首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第30周

颁布功夫 2020-07-27

> 本周安全态势综述

2020年07月20日至07月26日共收录安全缝隙57个，，，，，，值得关注的是Tenda AC15 AC1900肆意号令执行缝隙；；；；；；Tesla Model 3未授权打开车门缝隙；；；；；；Phoenix Contact PLCnext Engineer CVE-2020-12499蹊径遍历缝隙；；；；；；Adobe Photoshop CC CVE-2020-9687越界写缝隙; HPE nagios plugin for iLO PHP代码注入缝隙。。。。。

本周值得关注的网络安全事务是Mozilla颁布雷鸟安全更新，，，，，，建复多个严沉的缝隙；；；；；；AvertX IP系列摄像头存在3个缝隙，，，，，，可被利用提议暴力攻击；；；；；；Adobe颁布垂危安全更新，，，，，，建复多款产品中肆意代码执行缝隙；；；；；；黑客利用Google云提议垂钓攻击，，，，，，窃取Office 365凭证；；；；；；思科颁布安全更新，，，，，，建复ASA和FTD中的蹊径遍历缝隙。。。。。

凭据以上综述，，，，，，本周安全威胁为钟祝。。。。

>沉要安全缝隙列表

1.Tenda AC15 AC1900肆意号令执行缝隙

Tenda AC15 AC1900 goform/AdvSetLanip端点存在安全缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的‘lanIp POST’参数要求，，，，，，可执行肆意系统号令。。。。。

https://blog.securityevaluators.com/tenda-ac1900-vulnerabilities-discovered-and-exploited-e8e26aa0bc68

2. Tesla Model 3未授权打开车门缝隙

Tesla Model 3存在安全缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可借助合法钥匙卡并执行NFC中继攻击利用该缝隙打开车门。。。。。

https://cansecwest.com/post/2020-03-09-22:00:00_2020_Speakers

3. Phoenix Contact PLCnext Engineer CVE-2020-12499蹊径遍历缝隙

Phoenix Contact PLCnext Engineer存在输入验证缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，可进行目录遍历攻击，，，，，，可获取Web服务文件系统内的肆意文件。。。。。

https://cert.vde.com/en-us/advisories/vde-2020-025

4. Adobe Photoshop CC CVE-2020-9687越界写缝隙

Adobe Photoshop CC存在越界写缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可进行回绝服务攻击或者以利用法式高低文执行肆意代码。。。。。

https://helpx.adobe.com/security/products/photoshop/apsb20-45.html

5. HPE nagios plugin for iLO PHP代码注入缝隙

HPE nagios plugin for iLO存在输入验证缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，可注入肆意PHP代码并执杏祝。。。。

https://github.com/HewlettPackard/nagios-plugins-hpilo/commit/7617b2736a95c7f354198f092febe37e7005c677

> 沉要安全事务综述

1、Mozilla颁布雷鸟安全更新，，，，，，建复多个严沉的缝隙