当地时间8月28日,Cisco官方发布公告修复了Cisco IOS XE软件的REST API虚拟服务容器中一个认证绕过漏洞(CVE-2019-12643)。
漏洞成因是管理REST API身份验证服务的代码执行了不正确的检查。攻击者可以通过向目标设备提交恶意HTTP请求来利用此漏洞。
成功的漏洞利用可允许攻击者获得一个已经过身份验证用户的令牌id。此令牌id可用于绕过身份验证,并通过受影响的Cisco IOS XE设备上的REST API虚拟服务容器接口执行特权操作。
近日,有国外研究员公布了一个存在于QEMU 模拟器SLiRP网络实现中的堆缓冲区溢出漏洞(CVE-2019-14378)。攻击者可以利用该漏洞来破坏宿主机上的QEMU进程,从而导致拒绝服务,或者还有可能使用QEMU进程的特权执行任意代码。
近日,Cisco Talos团队发布了多条技术分析称Aspose产品中的Aspose.cells以及Aspose.words存在远程代码执行漏洞,攻击者可以制作一个恶意的文件来利用相关漏洞,在用户触发后可以远程执行代码。
当地时间8月21日,Cisco官方发布多条安全通告称修复了多个产品的高危漏洞,涵盖验证绕过、远程代码执行等,最高CVSS 3.0评分为9.8。
当地时间8月13日,来自vxrl漏洞实验室的研究员公布了在 TortoiseSVN中发现的一个远程代码执行漏洞(CVE-2019-14422)。
当地时间8月13日,Adobe官方发布了8月安全更新,修复了Adobe 多款产品的多个漏洞,包括Adobe Photoshop CC 、Adobe Experience Manager、Adobe Acrobat and Reader、Adobe Creative Cloud Desktop Application、Adobe Prelude CC、Adobe Premiere Pro CC、Adobe Character Animator CC和Adobe After Effects CC。
CVE-2019-1181和CVE-2019-1182 与之前修复的“BlueKeep”漏洞(CVE-2019-0708)类似,也具有蠕虫特性,即利用这些漏洞的恶意软件可能会在无需用户交互的情况下在易受攻击的机器间进行传播。
近日,Ghostscript公布了一个 -dSAFER 沙箱绕过漏洞(CVE-2019-10216)。漏洞成因是Ghostscript中的.buildfont1在执行时没有正确地限制特权调用,导致攻击者可以通过创建一个特别设计的PostScript文件来利用该漏洞提升特权并访问限制区域之外的文件。
该漏洞源于KDesktopfile类在处理.desktop、.directory文件或配置文件时存在缺陷。攻击者可以创建恶意的该类型文件,用户在使用KDE file viewer浏览这些文件时就可触发漏洞,导致恶意文件中的代码执行,无需用户的交互操作。
当地时间8月6日,思科官方发布了关于Small Business 220系列智能交换机(Small Business 220 Series Smart Switches)的3个漏洞修复通告,其中包含2个高危漏洞,最高CVSS 3.0评分9.8。
