

“关键漏洞目录”新增8个漏洞（2023年6月29日）

关键漏洞目录

2023-07-03

导读：摄星科技“关键漏洞目录”新增8个漏洞，关键漏洞目录漏洞总数增加到963个。

2023年6月29日摄星科技“关键漏洞目录”新增8个漏，关键漏洞目录漏洞总数增加到963个，涉及到D-Link、Samsung移动设备。

D-Link DIR-859 Wi-Fi路由器命令执行漏洞
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

已被添加到CISA KEV、关键漏洞目录‍

CVSS v3.1向量：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS v3.1评分：9.8‍

漏洞级别：超危

漏洞描述

D-Link DIR-859 1.05版本和1.06B01 Beta01版本中的UPnP端点URL/gena.cgi允许未经身份验证的远程攻击者在连接到本地网络时向UPnP服务发送特制的HTTP SUBSCRIBE请求，以root用户身份执行系统命令。

影响产品

D-Link DIR-859 1.05

D-Link DIR-859 1.06B01 Beta01

修复建议

目前厂商已发布升级补丁以修复漏洞，请升级到v1.07b03_beta**或更高版本，补丁获取链接：

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10146

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10147

D-Link DWL-2600AP Save Configuration命令注入漏洞
‍

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS v3.1评分：7.8

漏洞级别：高危

漏洞描述

D-Link DWL-2600AP 4.2.0.15 Rev A版本可能允许经过本地身份验证的攻击者在系统上执行任意命令，这是由“保存配置”功能中的操作系统命令注入漏洞引起的。使用admin.cgi?action=config_save configBackup或downloadServerip参数中的Shell元字符可以利用此漏洞在设备上执行任意系统命令。

影响产品

D-Link DWL-2600AP 4.2.0.15 Rev A‍‍

修复建议

前厂商已发布升级补丁以修复漏洞，升级到v4.2.0.17或更高版本，补丁获取链接：

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10113

Samsung Mobile devices DSP驱动代码执行漏洞(CVE-2021-25372)
‍‍

已被添加到CISA KEV、关键漏洞目录‍

CVSS v3.1向量：AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVSS v3.1评分：6.7‍‍‍

漏洞级别：中危

漏洞描述

Samsung移动设备SMR Mar-2021 Release 1之前版本之前的DSP驱动程序中的不正确边界检查允许越界内存访问，通过执行精心编制的程序，攻击者可以利用此漏洞在系统上执行任意代码。

影响产品

Q(10.0)、R(11.0)devices with exynos980、exynos2100、exynos9830设备

修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security.samsungmobile.com/securityUpdate.smsb?year=2021&month=3

Samsung Mobile devices MFC充电器驱动安全绕过漏洞

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CVSS v3.1评分：6.4‍‍

漏洞级别：中危

漏洞描述

Samsung移动设备SMR MAY-2021 Release 1之前的MFC充电器驱动程序中存在竞争条件，允许本地攻击者在无线电权限受到损害的情况下绕过签名检查。

影响产品

Selected O(8.1)、P(9.0)、Q(10.0)、R(11.0)Exynos和Qualcomm设备

修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security.samsungmobile.com/securityUpdate.smsb?year=2021&month=5

Samsung Mobile devices拒绝服务漏洞(CVE-2021-25489)

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVSS v3.1评分：5.5

漏洞级别：中危

漏洞描述

Samsung移动设备Oct-2021 Release 1 之前版本容易受到拒绝服务的攻击，这是由于调制解调器接口驱动程序中缺少输入验证会导致格式字符串错误造成的。通过执行精心编制的程序，本地攻击者可以利用此漏洞导致内核死机。

影响产品

O(8.1)、P(9.0)、Q(10.0)、R(11.0) Exynos设备

修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security.samsungmobile.com/securityUpdate.smsb?year=2021&month=10

Samsung Mobile devices set_skb_priv()代码执行漏洞

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS v3.1评分：7.8

漏洞级别：高危

漏洞描述

Samsung移动设备SMR Oct-2021 Release 1之前版本存在安全漏洞，该漏洞源于调制解调器接口驱动的set_skb_priv()中缺乏缓冲区边界检查，允许OOB读取，并导致任意代码执行。

影响产品

O(8.1)、P(9.0)、Q(10.0)、R(11.0) Exynos设备

修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security.samsungmobile.com/securityUpdate.smsb?year=2021&month=10

Samsung Mobile devices MFC充电器驱动竞争条件漏洞

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CVSS v3.1评分：6.4

漏洞级别：中危

漏洞描述

Samsung移动设备SMR MAY-2021 Release 1版本之前的MFC充电器驱动程序中存在通过竞争条件的释放后使用漏洞，允许在无线电权限受到损害的情况下进行任意写入。

影响产品

Selected O(8.1)、P(9.0)、Q(10.0)、R(11.0) Exynos和Qualcomm设备

修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security.samsungmobile.com/securityUpdate.smsb?year=2021&month=5

Samsung Mobile devices DSP驱动代码执行漏洞

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVSS v3.1评分：6.7

漏洞级别：中危

漏洞描述

Samsung移动设备SMR Mar-2021 Release 1之前的DSP驱动程序中存在漏洞，攻击者可以在DSP内加载任意ELF库。

影响产品

Q(10.0)、R(11.0) devices with exynos980、exynos2100、exynos9830设备

修复建议

厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security.samsungmobile.com/securityUpdate.smsb?year=2021&month=

服务和支持

“关键漏洞目录”由摄星科技维护，可通过https://www.vulinsight.com.cn/#/kvc查看详细内容。并可下载CSV、JSON格式全量漏洞数据。

企业用户可通过漏洞情报SaaS平台、漏洞管控平台、知识库VKB平台获取服务和支持。

【声明】内容源于网络

关键漏洞目录

北京摄星科技有限公司“关键漏洞目录”更新发布信息

内容 88

粉丝 0

关键漏洞目录北京摄星科技有限公司“关键漏洞目录”更新发布信息

总阅读48

粉丝0

内容88