首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第30周

發布時間 2020-07-27

> 本周安全態勢綜述


2020年07月20日至07月26日共收錄安全漏洞57個,值得關注的是Tenda AC15 AC1900任意命令執行漏洞;Tesla Model 3未授權打開車門漏洞;Phoenix Contact PLCnext Engineer CVE-2020-12499路徑遍歷漏洞;Adobe Photoshop CC CVE-2020-9687越界寫漏洞; HPE nagios plugin for iLO PHP代碼注入漏洞。


本周值得關注的網絡安全事件是Mozilla發布雷鳥安全更新,修復多個嚴重的漏洞;AvertX IP系列攝像頭存在3個漏洞,可被利用發起暴力攻擊;Adobe發布緊急安全更新,修復多款產品中任意代碼執行漏洞;黑客利用Google云發起釣魚攻擊,竊取Office 365憑證;思科發布安全更新,修復ASA和FTD中的路徑遍歷漏洞。


根據以上綜述,本周安全威脅為中。



>重要安全漏洞列表


1.Tenda AC15 AC1900任意命令執行漏洞


Tenda AC15 AC1900 goform/AdvSetLanip端點存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的‘lanIp POST’參數請求,可執行任意系統命令。

https://blog.securityevaluators.com/tenda-ac1900-vulnerabilities-discovered-and-exploited-e8e26aa0bc68


2. Tesla Model 3未授權打開車門漏洞


Tesla Model 3存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可借助合法鑰匙卡并實施NFC中繼攻擊利用該漏洞打開車門。

https://cansecwest.com/post/2020-03-09-22:00:00_2020_Speakers


3. Phoenix Contact PLCnext Engineer CVE-2020-12499路徑遍歷漏洞


Phoenix Contact PLCnext Engineer存在輸入驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可進行目錄遍歷攻擊,可獲取Web服務文件系統內的任意文件。

https://cert.vde.com/en-us/advisories/vde-2020-025


4. Adobe Photoshop CC CVE-2020-9687越界寫漏洞


Adobe Photoshop CC存在越界寫漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可進行拒絕服務攻擊或者以應用程序上下文執行任意代碼。

https://helpx.adobe.com/security/products/photoshop/apsb20-45.html


5. HPE nagios plugin for iLO PHP代碼注入漏洞


HPE nagios plugin for iLO存在輸入驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可注入任意PHP代碼并執行。

https://github.com/HewlettPackard/nagios-plugins-hpilo/commit/7617b2736a95c7f354198f092febe37e7005c677



> 重要安全事件綜述


1、Mozilla發布雷鳥安全更新,修復多個嚴重的漏洞



原文鏈接:

https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird


2、AvertX IP系列攝像頭存在3個漏洞,可被利用發起暴力攻擊



原文鏈接:

https://www.ehackingnews.com/2020/07/vulnerabilities-with-avertx-ip-security.html


3、Adobe發布緊急安全更新,修復多款產品中任意代碼執行漏洞



原文鏈接:

https://www.bleepingcomputer.com/news/security/adobe-photoshop-gets-fixes-for-critical-security-vulnerabilities/


4、黑客利用Google云發起釣魚攻擊,竊取Office 365憑證



原文鏈接:

https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-google-cloud-services-to-steal-office-365-logins/    


5、思科發布安全更新,修復ASA和FTD中的路徑遍歷漏洞



原文鏈接:

https://us-cert.cisa.gov/ncas/current-activity/2020/07/23/cisco-releases-security-updates-asa-and-ftd-software

上一篇 下一篇