最近(jìn)出現(xiàn)的(de)幾大(dà)疑似漏洞大(dà)家(≥↔jiā)需要(yào)了(le)解下(xià)

随著(zhe)大(dà)數(shù)據時(shí)代的(de)發展♠$π×，互聯網的(de)技(jì)術(shù)更是(shì)突飛♦‍♠¥(fēi)猛進。同時(shí)也(yě)給了(le)網絡犯罪分(≈‌fēn)子(zǐ)帶來(lái)了(le)有(yǒλ>™βu)利條件(jiàn)，他(tā)們會(huì)通(tōng)過各種方β¶ ♣式去(qù)給企業(yè)造成不(bù)同程度的(de)威脅。∞÷而我們最常見(jiàn)的(de)就(jiù)是(shì)♦☆σ他(tā)們通(tōng)過程序系統漏洞或者源碼漏洞等方式。今天小↑↑(xiǎo)編關注到(dào)CNVD即（國(guó)家(®β↑jiā)信息安全漏洞共享平台）統計(jì)發布了(le)近(jìn)期出現(x£π βiàn)的(de)幾大(dà)疑似漏洞，做(zuò)為(wèi)£®>"網絡運維的(de)我們需要(yào)了(le)解下(xià)。 ≠€ 1、Sequelize SQL注入漏洞 ，是(shì)一(yī)款用≠Ω'‍(yòng)于Node.js的(de)數(shù)據庫ORM（←σ¶對(duì)象關系映射）工(gōng)具。
漏洞描述：Sequelize 5.8.11之前版本中存在SQL注↓¶入漏洞。該漏洞源于基于數(shù)據庫的(£←de)應用(yòng)缺少(shǎo)對(duì)外(wài)部輸入Sφπ≈•QL語句的(de)驗證。攻擊者可(kě)利用(yòng)該漏洞執行(xínε'≈₩g)非法SQL命令。 
2、Mozilla Thunderbird類型₩ ε✘混淆漏洞，是(shì)美(měi)國(guó)Mozilla基€↓✘≠金(jīn)會(huì)的(de)一(yī)套從(cóng)M★₩★≈ozilla Application Suite獨立出來✘≥γ✔(lái)的(de)電(diàn)子(zǐ)郵件(jiàn)客戶端★₹α軟件(jiàn)。該軟件(jiàn)支持IMAP、POP郵件(jià$ε​n)協議(yì)以及HTML郵件(jiàn)格式。
漏洞描述：Mozilla Thunderbird 60.★$7.1 之前版本中的(de)icalpropertyπ×¥♠.c文(wén)件(jiàn)存在類型混淆漏洞。攻擊×♦≠Ω者可(kě)通(tōng)過誘使用(yòng)戶打開(kāi)≤ 特制(zhì)的(de)郵件(jiàn)利用(yòng)該漏洞造≤∑成應用(yòng)程序崩潰。
3、歪酷CMS存在文(wén)件(jiàn)上(shàng)傳漏洞，是(shì©↑)一(yī)套內(nèi)容管理(lǐ)系統β$​。
漏洞描述：歪酷CMS存在文(wén)件(ji ™®©àn)上(shàng)傳漏洞，攻擊者利用(☆¥×yòng)該漏洞獲取網站(zhàn)服務器(qì)控制( φ♠zhì)權。
4、TPshop開(kāi)源商城(chéng)φ₩系統Ap***.php文(wén)件(jiàn)存在SQL注入漏洞，★€∑TPshop一(yī)套多(duō)商家(jiā)模式的(de)商城 £←∏(chéng)系統。
漏洞描述：TPshop開(kāi)源商城(chéng)系統A✔₹☆p***.php文(wén)件(jiàn)存在SQL注入≥↑漏洞，攻擊者可(kě)利用(yòng)該漏洞獲取數(shù)據庫♣∞敏感信息。
5、緻遠(yuǎn)A8+協同管理(lǐ)軟件(jiàn)存在遠(yuǎn•$≠‌)程Getshell漏洞，是(shì)一(yī)款協同管₩↓理(lǐ)軟件(jiàn)及雲服務的(de)供應商≥₹‍¶，專注專注在協同管理(lǐ)軟件(jiàn)領域。
漏洞掃描：緻遠(yuǎn)A8+協同管理(lǐ)軟件(jiàn)存在 ✔✔♥遠(yuǎn)程Getshell漏洞。攻擊者通(tōng)過上σ✔‌(shàng)傳精心構造的(de)後門(mén)文(wén)件(jià®♣n)即可(kě)Getshell，獲得(de)目标服務器(qì)的(dΩ<>"e)權限。
6、IBM Security Access Man±♠ ®ager Appliance開(kāi)放(λ​÷>fàng)重定向漏洞，是(shì)美(měi)國(guó)‌♠IBM公司的(de)一(yī)款基于網絡設備的(de)安全解決方案。該産品主要→♥↓±(yào)用(yòng)于訪問(wèn)控制​≥(zhì)和(hé)基于Web的(de)威脅防護，提ε≤供系統性能(néng)監控、日(rì)志(zhì≈←)分(fēn)析和(hé)診斷等功能(néng)。
漏洞描述：IBM ISAM Appliance中存在安全漏☆δ×洞。攻擊者可(kě)通(tōng)過誘使用(yò©<‍'ng)戶訪問(wèn)特制(zhì)的(de)網站(zhàn)利≠σ✔ 用(yòng)該漏洞僞造URL，将用(yòng)戶重定向≠Ω到(dào)惡意的(de)網站(zhàn)，獲取敏感信息或實施其↕↕他(tā)攻擊。
7、Mozilla Firefox和(hé​<)Firefox ESR安全繞過漏洞（CNVD-201✘≈π9-19289），兩款都(dōu)是(shì)美(měi)國"•(guó)Mozilla基金(jīn)會(huì)的(de)産品。M¥™"•ozilla Firefox是(shì)一(yī)款開(kāi)源Web浏覽≥♣↓器(qì)。Mozilla Firefo₽™β✔x ESR是(shì)Firefox(Web浏覽器('↓qì))的(de)一(yī)個(gè)延長(σ♦☆≥cháng)支持版本。
漏洞掃描：Mozilla Firefox 67.0.4$π¶ 之前版本和(hé)Firefox ESR 60.7.2≤≠>≈之前版本中存在安全漏洞。攻擊者可(kě)通(tōng)過誘使用(yòng)戶訪問(w←&èn)特制(zhì)的(de)網站(zhàn)利用(yòng)該ελ漏洞繞過安全限制(zhì)。
8、RDK WebUI組件(jiàn)訪問(w♦≥←✘èn)控制(zhì)錯(cuò)誤漏洞和(hé)RDK Cc™↓spWifiAgent模塊命令執行(xíng)φ↑漏洞，是(shì)RDK Management社區(qū)的(de)兩套÷"¥ 模塊化(huà)、可(kě)移植、可(kě)定制(zhγ‌ì)的(de)開(kāi)源物(wù)聯網軟件(j↓ ♦iàn)解決方案。CcspWifiAgent是(s♣∏εhì)其中的(de)一(yī)個(gè)支持•βWiFi功能(néng)的(de)模塊。
漏洞掃描：RDK RDKB-20181217-1版本中的(de)WebUI£☆組件(jiàn)的(de)actionHandlerUtility.php‌β≥文(wén)件(jiàn)存在訪問(wèn)控制(zhì)錯(cuò•©)誤漏洞。攻擊者可(kě)通(tōng)過向PHP後端發≥✔"送HTTP POST請(qǐng)求利用(yòng)該漏洞控制(z& hì)DDNS、QoS、RIP和(hé)其他(tāΩ​)的(de)特權配置。
漏洞描述：RDK RDKB-20181217-1版本中的(≠φde)CcspWifiAgent模塊的(de)cosa_wifi_‌≠ <apis.c文(wén)件(jiàn)存在安全漏洞。攻β&✔®擊者可(kě)通(tōng)過将Wi-Fi網絡密碼更改成包©‌≥♦含有(yǒu)特制(zhì)轉義字符的(de)密♠≈碼利用(yòng)該漏洞執行(xíng)任意的(de)sh→β 'ell命令。 針對(duì)以上(shàng)疑似漏洞的(de)程↓>★×序，墨者安全建議(yì)去(qù)相(xiàng)對(d♠₩≈≤uì)應的(de)官方網站(zhàn)下(xi §§πà)載最新的(de)補丁程序進行(xíng)更新；♣↕≈σ
對(duì)待開(kāi)源商城(chéng)模 ​∑Ω式的(de)漏洞、電(diàn)子(zǐ)郵件(jiàn)‌‌₹ 的(de)混淆漏洞等重點排查，賬号密碼更改；
做(zuò)一(yī)些(xiē)臨時(s₽↓≤hí)緩解的(de)措施，配置URL訪問(wèn)控制(zhì)γδε策略；
采用(yòng)專業(yè)的(de)查殺工(gō≠☆♣ng)具進行(xíng)查殺處理(lǐ)，重點掃描；↓$σ
找專業(yè)的(de)安全技(jì)術(shù)人(rén)員(yuá • 'n)幫忙協助做(zuò)深入的(de)排查等。
（注：漏洞信息轉載于CNVD即國(guó)家(jiā)信息安全漏洞共✔∏享平台）