資安通告:06/13~06/19 資安弱點威脅彙整週報
2022-06-27
風險等級: 高度威脅
摘  要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
citrixapplication_delivery_management1Citrix 產品存在遠端安全性驗證弱點。該弱點可能影響包括在設備重啟?重置管理員密碼,進而允許具有 ssh 存取權限的攻擊者在設備重啟後使用預設管理員憑證進行連線。CVE-2022-27511

dellsupportassist_for_business_pcs1Dell SupportAssist Client Consumer 3.11.0 (含)之前版本、Dell SupportAssist Client Commercial 3.2.0 (含)之前版本存在權限提升弱點。非管理員用?可以利用該弱點並獲得對系?的管理員存取權限。CVE-2022-29092

dellsupportassist_for_business_pcs1Dell SupportAssist Client Consumer 3.10.4 (含)之前版本、Dell SupportAssist Client Commercial 3.1.1 (含)之前版本存在跨站點?本弱點。遠端未經身份驗證的惡意用?可能會在特定條件下利用此弱點,可能在易受攻擊的系?上執行惡意程式碼。CVE-2022-29095

huaweicv81-wdm_firmware1CV81-WDM FW 韌體版本 01.70.49.29.46 存在緩衝區溢出弱點。成功利用此弱點可能會導致權限提升。CVE-2022-29797

huaweicv81-wdm_firmware1CV81-WDM FW 韌體版本 01.70.49.29.46 中存在服務阻斷弱點。成功利用該弱點可能會導致服務阻斷情況。CVE-2022-29798

huaweiflmg-10_firmware1FLMG-10 10.0.1.0 韌體版本 (H100SP22C00) 中存在不正确的身份驗證弱點。成功利用此弱點可能?導致對受駭設備的控制。CVE-2022-22259

phplistphplist1在 PHPList 版本 3.2.6 存在安全性弱點。該弱點會影響組件 (/lists/index.php) 的一些編輯訂閱操作導致 sql 注入情況,攻擊可以遠端發起。建議組件升?到版本 3.3.1 可解決該弱點。CVE-2017-20029

phplistphplist1在 PHPList 版本 3.2.6 存在安全性弱點。該弱點會影響組件訂閱操作導致 sql 注入情況,攻擊可以遠端發起。建議組件升?到版本 3.3.1 可解決該弱點。CVE-2017-20032

realvncvnc_server1RealVNC VNC 伺服器 6.9.0 至 5.1.0 版本 (Windows) 允許本地權限提升弱點。該弱點因?安?程序修復操作將 %TEMP% 檔案作為 SYSTEM 權限執行。CVE-2022-27502

sicunetaccess_control1SICUNET 存取控制器 0.32-05z 存在安全性弱點。該弱點導致弱規避身份驗證,攻擊可以遠端發起。CVE-2017-20039

sicunetaccess_control1SICUNET 存取控制器 0.32-05z 存在安全性弱點。該弱點由於組件 card_scan_decoder.php 對參數 No/door 操作導致特權升級,攻擊可以遠端發起。CVE-2017-20038

影響系統:
    受影響廠牌如下:
  • citrix
  • dell
  • huawei
  • phplist
  • realvnc
  • sicunet
解決辦法: 詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb22-171 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-171 )
參考資訊: US-CERT