影视网站php接口采集
北京安域领创科技有限公司
安全通告
报告周期:2022年3月第五周
(2022年3月28日-2022年4月2日)
目 录1本周漏洞通告1.1漏洞一:WordPress Photo Gallery by 10Web plugin SQL注入漏洞
1.2漏洞二:BlueCMS SQL注入漏洞
1.3漏洞三:TuziCMS SQL注入漏洞
1.4漏洞四:温州互引信息技术有限公司BossCMS存在SQL注入漏洞
1.5漏洞五:四创科技有限公司农业水价改革系统存在文件上传漏洞
2本周病毒木马通告62.1本周流行病毒木马统计
2.1.1浅析跨域资源共享协议相关安全问题63安全事件通告143.1本周国内外安全事件通告
3.1.1 伦敦警方指控两名少年多项网络罪名 涉嫌参与 Lapsus$3.1.2 伪造“紧急搜查令”泛滥 美议员呼吁推动“数字真实性”立法3.1.3 SentinelLabs:俄罗斯利用 AcidRain 擦除恶意软件攻击了 ViaSat3.1.4 Facebook 因算法漏洞连推糟糕内容 一直持续半年3.1.5 苹果、Meta 被曝向伪装成执法官员的黑客提供用户数据231 本周漏洞通告1.1漏洞一:WordPress Photo Gallery by 10Web plugin SQL注入漏洞发布时间2022-03-14更新时间2022-04-02CNVD-IDCNVD-2022-25758漏洞危害级别高影响产品WordPress Photo Gallery by 10Web Plugin<1.6.0漏洞类型通用型漏洞漏洞描述WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。WordPress Photo Gallery by 10Web plugin 1.6.0之前版本存在SQL注入漏洞,该漏洞源于bwg_frontend_data AJAX操作时,在SQL语句使用它之前不会验证和转义bwg_tag_id_bwg_thumbnails_0参数,未经身份验证攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。漏洞解决方案厂商已发布了漏洞修复程序,请及时关注更新:漏洞二:BlueCMS SQL注入漏洞发布时间2022-04-02更新时间2022-04-02CNVD-IDCNVD-2022-25774漏洞危害级别高影响产品BlueCMS BlueCMS 1.6漏洞类型通用型漏洞漏洞描述BlueCMS是一套基于PHP和MySQL的内容管理系统(CMS)。BlueCMS1.6版本中存在SQL注入漏洞。远程攻击者可利用该漏洞借助‘user_id’参数执行SQL命令。漏洞解决方案目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:漏洞三:TuziCMS SQL注入漏洞发布时间2022-04-02更新时间2022-04-02CNVD-IDCNVD-2022-25982漏洞危害级别高漏洞类型通用型漏洞影响产品TuziCMS TuziCMS 2.0.6漏洞描述TuziCMS(兔子CMS)是一款基于PHP和MySQL的企业建站内容管理系统(CMS)。TuziCMS 2.0.6版本存在SQL注入漏洞,该漏洞源于AppManageControllerBannerController.class.php缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。漏洞解决方案厂商尚未提供漏洞修复方案,请关注厂商主页更新:漏洞四:温州互引信息技术有限公司BossCMS存在SQL注入漏洞发布时间2022-03-31更新时间2022-03-11CNVD-IDCNVD-2022-18252漏洞危害级别高漏洞类型通用型漏洞影响产品温州互引信息技术有限公司 BossCMS V1.2漏洞描述BossCMS是一款网站内容管理系统。温州互引信息技术有限公司BossCMS存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。漏洞解决方案1.3版本,已修复此漏洞,建议用户下载使用:漏洞五:四创科技有限公司农业水价改革系统存在文件上传漏洞发布时间2022-03-30更新时间2022-03-12CNVD-IDCNVD-2022-18765漏洞类型通用型漏洞漏洞危害级别高影响产品四创科技有限公司 农业水价改革系统漏洞描述四创科技有限公司是一家致力于中国防灾减灾事业的技术型企业。四创科技有限公司农业水价改革系统存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。漏洞解决方案厂商已发布了漏洞修复程序,请及时关注更新: 2本周病毒木马通告2.1本周流行病毒木马统计2.1.1浅析跨域资源共享协议相关安全问题病毒危险级别:高一、如何挖掘CORS漏洞? 方式一:curl命令引发争议的“紧急数据请求”(EDR),通常由经常或政府机构的电子邮件账户发出,特点是能够绕过法院传票或收查令,让科技企业交出客户或用户数据。
鉴于任何管辖区的警局都可基于 EDR 请求而立即访问数据(前提是执法机构提供了数据请求的紧迫性证明),黑客显然也盯上了这个薄弱环节。
正如周二报道的那样,对于一个搜到 EDR 请求的企业来说,经手人员并无快速简便的方法来知悉该请求是否合法。
毕竟仅在美国境内,就有大约 1.8 万个不同的警察组织,更别提还有遍布全球的数千个政府和警察机构。
利用这种模糊性,网络犯罪分子便积极寻求攻破相关组织的电子邮件账户,然后就可以向受害企业发去以假乱真的紧急数据请求邮件。
本周的系列报道,证实了社交媒体平台 Discord 已经躺枪。此外彭博社周三指出,近期已有黑客成功地骗到了苹果和 Meta(Facebook)头上。
鉴于此事与俄乌冲突爆发的时间点接近,早期调查认为俄罗斯方面有很大的嫌疑。此外这轮攻击还断开了德国约 5800 台风力发电机的远程访问,起初还以为它们遭到了分布式拒绝服务(DDoS)攻击。
不过参考 SentinelLabs 最新发布的安全研究报告,作为一款新冒出的擦除恶意软件,AcidRain 旨在远程清除易受攻击的调制解调器和路由器。
可知 3 月 15 日那天,研究人员从意大利用户 ukrop 上传到 VirusTotal 的样本中发现了端倪,并推测该用户名为“乌克兰行动”(Ukraine operation)的缩写。
至于这款擦除器的功能,研究人员称其相当“通用”。因为在尝试破坏数据之前,它会对文件系统和各种已知存储设备上的文件进行深度抹除,然后让设备重启变砖。
尽管攻击者的确切身份仍是个谜,但 SentinelLabs 观察到了 AcidRain 和 VPNFilter 恶意软件之间的相似之处 —— 后者感染了全球数千个家庭和小型企业的路由器等网络设备。
2018 年,FBI 将 VPNFilter 操作归咎于有俄罗斯背景的“Fancy Bear”(又名 APT28)黑客组织。
Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。
虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处传播。工程师找不到根本原因,只能眼睁睁看着虚假信息持续发酵,几个星期后平息,然后复发,最终工程师才发现是排序有问题,并于3月11日修复。
内部文档显示,该技术问题最早可追溯到2019年,但直到2021年10月才造成重大影响。Meta新闻发言人乔·奥斯本(Joe Osborne)说:“我们追踪根本原因,最终发现是软件有漏洞,然后进行了修复。漏洞不会给我们的评估标准造成任何有意义的长远影响。”
多年来,Facebook一直鼓吹公司开发的降序系统,认为它可以提高动态消息的质量,随着自动系统的优化未来能处理更多种类的内容。很明显,Facebook系统仍然不完美。
3.1.5苹果、Meta 被曝向伪装成执法官员的黑客提供用户数据据知情人士透露,苹果和Meta在2021年年中回应了伪造的“紧急数据请求”,向黑客提供了用户的基本信息,如客户的地址、电话号码和IP地址。伪造的“紧急数据请求”是由多个国家/地区的执法人员的被黑电子邮件域发送的,并且经过精心设计,带有真实或虚构执法人员的伪造签名,看起来合法。
据彭博社报道,一个名为“Recursion Team”的网络犯罪组织与2021年发送给多家公司的一些伪造的法律请求有关。一些黑客被认为是美国和英国的未成年人,并且至少其中一名未成年人还参与了攻击微软、三星和英伟达。
据上述知情人士透露,通常情况下,此类请求会获得一份搜查令或由法官签署的传票,但紧急请求不需要法院命令。Snap也收到了来自同一群黑客的伪造法律请求,但不知道它是否提供了用户数据。
苹果表示需参照公司的法律指引,Meta发言人表示将阻止已知的被盗账户发出请求,并与执法部门合作对涉及可疑欺诈性请求的事件作出回应。
优艺cms微信对接