活动是怎么玩出来的?社群究竟要如何运营?数据又该如何运营?你会任务分解吗? 《互联网运营实战手册》详细剖析了网站(产品)的运营技巧与实战,涵盖实用的互联网运营方法,是作者从多年的实战中提炼出的运营心得和精华,涉及运营技巧、运营工具和运营思维方法。详细讲解了用户运营、内容运营、新媒体运营、社群运营、活动运营和数据运营......一起来看看 《互联网运营实战手册》 这本书的介绍吧!