各大廠牌軟硬體高風險弱點摘要
|
廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
IBM | MQ | 1 | IBM MQ 和 IBM MQ Appliance 9.0、9.1、9.2、9.3 LTS 和 9.3 CD 可能允許未經身份驗證的遠端攻擊者因不正確的緩衝邏輯而導致阻斷服務。 | CVE-2024-25016
|
IBM | sterling_connect:express_for_unix | 1 | IBM Connect:Express for UNIX 1.5.0 易受到緩衝區溢位的攻擊,遠端攻擊者可能會透過其瀏覽器 UI 造成阻斷服務。 | CVE-2023-32331
|
vmware | cloud_director | 1 | VMware Cloud Director 存在部分資訊外洩弱點。 駭客可能會根據特定行為收集有關組織名稱的資訊。 | CVE-2024-22256
|
vmware | esxi | 1 | VMware ESXi、Workstation 和 Fusion 的 XHCI USB 控制器有弱點。 具有虛擬機器管理權限的駭客可能會利用此弱點執行任意程式碼。 | CVE-2024-22252
|
vmware | esxi | 1 | VMware ESXi、Workstation 和 Fusion 的 UHCI USB 控制器有弱點。 具有虛擬機器管理權限的駭客可能會利用此弱點執行任意程式碼。 | CVE-2024-22253
|
vmware | esxi | 1 | VMware ESXi 有越界寫入弱點。 在 VMX 進程中擁有特權的惡意行為者可能會觸發越界寫入,導致沙箱逃逸。 | CVE-2024-22254
|
vmware | esxi | 1 | VMware ESXi、Workstation 和 Fusion 的 UHCI USB 控制器存在資訊外洩弱點。 具有虛擬機器管理權限的駭客可能會利用此弱點釋放系統記憶體。 | CVE-2024-22255
|
robotsandpencils | go-saml | 1 | RobotsAndPencils go-saml 在所有已知版本中都包含身份驗證弱點。 | CVE-2023-48703
|
silicon_labs | z-wave_sdk | 1 | 此弱點可能允許 Z-Wave 未經身份驗證的攻擊者溢位堆疊緩衝區,從而導致任意程式碼執行。 | CVE-2023-51395
|
videogallery | imeography:_vimeo_video_gallery_wordpress_plugin | 1 | 用於WordPress 的Vimeography:Vimeo Video Gallery WordPress Plugin 外掛程式在2.3.2 及之前的所有版本中都容易受到PHP 物件注入的攻擊,駭客可以刪除任意檔案、檢索敏感資料或執行程式碼。 | CVE-2024-0825
|
zeromicro | go-zero | 1 | Go-zero 允許使用者使設定參數指定 CORS 過濾器存在弱點,會導致透過惡意繞過。 此弱點能夠破壞 CORS 功能,從而允許任何使用者發出請求和/或檢索資料。 | CVE-2024-27302
|
zksoftware | biometric_security_solutions -- uface_5 | 1 | ZKSoftware 生物辨識安全解決方案 UFace 5 中存在弱點,導致可繞過身分驗證。 | CVE-2023-7103
|
acowebs | pdf_invoices_and_packing_slips_for_woocommerce | 1 | WordPress 的 WooCommerce 外掛程式 PDF Invoices & Packing Slips 1.3.7 (含)之前版本存在弱點。由於 order_id 參數對不受信任的輸入進行反序列化,具有訂閱存取權限的攻擊者可以藉由該弱點注入 PHP 物件。進而存取機敏資訊料或執行任意程式碼。 | CVE-2024-1773
|
apple | ipad_os | 1 | Apple 的 iOS 16.76 之前版本、iPadOS 16.7.6 之前版本、iOS 17.4 之前版本和 iPadOS 17.4 之前版本存在記憶體損壞弱點。該弱點為具記憶體讀寫權限的攻擊者可規避內核記憶體驗證,進而利用執行任意程式碼,建議下載版本更新。 | CVE-2024-23225
|
apple | ipad_os | 1 | Apple 的 iOS 17.4 之前版本和 iPadOS 17.4 之前版本存在記憶體損壞弱點。該弱點為具記憶體讀寫權限的攻擊者可規避內核記憶體驗證,進而利用執行任意程式碼,建議下載版本更新。 | CVE-2024-23296
|
arista_networks | arista_edge_threat_management_-_arista_ng_firewall_(ngfw) | 1 | Arista NG 防火牆 的 Arista Edge 威脅管理報告應用程式中存在多個 SQL 注入弱點。 具報表應用程式較高存取權限的使用者可以利用該弱點,進而允許以提升權限在底層作業系統上執行任意指令。 | CVE-2024-27889
|
cisco | cisco_secure_client | 1 | Cisco Secure client 的 SAML 驗證存在 CRLF 注入弱點。由於對用戶提供的輸入未正確驗證,攻擊者可藉由引誘用戶在建立 VPN 會話時點擊偽造連結來利用該弱點,可能允許攻擊者在瀏覽器中執行任意腳本程式碼或存取機敏資訊(包括 SAML token)。 | CVE-2024-20337
|
cisco | cisco_secure_client | 1 | Cisco Secure client ( for Linux) 的 ISE Posture (系統掃描) 模組存在弱點。由於使用未定搜尋路徑元素,攻擊者可藉由將偽造檔案複製到特定目錄,並使管理員重新啟動特定排程,進而允許攻擊者以 root 權限在受影響的裝置上執行任意程式碼。 | CVE-2024-20338
|
dell | dell_digital_delivery_(d3) | 1 | Dell Digital Delivery 5.0.86.0 之前版本存在記憶體釋放後濫用 (UAF) 弱點。本地攻擊者可藉由該弱點,導致系統應用程式意外中止或執行任意程式碼。 | CVE-2024-0155
|
dell | dell_digital_delivery_(d3) | 1 | Dell Digital Delivery 5.0.86.0 之前版本存在緩衝區溢位弱點。 本地攻擊者可藉由該弱點,導致提升權限或執行任意程式碼 | CVE-2024-0156
|
dell | dell_display_and_peripheral_manager | 1 | Dell Display and Peripheral Manager (for macOS 1.3 之前版本) 存在驗證存取弱點。低權限攻擊者可藉由修改安裝資料夾中的檔案,進而執行任意程式碼或導致提升權限。 | CVE-2024-22452
|
dell | integrated_dell_remote_access_controller_8 | 1 | Dell 產品 iDRAC 2.85.85.85 之前版本的 RACADM 存在注入弱點。惡意攻擊者可藉由該弱點取得受影響設備的作業系統控制權限。 | CVE-2024-25951
|
dell | powerscale-onefs | 1 | Dell PowerScale OneFS (8.2.x 至 9.6.0.x) 版本存在加密演算法弱點。遠端攻擊者可能藉由該弱點取得機敏資訊。 | CVE-2024-22463
|
hashicorp | vault | 1 | hashicorp 的 Vault 和 Vault Enterprise TLS 憑證驗證方法存在弱點。此配置中攻擊者可能藉由偽造的惡意憑證規避身份驗證。已在 Vault 1.15.5 和 1.14.10 中修復,建議下載版本更新。 | CVE-2024-2048
|