0371-63319761
您的当前位置:主页 > 安全研究 > 行业新闻 >

近期物联设备安全漏洞(5月第2期)

时间:2022-05-27

01 IoT智能设备漏洞
 
QNAP NAS TFTP 跨站脚本漏洞
 
漏洞代号:CVE-2021-38674
 
漏洞类型:跨站脚本漏洞
 
漏洞介绍:
QNAP Systems QUTS Hero是中国威联通(QNAP Systems)公司的一款用于管理文件的NAS操作系统。
QNAP QTS、QuTS Hero、QuTScloud中的 TFTP 服务器存在反射型跨站脚本漏洞。远程攻击者可利用该漏洞注入恶意代码。
 
影响产品/版本:
QNAP QNAP QTS < 4.5.4.1787 build 20210910
QNAP QNAP QuTS Hero < h4.5.4.1771 build 20210825
QNAP QNAP QuTScloud < c4.5.7.1864

TOTOLINK A3100R 存在命令执行漏洞
 
漏洞编号:CVE-2022-29640
 
漏洞类型:命令执行
 
漏洞介绍:
TOTOLINK A3100R是一款无线路由器。
TOTOLINK A3100R存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
 
影响产品/版本:
TOTOLINK A3100R V4.1.2cu.5050
 
TOTOLINK EX200 命令注入漏洞
 
漏洞编号:CVE-2021-43711
 
漏洞类型:命令注入
 
漏洞介绍:
TotoLink Ex200是TotoLink公司的一款2.4G无线N范围扩展器。
ToTolink Ex200 4.0.3c.7646_B20201211版本的某个文件存在命令注入漏洞。未经身份认证的攻击者可利用该漏洞通过构造参数名称执行命令。
 
影响产品/版本:
TOTOLINK EX200 4.0.3c.7646_B20201211
 
02 其他热门漏洞
 
NO.1 Fastjson 反序列化远程代码执行漏洞
 
漏洞编号:N/A
 
漏洞信息:
Fastjson由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。
Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。
该漏洞影响范围较大,建议广大用户及时自查修复。
官方已经发布修复补丁:https://github.com/alibaba/fastjson/releases
 
影响版本:
Fastjson ≤ 1.2.80
 
NO.2 ZOOM CLIENT FOR MEETINGS 解析漏洞
 
漏洞编号:CVE-2022-22784
 
漏洞信息:
ZOOM Client是美国ZOOM公司的一款支持多种平台的视频会议客户端应用程序。
Zoom Client for Meetings 5.10.0之前版本存在安全漏洞,该漏洞源于程序 XML 解析不正确。攻击者可利用该漏洞破坏当前的 XMPP 环境,并创建新的环境以允许客户端执行任意操作。
 
影响版本:
Zoom Client for Meetings < 5.10.0
 
NO.3 Apache James 命令注入漏洞
 
漏洞编号:CVE-2021-38542
 
漏洞信息:
Apache James,又名Java Apache Mail Enterprise Server或其变体,是完全用Java编写的开源SMTP和POP3邮件传输代理和NNTP新闻服务器。James由Apache Software Foundation的贡献者维护。
Apache James 3.6.1之前版本存在命令注入漏洞。攻击者可利用该漏洞通过中间人命令注入攻击导致敏感信息泄漏。
 
影响产品/版本:
Apache James < 3.6.1
 
03 安全事件
 
Mozilla 修复了在 Pwn2Own 上
被利用的 Firefox、Thunderbird 零日漏洞
 
2022年5月20日,Mozilla 发布了多个产品的安全更新,以解决 Pwn2Own Vancouver 2022 黑客竞赛期间利用的零日漏洞。
 
如果被利用,这两个关键漏洞可以让攻击者在运行易受攻击版本的 Firefox、Firefox ESR、Firefox for Android 和 Thunderbird 的移动和桌面设备上执行 JavaScript 代码。
 
Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3 和Thunderbird 91.9.1中已修复零日漏洞。
 
第一个漏洞是顶级等待实现中的原型污染(CVE-2022-1802),它可以让攻击者使用原型污染破坏 JavaScript 中 Array 对象的方法,以在特权上下文中执行 JavaScript 代码。
 
第二个 (CVE-2022-1529) 允许攻击者在原型污染注入攻击中滥用Java对象索引不正确的输入验证。
 
参考文章:https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/q
文章来源:天防安全
 

Copyright © 2017-2020 2022世界杯买球投注 版权所有 豫公网安备 41019702002746号

Baidu
sogou