首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第30周

颁布功夫 2020-07-27

> 本周安全态势综述

2020年07月20日至07月26日共收录安全缝隙57个，值得关注的是Tenda AC15 AC1900肆意号令执行缝隙；Tesla Model 3未授权打开车门缝隙；Phoenix Contact PLCnext Engineer CVE-2020-12499蹊径遍历缝隙；Adobe Photoshop CC CVE-2020-9687越界写缝隙; HPE nagios plugin for iLO PHP代码注入缝隙。

本周值得关注的网络安全事务是Mozilla颁布雷鸟安全更新，建复多个严沉的缝隙；AvertX IP系列摄像头存在3个缝隙，可被利用提议暴力攻击；Adobe颁布垂危安全更新，建复多款产品中肆意代码执行缝隙；黑客利用Google云提议垂钓攻击，窃取Office 365凭证；思科颁布安全更新，建复ASA和FTD中的蹊径遍历缝隙。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1.Tenda AC15 AC1900肆意号令执行缝隙

Tenda AC15 AC1900 goform/AdvSetLanip端点存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的‘lanIp POST’参数要求，可执行肆意系统号令。

https://blog.securityevaluators.com/tenda-ac1900-vulnerabilities-discovered-and-exploited-e8e26aa0bc68

2. Tesla Model 3未授权打开车门缝隙

Tesla Model 3存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可借助合法钥匙卡并执行NFC中继攻击利用该缝隙打开车门。

https://cansecwest.com/post/2020-03-09-22:00:00_2020_Speakers

3. Phoenix Contact PLCnext Engineer CVE-2020-12499蹊径遍历缝隙

Phoenix Contact PLCnext Engineer存在输入验证缝隙，允许远程攻击者利用缝隙提交特殊的要求，可进行目录遍历攻击，可获取Web服务文件系统内的肆意文件。

https://cert.vde.com/en-us/advisories/vde-2020-025

4. Adobe Photoshop CC CVE-2020-9687越界写缝隙

Adobe Photoshop CC存在越界写缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可进行回绝服务攻击或者以利用法式高低文执行肆意代码。

https://helpx.adobe.com/security/products/photoshop/apsb20-45.html

5. HPE nagios plugin for iLO PHP代码注入缝隙

HPE nagios plugin for iLO存在输入验证缝隙，允许远程攻击者利用缝隙提交特殊的要求，可注入肆意PHP代码并执行。

https://github.com/HewlettPackard/nagios-plugins-hpilo/commit/7617b2736a95c7f354198f092febe37e7005c677

> 沉要安全事务综述

1、Mozilla颁布雷鸟安全更新，建复多个严沉的缝隙

GA黄金甲·(中国区)官方网站

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird

2、AvertX IP系列摄像头存在3个缝隙，可被利用提议暴力攻击

GA黄金甲·(中国区)官方网站

原文链接：

https://www.ehackingnews.com/2020/07/vulnerabilities-with-avertx-ip-security.html

3、Adobe颁布垂危安全更新，建复多款产品中肆意代码执行缝隙

GA黄金甲·(中国区)官方网站

原文链接：

https://www.bleepingcomputer.com/news/security/adobe-photoshop-gets-fixes-for-critical-security-vulnerabilities/

4、黑客利用Google云提议垂钓攻击，窃取Office 365凭证

GA黄金甲·(中国区)官方网站

原文链接：

https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-google-cloud-services-to-steal-office-365-logins/

5、思科颁布安全更新，建复ASA和FTD中的蹊径遍历缝隙

GA黄金甲·(中国区)官方网站

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/07/23/cisco-releases-security-updates-asa-and-ftd-software

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2020年第30周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线