首页 > 安全钻研 > 安全传递 > 安全简讯

Firefox垂危建复RCE 0day（CVE-2019-11707）；TP-Link Wi-Fi中继器RCE缝隙

颁布功夫 2019-06-19

《维他命》逐日安全简讯20190619

1、Firefox垂危建复RCE 0day（CVE-2019-11707）

Mozilla颁布Firefox 67.0.3和Firefox ESR 60.7.1，用于垂危建复可导致RCE的0day（CVE-2019-11707）。该缝隙由Google Project Zero团队发现并汇报，是一个类型混合缝隙，缝隙表述为：由于Array.pop中的问题，操作JavaScript对象时可能会触发缝隙，导致可利用的崩溃。该缝隙已在野表被利用，建议用户尽快更新。

原文链接：https://www.bleepingcomputer.com/news/security/mozilla-firefox-6703-patches-actively-exploited-zero-day/

2、TP-Link Wi-Fi中继器RCE缝隙，影响多个型号

IBM X-Force钻研员Grzegorz Wypychmembers披露TP-Link Wi-Fi Extender（中继器）中的远程代码执行缝隙。该缝隙影响了产品型号RE365、RE650、RE350和RE500，受影响的固件版本是1.0.2，build为20180213。TP-Link Wi-Fi中继器在MIPS架构上运行，在发送设备利用和运行shell号令的要求时，可通过篡改HTTP头中的user agent字段触发缝隙，从而使未经身份验证的攻击者有机遇劫持设备并获得齐全节造权。

原文链接：https://www.zdnet.com/article/critical-remote-execution-flaw-lurks-in-tp-link-wi-fi-extenders/

3、Facebook WordPress插件两个CSRF 0day，PoC已颁布

Plugin Vulnerabilities钻研人员披露Facebook WordPress插件中的两个CSRF 0day。受影响的两个插件别离是Messenger Customer Chat和Facebook for WooCommerce，其中前者在超过2万个站点上装置，后者的装置量超过20万次。缝隙允许经过身份验证的用户更改WordPress站点的配置选项，钻研人员已经颁布了有关细节和PoC代码。

原文链接：https://cyware.com/news/researchers-disclose-two-zero-day-vulnerabilities-impacting-two-facebook-wordpress-plugins-c304d71c

4、求职平台Talanton意表泄露近160万雇主和求职者信息

SafetyDetective钻研人员发现一个无�；さ氖菘庑孤洞罅抗椭骱颓笾罢叩挠孜倚畔�。该数据库属于印度求职平台Talanton，数据库中露出了来自美国、印度、英国、澳大利亚等国度的近160万雇主和求职者的幼我信息，如电话号码、电子邮件地址、国籍、性别、住址、当前雇主、工资预期、求助状态等。该数据库还蕴含超过5万个加密密码。数据库于5月17日至6月15日之间露出，在接到汇报后，托管服务商Tata Communications将该数据库脱机。

原文链接：https://cyware.com/news/job-searching-platform-exposes-personal-information-of-16-million-employers-and-job-seekers-6faf633f

5、X Social Media公司意表泄露15万份中伤索赔纪录

安全钻研人员Noam Rotem和Ran Locar发现告白公司X Social Media的一个无�；さ氖菘庑孤读�15万份中伤索赔纪录。该公司援手律师事务所与受害者签定和谈，数据库泄露的信息蕴含姓名、地址、电话号码以及变乱、中伤或疾病情况的诠释，还蕴含幼我健全信息、医疗信息、医治细节等。该数据库还蕴含300多家律师事务所向告白公司支付的具体用度清单。

原文链接：https://cyware.com/news/unprotected-database-belonging-to-an-ad-agency-has-exposed-150000-records-of-injury-claims-b1e38d28

6、EatStreet遭黑客入侵，超过600万条用户纪录被窃

食品订购服务公司Eatstreet确认遭黑客入侵，客户及合作同伴的具体信息被窃。凭据EatStreet的表述，黑客于5月3日入窃熹推算机网络并接见和下载数据库信息，直至5月17日该公司检测到入侵并阻止黑客的接见。黑客窃取的信息蕴含订购食品的客户信息及第三方送货服务的信息，如姓名、电话号码、电子邮件地址、银行账户等，用户的信誉卡支付具体信息也遭泄露。该公司并未泄漏有几多用户受到影响，但黑客宣称共窃取了600多万条用户纪录。

原文链接：https://www.zdnet.com/article/eatstreet-food-ordering-service-discloses-security-breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Firefox垂危建复RCE 0day（CVE-2019-11707）；TP-Link Wi-Fi中继器RCE缝隙

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

Firefox垂危建复RCE 0day（CVE-2019-11707）；TP-Link Wi-Fi中继器RCE缝隙

7*24幼时服务热线

Firefox垂危建复RCE 0day（CVE-2019-11707）；TP-Link Wi-Fi中继器RCE缝隙