多款产品漏洞通报

关键要点

CISA已将SAP、DLink、DrayTek和Motion Spell的四个漏洞纳入已知被利用漏洞KEV目录。这些漏洞大多数已有数年历史，存在特权提升和远程命令执行等风险。联邦政府机构需要在2024年10月21日之前修复这些漏洞。

周一，网络安全与基础设施安全局CISA将四个关于SAP、DLink、DrayTek和Motion Spell产品的漏洞纳入了已知被利用漏洞KEV目录。

这些漏洞大多已有数年之久，可能导致特权提升和远程命令执行等安全风险。由于这些缺陷受到了攻击者的关注，联邦民用执行机构被要求在2024年10月21日之前对此进行修复。

具体漏洞信息

SAP漏洞 (CVE20190344) 此漏洞影响SAP Commerce Cloud前身为SAP Hybris Service Cloud，其CVSS评分高达98，可能允许远程攻击者以“Hybris”用户帐户的同等权限执行任意代码。此漏洞是由于受影响版本中的扩展“virtualjdbc”存在不安全的反序列化问题。其中包括版本64、65、66、67、1808、1811和1905。客户可以访问SAP支持门户获取升级到修复版本的指导。

DrayTek漏洞 (CVE202015415) 给DrayTek Vigor3900、Vigor2960和Vigor300B路由器在固件版本151之前带来了严重风险。此漏洞允许通过文件名中的shell元字符进行远程命令执行。在此情况下，当使用text/xpythonscript内容类型进行通信时，文件名未能正确处理特殊字符。针对每个设备的固件版本1511的修复下载可以从Draytek官网获取。

DLink漏洞 (CVE202325280) 这是最新被纳入KEV的漏洞，CVSS评分同样为98。该漏洞出现在DLink DIR820LA1FW105B03型号DIR820L，硬件版本A1，固件版本105B03中，攻击者可通过向pingccp发送带有pingaddr参数的特制有效负载来提升为root权限。自2023年2月以来，关于CVE202325280的概念证明PoC利用代码已被发布，Palo Alto Networks的Unit 42在2023年4月检测到该漏洞的真实利用。由于DLink DIR820L路由器已到达生命周期末期，建议用户停止使用该产品以避免被利用。

Motion Spell漏洞 (CVE20214043) 最后一个纳入KEV的漏洞，CVE20214043，CVSS评分为58，属于GPAC开源多媒体框架中的空指针解引用缺陷，可能导致拒绝服务。此漏洞存在PoC利用代码，影响GPAC版本在110之前的版本。KEV条目特别提到Motion Spell对GPAC的实现正在被恶意利用。

这些漏洞的修复和及时应对对于保护用户和系统安全至关重要。维护系统的最新状态，可以有效降低可能的安全风险。

蜜蜂加速器ios官网