NETGEAR R6700是一款无线路由器。本周,NETGEAR R6700被披露存在缓冲区溢出漏洞。该漏洞源于程序将用户提供的数据复制到基于栈的固定缓冲区之前,未能正确验证数据长度。攻击者可利用该漏洞绕过身份验证。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-43667
更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。
参考链接: 小结:Cisco产品被披露存在多个漏洞,攻击者可利用漏洞读取或修改系统上的任意文件,以root用户权限登录账户,执行任意命令,导致系统内存耗尽(拒绝服务)等。此外,Microsoft、Adobe、Google等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,绕过安全限制,获取敏感信息,执行任意代码或造成应用程序崩溃等。另外,NETGEAR R6700被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞绕过身份验证。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。本周重要漏洞攻击验证情况
本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。
1、eGroupWare ‘spellchecker.php’远程代码执行漏洞
验证描述
eGroupWare是一个多用户,在以PHP为基础的API上的定制集为基础开发的,以WEB为基础的工作件套装。
eGroupWare ‘spellchecker.php’存在远程代码执行漏洞,该漏洞源于程序未能正确地验证用户提交的数据。远程攻击者可通过发送恶意的请求利用该漏洞在底层操作系统上执行任意代码。
验证信息
POC链接:
https://www.exploitalert.com/view-details.html?id=35891
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-43466
信息提供者
深信服科技股份有限公司
注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。
关于CNVD