2021-01
IBM WebSphere Application Server XXE漏洞(CVE-2020-4949)预警
≥≥近日,IBM发布安全公告,修复了WebSphere Application Server(WAS)中存在一个XML外部实体注入(XXE)漏洞,该漏洞CVE编号:CVE-2020-4949。攻击者可利用该漏洞获取服务器敏感信息或消耗内存资源。建议受影响用户及升级至最新版本,并做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:阿里云安全应急响应中心、中国信息通信研究院
2021-01
Sudo堆缓冲区溢出漏洞(CVE-2021-3156)预警
≥≥1月26日,Sudo发布了Sudo堆缓冲区溢出漏洞的风险公告,漏洞CVE编号:CVE-2021-3156。该漏洞的发现者将其名为“Baron Samedit”。未经身份验证的本地攻击者可利用该漏洞获得root权限。目前漏洞细节已公开,建议受影响用户及时升级至最新版本,并做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:北京天融信网络安全技术有限公司、深信服科技股份有限公司
2021-01
SAP Solution Manager远程代码执行漏洞(CVE-2020-6207)预警
≥≥近日,监测到国外研究员披露关于SAP Solution Manager远程代码执行漏洞(CVE-2020-6207)的利用脚本。SAP官方已于2020年3月发布安全公告修复该漏洞,攻击者可构造恶意请求控制SAP Solution Manager旗下所有机器,执行任意命令。该漏洞影响较大,建议广大用户及时更新至最新版本修复该漏洞,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:深信服科技股份有限公司
2021-01
Dnsmasq多个高危漏洞预警
≥≥近日,JSOF发布了Dnsmasq的风险通告,披露了7个漏洞,2个高危漏洞,2个中危漏洞,3个低危漏洞,其中CVE-2020-25681、CVE-2020-25682攻击复杂度较低,影响影响较大,攻击者可利用漏洞在目标设备上执行任意代码,造成内存损坏。建议将Dnsmasq升级至2.83之后版本修复该漏洞,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:深信服科技股份有限公司
2021-01
多款Cisco SD-WAN产品缓冲区溢出漏洞(CVE-2021-1300)预警
≥≥近日,Cisco发布了多款Cisco SD-WAN产品缓冲区溢出漏洞的风险通告,相关CVE编号:CVE-2021-1300、CVE-2021-1301。其中CVE-2021-1300漏洞风险较大,攻击者可利用该漏洞以ROOT权限在受影响操作系统上执行任意代码。目前,Cisco官方已发布新版本修复该漏洞,建议受影响用户及时升级至新版本,做好资产自查以及预防工作,以免遭受黑客攻。...
来源:深信服科技股份有限公司
2021-01
Drupal目录遍历漏洞(CVE-2020-36193)预警
≥≥1月20日,Drupal发布了Drupal存在目录遍历漏洞的风险通告,相关CVE编号:CVE-2020-36193。攻击者可利用该漏洞获取敏感信息,最严重的影响可造成远程代码执行。目前,Drupal官方已发布最新版本修复漏洞,建议受影响用户及时升级至修复版本,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:深信服科技股份有限公司、中国信息通信研究院
2021-01
Oracle WebLogic多个高危漏洞预警
≥≥1月19日,Oracle官方发布1月份安全补丁更新公告,修复了WebLogic Server,Oracle Data Integrator等多款产品存在329个漏洞,披露Weblogic相关高危漏洞有7个,其中有4个漏洞均为IIOP协议、T3协议存在缺陷,利用复杂度低,且影响较大,相应CVE编号: CVE-2019-17195、CVE-2021-1994、CVE-2020-14756、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075。未经身份验证的攻击者可通过漏洞实现远程代码执行。目前,Oracle已发布安全补丁修复该漏洞,建议受影响用户及时下载安装补丁程序,并做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:安恒信息、上海观安、北京天融信、深信服、绿盟科技
2021-01
Fortinet FortiDeceptor命令注入漏洞(CVE-2020-29017)预警
≥≥近日,Fortinet发布1月安全更新公告,修复了FortiWeb、FortiDeceptor产品及应用存在6处漏洞,其中FortiDeceptor命令注入漏洞威胁风险较高,对应CVE编号:CVE-2020-29017,攻击者可利用该漏洞在目标系统上执行任意shell命令。目前,官方已发布新版本修复该漏洞,建议受影响用户及时至最新版本,并做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:中国信息通信研究院