根据国家信息安全漏洞库(CNNVD)统计,本周(2020.11.16-2020.11.22)CNNVD接报漏洞2509个,其中信息技术产品漏洞(通用型漏洞)47个,网络信息系统漏洞(事件型漏洞)2462个。(数据来源于CNNVD)
本周重点关注漏洞包括XStream远程代码执行漏洞、Node.js通过DNS请求实现拒绝服务漏洞、Citrix XenMobile目录遍历漏洞、Citrix SD-WAN多个安全漏洞、Apache Unomi远程代码执行漏洞、Cisco多个严重漏洞、骑士CMS assign_resume_tpl远程代码执行漏洞、VMX特权提升漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
XStream远程代码执行漏洞
发布时间:2020年11月16日
2020年11月16日,XStream官方发布安全更新,修复了CVE-2020-26217 XStream远程代码执行漏洞。XStream是一个常用的Java对象和XML相互转换的工具。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成远程代码执行漏洞,控制服务器。
情报来源:
http://x-stream.github.io/changes.html
Node.js通过DNS请求实现拒绝服务漏洞
发布时间:2020年11月16日
2020年11月16日,Node.js项目发布15.x,14.x和12.x的新版本,修复一个拒绝服务漏洞。Node.js是能够在服务器端运行JavaScript的开放源代码、跨平台JavaScript运行环境。Node.js应用程序允许攻击者为自己选择的主机触发DNS请求,通过使该应用程序解析具有大量响应的DNS记录来触发拒绝服务(DoS)。
情报来源:
Citrix XenMobile 目录遍历漏洞
发布时间:2020年11月17日
Citrix官方发布安全更新,修复了包括 CVE-2020-8209 远程命令执行漏洞在内的多个漏洞。XenMobile是Citrix开发的企业移动性管理软件。该产品允许企业管理员工的移动设备和移动应用程序。XenMobile(Citrix Endpoint Management)存在目录遍历漏洞,攻击者未授权访问到账号密码。
情报来源:
https://support.citrix.com/article/CTX277457
Citrix SD-WAN多个安全漏洞
发布时间:2020年11月17日
安全研究者Ariel Tempelhof披露Citrix SD-WAN中存在多个漏洞。Citrix SD-WAN是由美国Citrix公司开发的一套广域网集中管理系统,通过虚拟化技术实现企业级的安全广域网,综合利用多条链路,实现负载均衡,并能配置、监控和分析WAN上的所有Citrix SD-WAN设备。近日漏洞利用方式被公开,攻击者可以利用此漏洞执行任意代码。
情报来源:
https://support.citrix.com/article/CTX285061
Apache Unomi 远程代码执行漏洞
发布时间:2020年11月18日
互联网上公布了Apache Unomi漏洞利用相关POC。Apache Unomi是一个Java开源平台,这是一个Java服务器,旨在管理客户,潜在顾客和访问者的数据,并帮助个性化客户体验。Unomi可用于在非常不同的系统(例如CMS,CRM,问题跟踪器,本机移动应用程序等)中集成个性化和配置文件管理。Apache Unomi允许远程攻击者使用可能包含任意类的MVEL和OGNL表达式发送恶意请求,从而产生具有Unomi应用程序特权的远程代码执行(RCE)。
情报来源:
Cisco 多个严重漏洞
发布时间:2020年11月19日
Cisco官方发布了多个严重漏洞的风险通告,本次通告中共计4处严重漏洞(CVE-2020-27130: 目录穿越漏洞、CVE-2020-3531: 验证绕过漏洞、CVE-2020-3586: 命令注入漏洞、CVE-2020-3470: 代码执行漏洞),攻击者可利用这些漏洞获得任意文件、执行任意命令、控制相关设备行为。
情报来源:
https://tools.cisco.com/security/center/publicationListing.x
骑士CMS assign_resume_tpl 远程代码执行漏洞
发布时间:2020年11月20日
骑士CMS官方发布安全更新,修复了一个远程代码执行漏洞。骑士CMS是一套基于PHP+MYSQL的免费网站管理系统。漏洞利用简单,且相关利用细节已公开,由于骑士CMS某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意代码,控制服务器。
情报来源:
http://www.74cms.com/news/show-2497.html
VMX特权提升漏洞
发布时间:2020年11月20日
VMware披露并修复了在中国天府杯白帽黑客大赛上发现的hypervisor漏洞。CVE-2020-4005是VMX特权提升漏洞,它允许在虚拟机上具有本地管理特权的恶意行为者在主机上运行虚拟机的VMX进程时执行代码。VMX进程在VMkernel中运行,并负责处理设备的I/O,因此存在数据泄漏的可能性。
情报来源:
https://www.theregister.com/2020/11/20/vmware_esxi_flaws/
华云安与您一起,时刻关注安全威胁。
来源:freebuf.com 2020-11-26 17:43:43 by: 华云安huaun
请登录后发表评论
注册