

“关键漏洞目录”新增3个漏洞（2024年12月4日）

关键漏洞目录

2024-12-04

导读：摄星科技“关键漏洞目录”新增3个漏洞，关键漏洞目录漏洞总数增加到1232个。

2024年12月4日摄星科技“关键漏洞目录”新增3个漏洞，包括North Grid Proself XML外部实体注入漏洞和ProjectSend options.php未授权修改配置漏洞。关键漏洞目录漏洞总数增加到1232个。

North Grid Proself XML外部实体注入漏洞‍

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS v3.1评分：7.5

漏洞级别：高危

漏洞描述

North Grid Corporation Proself Enterprise/Standard Edition 5.62及更早版本、Proself Gateway Edition 1.65及更早版本以及Proself Mail Sanitize Edition 1.08及更早版本允许未经身份验证的远程攻击者进行XML外部实体（XXE）攻击。通过处理包含格式错误的XML数据的特制请求，攻击者可能会读取服务器上包含帐户信息的任意文件。

影响产品

North Grid Corporation Proself Enterprise/Standard Edition 5.62及更早版本

Proself Gateway Edition 1.65及更早版本以及Proself Mail Sanitize Edition 1.08及更早版本

修复建议

有关修补程序、升级或建议的解决方法信息，请参阅Proself网站。参考链接：

https://www.proself.jp/information/153/

ProjectSend options.php未授权修改配置漏洞
‍

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：Red AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS v3.1评分：9.8

漏洞级别：超危

漏洞描述

r1720之前版本的ProjectSend版本受到不当身份验证漏洞的影响。未经身份验证的远程攻击者可以通过向options.php发送构建的HTTP请求来利用此缺陷，从而在未经授权的情况下修改应用程序的配置。成功利用该漏洞后，攻击者可以创建帐户、上传Webshell和嵌入恶意JavaScript。

影响产品

无

修复建议

请升级到r1720或更高版本，参考链接：

https://github.com/projectsend/projectsend/commit/193367d937b1a59ed5b68dd4e60bd53317473744

Zyxel多款防火墙产品路径遍历漏洞

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS v3.1评分：7.5

漏洞级别：高危

漏洞描述

合勤Zyxel ATP系列固件版本V5.00至V5.38、USG FLEX系列固件版本V5.00至V5.38、USG FLEX 50(W) 系列固件版本V5.10至V5.38以及USG20(W)-VPN系列固件版本V5.10至V5.38的Web管理界面中存在目录遍历漏洞，可允许攻击者通过构建的URL下载或上传文件。

影响产品

无

修复建议

当前厂商已发布了补丁信息，请及时关注更新：

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-protecting-against-recent-firewall-threats-11-27-2024

服务和支持

“关键漏洞目录”由摄星科技维护，可通过https://www.vulinsight.com.cn/#/kvc查看详细内容。并可下载CSV、JSON格式全量漏洞数据。

企业用户可通过漏洞情报SaaS平台、漏洞管控平台、知识库VKB平台获取服务和支持。

【声明】内容源于网络

关键漏洞目录

北京摄星科技有限公司“关键漏洞目录”更新发布信息

内容 88

粉丝 0

关键漏洞目录北京摄星科技有限公司“关键漏洞目录”更新发布信息

总阅读0

粉丝0

内容88