各大廠牌軟硬體高風險弱點摘要
|
廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
Billion | 5200w-t_firmware | 7 | 1.該為注入弱點,未經身分驗證攻擊者, 位於ViewLog.asp頁面中,可以通過remote_host參數進行利用。2.該為注入弱點,未經身分驗證攻擊者,位於adv_remotelog.asp頁面中,可以通過syslogServerAddr參數進行利用。3.該為注入弱點,未經身分驗證攻擊者,位於logSet.asp頁面中,可以通過ServerIP參數進行利用。4.該弱點為,用戶名為true,密碼為true,用戶名為supervisor,密碼為zyad1234,這些帳號可用於登錄Web,利用經過身份驗證執行注入命令,及更改路由器設定。5.該注入弱點位於路由器時間設定中,只有經過身份驗證的用戶才能訪問該弱點。位於tools_time.asp頁面中,可以通過uiViewSNTPServer參數進行利用。6.該弱點為,用戶名為true,密碼為true,用戶名為user3,密碼由重複的0123456789組成,這些帳號可用於登錄Web,利用經過身份驗證執行注入命令,及更改路由器設定。7.該弱點為,用戶名為true,密碼為true,這些帳號可用於登錄Web,利用經過身份驗證執行注入命令,及更改路由器設定。 | CVE-2017-18368 CVE-2017-18369 CVE-2017-18370 CVE-2017-18371 CVE-2017-18372 CVE-2017-18373 CVE-2017-18374
|
Checkpoint | Endpoint_security | 1 | 此弱點為,攻擊者可冒充WPAD伺服器,將BAT命令寫入文件中,再由用戶或系統執行。 | CVE-2019-8454
|
Barco | Wepresent_wipg-1000p_firmware | 2 | 1.此弱點,可讓未經身分驗證的遠端攻擊者,進行注入攻擊,並以ROOT權限執行任意指令。2.此弱點為堆疊緩衝區溢位,可使遠端攻擊者利用精心設計的封包,以ROOT權限執行任意指令。 | CVE-2019-3929 CVE-2019-3930
|
Cisco | Nexus_93108tc-ex_firmware | 1 | Cisco 指出,本弱點來自於SSH加密公、私鑰以預設狀態被誤放於裝置上,讓攻擊者得以透過IPv6開啟SSH連線連結目標裝置,並以系統管理員權限存取系統,可用於植入惡意程式、刪改資料或竊密。 | CVE-2019-1804
|
Fujifilm | Cr-ir_357_fcr_capsula_x_firmware | 2 | 1.Fujifilm CR-IR 357 FCR Carbon X、FCR XC-2和FCR Capsula X中存在資源管理錯誤弱點,該弱點源於網路系統或產品對系統資源(如記憶體、磁碟空間、文件等)的管理不當。2.Fujifilm CR-IR 357 FCR Carbon X、FCR XC-2和FCR Capsula X中存在輸入驗證錯誤弱點。該弱點源於網路系統或產品未對輸入的數據進行正確的驗證。 | CVE-2019-10948 CVE-2019-10950
|
Facebook | Hhvm | 1 | Facebook HHVM 4.0.3及之前版本、3.30.4及之前版本和3.27.7及之前版本中存在安全弱點,該弱點源於程序沒有進行充分地邊界檢查。攻擊者可利用該弱點越界訪問記憶體。 | CVE-2019-3561
|
Doorgets | Doorgets_cms | 1 | doorGets 7.0版本中存在信任管理問題弱點。該弱點源於網路系統或產品中缺乏有效的信任管理機制。攻擊者可利用默認密碼或者寫死的密碼、寫死的證書等攻擊受影響元件。 | CVE-2019-11618
|
Dillonkane | Tidal_workload_automation | 1 | Dillon Kane Tidal Workload Automation Agent 3.2.0.5版本中的Enterprise Scheduler存在參數注入弱點,該弱點源於外部輸入資料構造命令參數的過程中,網路系統或產品未正確過濾參數中的特殊字符。攻擊者可利用該弱點執行非法命令。 | CVE-2019-6689
|
Dhcpcd_project | Dhcpcd | 1 | dhcpcd 7.2.1之前版本中的dhcp6.c文件的''dhcp6_findna''函數中存在緩衝區溢位弱點。該弱點源於網路系統或產品在記憶體上執行操作時,未正確驗證數據邊界,導致向關聯的其他記憶體位置上執行了錯誤的讀寫操作。攻擊者可利用該弱點導致緩衝區溢位或堆疊溢位等。 | CVE-2019-11577
|
Dell | Idrac6_firmware | 2 | 1.多款Dell產品中存在緩衝區錯誤弱點。該弱點源於網路系統或產品在記憶體上執行操作時,未正確驗證數據邊界,導致向關聯的其他記憶體位置上執行了錯誤的讀寫操作。攻擊者可利用該弱點導致緩衝區溢位或堆疊溢位等。2.Dell EMC iDRAC9中存在身份驗證繞過弱點。遠端攻擊者可通過發送特製的資料利用該弱點繞過身份驗證,獲取系統的訪問權限。 | CVE-2019-3705 CVE-2019-3706
|
Crestron | Am-100_firmware | 5 | 1.帶有韌體1.6.0.2版本的Crestron AM-100和帶有韌體2.7.0.2版本的AM-101中存在命令注入弱點。該弱點源於外部輸入數據構造可執行命令過程中,網路系統或產品未正確過濾其中的特殊元素。攻擊者可利用該弱點執行非法命令。2.帶有韌體1.6.0.2版本的Crestron AM-100和帶有韌體2.7.0.2版本的AM-101中存在信任管理問題弱點。該弱點源於網路系統或產品中缺乏有效的信任管理機制。攻擊者可利用默認密碼或者寫死的密碼、寫死的證書等攻擊受影響元件。 | CVE-2019-3925 CVE-2019-3926 CVE-2019-3931 CVE-2019-3932 CVE-2019-3939
|
smartbear | readyapi | 1 | SmartBear ReadyAPI 2.5.0版本和2.6.0版本中的WSDL導入功能存在安全性弱點。遠端攻擊者可借助WSDL檔中特製的請求參數利用該弱點執行任意的Java程式碼。 | CVE-2018-20580
|
oracle | weblogic_server | 1 | Oracle Fusion Middleware中的WebLogic Server組件10.3.6.0.0版本和12.1.3.0.0版本的Web Services子組件存在安全性弱點。攻擊者可利用該弱點控制元件,影響資料的完整性、可用性和保密性。 | CVE-2019-2725
|
signing-party_project | signing-party | 1 | signing-party 1.1.x版本和2.10-1之前的2.x版本中的gpg-key2ps存在命令注入弱點。該弱點源於外部輸入資料構造可執行命令過程中,網路系統或產品未正確過濾其中的特殊元素。攻擊者可利用該弱點執行非法命令。 | CVE-2019-11627
|
zohocorp | manageengine_firewall_analyzer | 2 | 1.ZOHO ManageEngine Firewall Analyzer 12.3 Build 123224之前版本中的Custom Report導入功能存在程式碼問題弱點。該弱點源於網路系統或產品的程式碼開發過程中存在設計或實現不當的問題。2.ZOHO ManageEngine Firewall Analyzer 12.3 Build 123218之前版本中存在SQL注入弱點。該弱點源自資料庫的應用缺少對外部輸入SQL語句的驗證。攻擊者可利用該弱點執行非法SQL命令。 | CVE-2019-11677 CVE-2019-11678
|
tabslab | mailcarrier | 1 | ZOHO ManageEngine Firewall Analyzer 12.3 Build 123224之前版本中的Custom Report導入功能存在程式碼問題弱點。該弱點源於網路系統或產品的程式碼開發過程中存在設計或實現不當的問題。 | CVE-2019-11682
|
mozilla | firefox | 7 | 1.Mozilla Firefox 66之前版本和Firefox ESR 60.6之前版本中存在安全性弱點。遠端攻擊者可利用該弱點任意讀取和寫入物件。2.Mozilla Firefox 66之前版本和Firefox ESR 60.6之前版本中存在安全性弱點。遠端攻擊者可通過誘使用戶訪問特製的網站利用該弱點造成阻斷服務(記憶體損壞和崩潰)。3.該為注入弱點,未經身分驗證攻擊者,位於logSet.asp頁面中,可以通過ServerIP參數進行利用。4.該弱點為,有三個默認密碼的帳號,一個用戶名為true,密碼為true,一個用戶名為supervisor,密碼為zyad1234,這些帳號可用於登錄Web,利用經過身份驗證執行注入命令,及更改路由器設定。5.該注入弱點位於路由器時間設定中,只有經過身份驗證的用戶才能訪問該弱點。位於tools_time.asp頁面中,可以通過uiViewSNTPServer參數進行利用。6.該弱點為,有三個默認密碼的帳號,一個用戶名為true,密碼為true,一個用戶名為user3,密碼由重複的0123456789組成,這些帳號可用於登錄Web,利用經過身份驗證執行注入命令,及更改路由器設定。7.該弱點為,用戶名為true,密碼為true,這些帳號可用於登錄Web,利用經過身份驗證執行注入命令,及更改路由器設定。 | CVE-2019-9791 CVE-2019-9792 CVE-2019-9794 CVE-2019-9795 CVE-2019-9796 CVE-2019-9804 CVE-2019-9805
|
linux | linux_kernel | 1 | Linux kernel 5.x版本至5.0.11版本中的net/ipv4/udp_offload.c檔的udp_gro_receive_segment存在資源管理錯誤弱點。該弱點源於網路系統或產品對系統資源(如記憶體、磁碟空間、檔等)的管理不當。 | CVE-2019-11683
|
gitea | gitea | 1 | Gitea 1.8.0之前版本中存在授權問題弱點。該弱點源於網路系統或產品中缺少身份驗證措施或身份驗證強度不足。 | CVE-2019-11576
|