1. 威客安全首页
  2. 安全资讯

雷神众测漏洞周报 2020.04.06-2020.04.12-5

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1.TP-Link 命令注入漏洞


2.HAProxy 内存越界写入漏洞


3.uppy npm package服务器端请求伪造漏洞

4.GitLab 代码问题漏洞

5.Mozilla Firefox代码执行漏洞

漏洞详情

1.TP-Link 命令注入漏洞


漏洞介绍:

TP-Link(中文全称:普联技术有限公司)是专注于路由器设备生产的一家公司。


影响危害:

在受影响的路由器中的二进制程序 /usr/bin/tdpServer 中存在一枚命令注入漏洞。该漏洞存在于 tdpServer 处理 TP-Link onemesh 相关功能的代码中。当控制 slaveMac 的值的时候即可造成命令注入。


影响范围:

TP- Link Archer A7 (AC1750) 固件版本190726


漏洞编号:

CVE-2020-10882


修复方案:

及时测试并更新到漏洞修复的版本


来源:360CERT

2.HAProxy 内存越界写入漏洞


漏洞介绍:

HAProxy 是一个使用C语言编写的开源软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。互联网中大量的网络服务系统都使用了HAProxy。同时 HAProxy 可以选择使用 HTTP/2 协议来更有效地利用网络资源。


影响危害:

该漏洞会导致内存的越界写入,从而导致服务崩溃或代码执行。


影响范围:

HAProxy 1.8.0 – 1.8.24
HAProxy Enterprise 1.8r1 1.0.0-186.251 – 193.716
HAProxy Enterprise 1.8r2 2.0.0-190.714 – 205.1000
ALOHA 10.0.0 – 10.0.14
ALOHA 10.5.0 – 10.5.12
HAProxy 1.9.0 – 1.9.14
HAProxy Enterprise 1.9r1 1.0.0-197.290 – 208.876
HAProxy ALOHA 11.0.0 – 11.0.7
HAProxy 2.0.0 – 2.0.13
HAProxy Enterprise 2.0r1 1.0.0-204.260 – 219.645
HAProxy ALOHA 11.5.0 – 11.5.3
HAProxy 2.1.0 – 2.1.3HAProxy Enterprise 2.1r1 1.0.0-217.0 – 221.38


漏洞编号:

CVE-2020-11100


修复方案:

及时测试并更新到漏洞修复的版本


来源:360CERT

3. uppy npm package服务器端请求伪造漏洞


漏洞介绍:

uppy npm package是一款文件上传软件包。


影响危害:

uppy npm package 1.9.3之前版本中存在服务器端请求伪造漏洞,攻击者可利用该漏洞扫描本地或外部网络或与内部系统进行交互。


影响范围:

npmjs uppy npm package <1.9.3


漏洞编号:

CVE-2020-8135


修复方案:

更新对应补丁


来源:CNVD

4.  GitLab 代码问题漏洞


漏洞介绍:

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。


影响危害:

GitLab(企业版和社区版)8.0.rc1版本至12.9版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。


影响范围:

GitLab(企业版和社区版)8.0.rc1版本至12.9版本


漏洞编号:

CVE-2020-10980


修复方案:

更新对应补丁


来源:CNVD

5.Mozilla Firefox代码执行漏洞


漏洞介绍:

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。


影响危害:

Mozilla Firefox 74版本中存在安全漏洞。攻击可利用该漏洞损坏内存或可能执行任意代码。


影响范围:

Mozilla Firefox 74


漏洞编号:

CVE-2020-6826


修复方案:

更新对应补丁


来源:CNVD


雷神众测漏洞周报 2020.04.06-2020.04.12-5

专注渗透测试技术

全球最新网络攻击技术


END

雷神众测漏洞周报 2020.04.06-2020.04.12-5

原文始发于微信公众号(雷神众测):雷神众测漏洞周报 2020.04.06-2020.04.12-5

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X