根据国家信息安全漏洞库(CNNVD)统计,本周(2021.2.22~2021.2.28)CNNVD接报漏洞2484个,信息技术产品漏洞(通用型漏洞)13个,网络信息系统漏洞(事件型漏洞)2471个,其中华云安报送20个。本周CNNVD接报漏洞预警64份,其中华云安报送预警7份。漏洞及预警报送数量持续位居前列。(数据来源于CNNVD)
本周重点关注漏洞包括:VMware 多个高危漏洞、CVE-2021-20353- IBM WebSphere Application Server XML 外部实体注入漏洞、SaltStack 多个高危漏洞、CVE-2021-3120- WordPress WooCommerce 远程代码执行漏洞、CVE-2021-26119- PHP Smarty 模版沙箱逃逸漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
VMware 多个高危漏洞
发布时间:2021年2月23日
2021年2月23日,VMware 官方发布安全更新,VMware 的 ESXI 和 vSphere Client(HTML5) 组件存在两处高危漏洞。vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等组件。具有网络端口访问权限的恶意攻击者可以通过漏洞执行任意代码。
情报来源:
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
CVE-2021-20353- IBM WebSphere Application Server XML 外部实体注入漏洞
发布时间:2021年2月24日
近日,IBM 官方发布安全更新,披露了 IBM WebSphere Application Server XML 外部实体注入漏洞。WebSphere 是 IBM 的软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施。该漏洞是由于在处理 XML 数据时,IBM WebSphere Application Server 容易受到 XML 外部实体注入 (XXE) 攻击。远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。
情报来源:
https://www.ibm.com/support/pages/node/6413689
SaltStack 多个高危漏洞
发布时间:2021年2月25日
2021年2月25日, SaltStack 官方发布2月份安全更新,在本次更新中共修复了10个漏洞,其中包含6个高危漏洞。SaltStack 是基于 python 开发的一套 C/S 自动化运维工具,能够支持运维管理数万台服务器,主要功能是管理配置文件和远程执行命令,十分强大且易用。此次漏洞风险较高,华云安建议用户及时修复更新。
情报来源:
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
CVE-2021- 3120- WordPress WooCommerce远程代码执行漏洞
发布时间:2021年2月25日
2021年2月25日,华云安安全团队发现 WordPress 官方发布安全更新,修复了WordPress WooCommerce礼品卡插件远程代码执行漏洞。WordPress是一款使用PHP语言和MySQL数据库开发的个人博客系统,并逐步演化成一款内容管理系统软件,YITH WooCommerce礼品卡是WordPress插件中一种免费轻松的解决方案,可以在电子商务中销售礼品卡。该漏洞是由于上传图片接口安全过滤不严格,攻击者通过利用此漏洞在未授权的情况下,上传恶意文件到服务器上,最终造成远程代码执行。
情报来源:
https://wordpress.org/plugins/yith-woocommerce-gift-cards/
CVE-2021-26119- PHP Smarty 模版沙箱逃逸漏洞
发布时间:2021年2月26日
2021年2月26日,华云安安全团队发现 PHP Smarty 官方发布安全更新,修复了 PHP Smarty 模版沙箱逃逸漏洞。Smarty 是通过 PHP 开发的模板引擎,它分开了 PHP 逻辑代码与外观 (HTML页) 以便于管理。由于攻击者可以访问 smarty 或 parent 属性,从而可以访问 Smarty 实例。成功利用此漏洞的攻击者可以通过构造恶意数据,最终造成远程代码执行。
情报来源:
https://helpx.adobe.com/security/products/photoshop/apsb21-10.html
华云安
华云安是一家面向网络空间安全领域,专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。公司在漏洞管理和威胁治理方面具备深厚的技术积累。拥有灵洞自适应威胁与漏洞管理系统、灵刃智能化渗透攻防系统等网络安全产品及服务,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、 关键信息基础设施防御能力、网络安全反制能力于一体的新一代云原生安全产品解决方案。实现威胁管理、攻击模拟、溯源分析、端点防御等一体化安全运营管理能力。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献!
进入华云安漏洞情报平台参阅详情:
来源:freebuf.com 2021-03-04 11:15:00 by: 华云安huaun
请登录后发表评论
注册