网易首页 > 网易号 > 正文 申请入驻

物联安全·鲲鹏先知【第21期】

0
分享至


2021.5.21 • 农历4月10日 • 周五

这周的物联网圈子

有哪些值得关注的事情呢?

鲲鹏实验室带你回顾下

01

IoT智能设备漏洞

多款Tenda路由器存在二进制漏洞

影响产品:

Tenda AC5、AC6、AC7、AC9、AC15

漏洞类型:弱口令漏洞

Tenda AC系列是中国腾达(Tenda)公司的一款无线路由器产品。

多款Tenda路由器存在二进制漏洞,攻击者可构造特定的‘timeZone’参数利用该漏洞执行任意代码。

影响范围:

Tenda AC5 V1.0RTL_V15.03.06.28_multi_TD01

Tenda AC6 V2.0_V15.03.06.23_multi

Tenda AC7 V1.0_V15.03.06.44_multi_TD01

Tenda AC9 V3.0_V15.03.06.42_multi_TD01

Tenda AC15 V1.0BR_V15.03.05.18_multi_TD01

Tenda AC15 V1.0BR_V15.03.05.19_multi_TD01

Cisco Link Layer Discovery Protocol缓冲区溢出漏洞

影响产品:

Cisco Link Layer Discovery Protocol

漏洞类型:缓冲区溢出漏洞

Cisco Link Layer Discovery Protocol是美国思科公司的一款路由器。

Cisco Link Layer Discovery Protocol存在缓冲区溢出漏洞,未经身份验证的相邻攻击者可利用该漏洞执行任意代码。

影响范围:

Cisco Link Layer Discovery Protocol

WAGO跨站脚本漏洞

影响产品:WAGO WAGO null

漏洞类型:跨站脚本漏洞

WAGO是德国万可(WAGO)的一款750-88x系列可编程逻辑控制器。该设备专门为在工业环境下应用而设计的数字运算操作电子系统。

WAGO存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可能诱骗合法用户单击链接,将恶意代码注入Web服务中。

影响产品:

WAGO WAGO null

JetBrains TeamCity参数注入漏洞

影响产品:

JetBrains TeamCity <2020.2.3

漏洞类型:参数注入漏洞

TeamCity是JetBrains推出的基于Java的构建管理和持续集成服务器。

JetBrains TeamCity 2020.2.3之前版本存在参数注入漏洞。攻击者可利用该漏洞实现远程代码执行。

影响产品:

JetBrains TeamCity <2020.2.3

02

其他热门漏洞

NO.1

Windows HTTP协议远程代码执行漏洞

漏洞编号:CVE-2021-31166

漏洞存在于Windows 10和Windows Server中的HTTP协议栈(http.sys)处理程序中,该程序广泛的用于应用之间或设别之间的通信中。常见的组件如Internet Information Services(IIS)便使用该程序进行通信处理。

影响版本:

Microsoft:Windows 10:

version 2004 for 32-bit Systems

version 2004 for x64-based Systems

version 2004 for ARM64-based Systems

version 20H2 for 32-bit Systems

version 20H2 for x64-based Systems

version 20H2 for ARM64-based Systems

Microsoft:Windows Server:

version 20H2

version 2004

NO.2

zzzcms 远程代码执行漏洞

漏洞编号:CVE-2021-32605

ZZZCMS zzzphp是一套内容管理系统(CMS)。

由于搜索模板对用户提供的key缺少验证,远程攻击者可以在未授权的情况下,通过构造恶意数据执行任意代码,从而获取服务器相关权限。

影响版本:

zzzcms <=2.0.3

NO.3

XStream 远程代码执行漏洞

漏洞编号:CVE-2021-29505

XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。

解组时处理的流包含用于重新创建以前写入的对象的类型信息。因此,XStream基于这些类型信息创建新实例时,攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务器上执行任意命。

影响版本:

XStream <=1.4.16

NO.4

Pega Infinity 密码重置漏洞

漏洞编号:CVE-2021-27651

PEGA pega infinity是美国PEGA公司的一个应用软件。

本地帐户的密码重置功能可用于绕过本地身份验证检查。

影响版本:

Pega Infinity >=8.2.1Pega Infinity <=8.5.2

03

安全事件

01

QNAP警告用户关注eCh0raix勒索软件和Roon Server零日攻击威胁

近日,研究人员警告称发现eCh0raix勒索软件,会影响QNAP NAS设备,使用弱密码的设备可能容易受到攻击。随后,供应商发布相关建议:我们强烈建议用户立即采取行动以保护其数据。不幸的是,NAS所有者的坏消息还没有结束,供应商还发布了另一项安全公告,警告正在被利用的零日漏洞会影响Roon Labs的Roon Server 2021-02-01和更早版本。威联通(QNAP)建议用户不要将其设备暴露在互联网上,也建议禁用Roon Server以防止潜在的攻击。





特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
黑人吐槽日本动画没黑人,但韩国人更狠,他们直接把动画变韩国的

黑人吐槽日本动画没黑人,但韩国人更狠,他们直接把动画变韩国的

二次元那些事
2022-05-17 22:30:27
修个马桶却掏出60个避孕套,还是被用过的,男子:水管工在嘲笑我

修个马桶却掏出60个避孕套,还是被用过的,男子:水管工在嘲笑我

建雄谈科技
2022-05-18 02:38:44
泰国海滩一幕让网友崩溃:当着外国情侣的面,有人往海里撒尿

泰国海滩一幕让网友崩溃:当着外国情侣的面,有人往海里撒尿

五包辣条
2022-05-18 01:32:46
摘下状元签!魔术深陷选秀小年困境,未来最大赢家其实是雷霆

摘下状元签!魔术深陷选秀小年困境,未来最大赢家其实是雷霆

德译洋洋
2022-05-18 09:53:53
美国一名警察到居民家办案,竟当着女主人的面暴露私处做不雅动作

美国一名警察到居民家办案,竟当着女主人的面暴露私处做不雅动作

瞰世界
2022-05-18 00:02:23
全网封杀?许晴多部作品惨遭换脸除名,多位京圈大佬恐难逃一劫!

全网封杀?许晴多部作品惨遭换脸除名,多位京圈大佬恐难逃一劫!

娱说江湖
2022-05-17 19:30:16
法国总统马克龙对瑞典加入北约做出正式声明,结果出乎意料

法国总统马克龙对瑞典加入北约做出正式声明,结果出乎意料

朝三暮四
2022-05-17 07:12:20
与成都类似!所有雇佣合同被终止 俄媒:叶卡捷琳堡大运会彻底散场

与成都类似!所有雇佣合同被终止 俄媒:叶卡捷琳堡大运会彻底散场

劲爆体坛
2022-05-18 08:30:04
终于“破案”,四川本轮疫情源头已查明,果然来自这,务必当心

终于“破案”,四川本轮疫情源头已查明,果然来自这,务必当心

海拔新观察
2022-05-18 10:21:49
俄确实挺住了,单靠石油+天然气,目前月收入就超过200亿美元

俄确实挺住了,单靠石油+天然气,目前月收入就超过200亿美元

清史明月照人还
2022-05-18 08:43:19
蔡英文没料到 蒋介石曾孙突然出山 一句话引发震动 岛内要变天?

蔡英文没料到 蒋介石曾孙突然出山 一句话引发震动 岛内要变天?

肖可说健康
2022-05-17 13:40:36
直播太暴利了,几千万的别墅说买就买,彩虹夫妇乔迁销售破亿

直播太暴利了,几千万的别墅说买就买,彩虹夫妇乔迁销售破亿

裂缝中的暖阳
2022-05-17 19:56:27
什么是“性成瘾”?患者自述:比毒还难戒

什么是“性成瘾”?患者自述:比毒还难戒

莫言故事汇
2022-05-18 10:43:19
赵继伟大婚!伴郎团亮相接亲 杨鸣赵睿压哨抵达 郭艾伦引瞩目

赵继伟大婚!伴郎团亮相接亲 杨鸣赵睿压哨抵达 郭艾伦引瞩目

绿茵猫
2022-05-18 12:09:51
河南省年内要培训5万核酸检测员:建立常态化核酸检测机制

河南省年内要培训5万核酸检测员:建立常态化核酸检测机制

九派新闻
2022-05-17 21:55:25
@广东高考生,5月24日前须返回报名所在地市

@广东高考生,5月24日前须返回报名所在地市

南方都市报
2022-05-18 09:59:10
美女嫁大15岁的丈夫,除了吃饭就是上床,美女:除了这个我图啥?

美女嫁大15岁的丈夫,除了吃饭就是上床,美女:除了这个我图啥?

墨小墨说故事
2022-05-17 09:26:15
钱学森侄子钱永健获诺奖,表态:我不太会说中文,我是美国科学家

钱学森侄子钱永健获诺奖,表态:我不太会说中文,我是美国科学家

清竹雅韵
2022-05-17 12:57:31
尸体在哪?救援方式不对?但愿掉入下水道的男童能托梦报告妈妈

尸体在哪?救援方式不对?但愿掉入下水道的男童能托梦报告妈妈

美景的欣赏
2022-05-18 03:08:45
王炸! 新变种发威 点燃亚欧疫情! 日增27万 医院沦炼狱! 恐全年传播 反复感染新常态!

王炸! 新变种发威 点燃亚欧疫情! 日增27万 医院沦炼狱! 恐全年传播 反复感染新常态!

加西周末
2022-05-18 08:43:59
2022-05-18 13:52:49
天防安全
天防安全
物联网安全的创新者和守护者
67文章数 0关注度
往期回顾 全部

科技要闻

马斯克盛赞微信:什么都能做到、没有垃圾信息

头条要闻

中国国库"家底"披露:余额4.94万亿元 同比增长9.6%

头条要闻

中国国库"家底"披露:余额4.94万亿元 同比增长9.6%

体育要闻

18年来首个状元!魔术的下个魔兽是他?

娱乐要闻

白百何与老公带二胎出门,一家首同框

财经要闻

汽车要闻

日产全新Z跑车海外售价远低于SUPRA 香起来了

态度原创

艺术
游戏
教育
家居
军事航空

艺术要闻

罕见北大文科学长陈独秀书法,外秀内刚

拳头偷改公告被抓后深夜道歉

教育要闻

为什么学霸也会后悔当年没买房?

家居要闻

案例鉴赏 | 90后律师的68㎡高颜值小家

军事要闻

俄罗斯又一架米-28武直被击落 可见编号

进入关怀模式