多款产品漏洞通报
关键要点
- CISA已将SAP、D-Link、DrayTek和Motion Spell的四个漏洞纳入已知被利用漏洞(KEV)目录。
- 这些漏洞大多数已有数年历史,存在特权提升和远程命令执行等风险。
- 联邦政府机构需要在2024年10月21日之前修复这些漏洞。
周一,网络安全与基础设施安全局(CISA)将四个关于SAP、D-Link、DrayTek和MotionSpell产品的漏洞纳入了。
这些漏洞大多已有数年之久,可能导致特权提升和远程命令执行等安全风险。由于这些缺陷受到了攻击者的关注,联邦民用执行机构被要求在2024年10月21日之前对此进行修复。
具体漏洞信息
- SAP漏洞 (CVE-2019-0344)
此漏洞影响SAP Commerce Cloud(前身为SAP Hybris ServiceCloud),其CVSS评分高达9.8,可能允许远程攻击者以“Hybris”用户帐户的同等权限执行任意代码。此漏洞是由于受影响版本中的扩展“virtualjdbc”存在不安全的反序列化问题。其中包括版本6.4、6.5、6.6、6.7、1808、1811和1905。客户可以访问获取升级到修复版本的指导。 - DrayTek漏洞 (CVE-2020-15415)
给DrayTekVigor3900、Vigor2960和Vigor300B路由器(在固件版本1.5.1之前)带来了严重风险。此漏洞允许通过文件名中的shell元字符进行远程命令执行。在此情况下,当使用text/x-python-
script内容类型进行通信时,文件名未能正确处理特殊字符。针对每个设备的固件版本1.5.1.1的修复下载可以从)获取。 - D-Link漏洞 (CVE-2023-25280)
这是最新被纳入KEV的漏洞,CVSS评分同样为9.8。该漏洞出现在D-LinkDIR820LA1_FW105B03(型号DIR-820L,硬件版本A1,固件版本105B03)中,攻击者可通过向ping.ccp发送带有ping_addr参数的特制有效负载来提升为root权限。自2023年2月以来,关于CVE-2023-25280的已被发布,Palo AltoNetworks的Unit 42在2023年4月检测到该漏洞的真实利用。由于D-LinkDIR-820L路由器已到达生命周期末期,建议用户停止使用该产品以避免被利用。 - Motion Spell漏洞 (CVE-2021-4043)
最后一个纳入KEV的漏洞,CVE-2021-4043,CVSS评分为5.8,属于GPAC开源多媒体框架中的空指针解引用缺陷,可能导致拒绝服务。此漏洞,影响GPAC版本在1.1.0之前的版本。KEV条目特别提到MotionSpell对GPAC的实现正在被恶意利用。
这些漏洞的修复和及时应对对于保护用户和系统安全至关重要。维护系统的最新状态,可以有效降低可能的安全风险。
Leave a Reply