Cisco宣布清静更新，修复多个产品中的误差；WooCommerce中误差可导致网站接受，影响上万家市肆

首页 > 清静研究 > 清静转达 > 清静简讯

Cisco宣布清静更新，修复多个产品中的误差；WooCommerce中误差可导致网站接受，影响上万家市肆

宣布时间 2020-08-24

1.Cisco宣布清静更新，修复多个产品中的误差

Cisco宣布清静更新，以修复其多个产品中的误差。此次清静更新中修复的较为严重的误差为Treck IP客栈中的误差Ripple20，这些误差可导致远程执行代码、拒绝服务（DoS）或信息泄露；用于Cisco ENCS 5400-W系列和CSP 5000-W系列的Cisco vWAAS默认凭证误差（CVE-2020-3446），可被使用以治理员权限会见NFVIS CLI；思科智能软件治理器（SSM On-Prem）外地特权升级误差（CVE-2020-3443）以及思科视频监控8000系列IP摄像机思科发明协议远程执行和拒绝服务误差（CVE-2020-3506和CVE-2020-3507）。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates

2.FBI和CISA忠言针对美国偏远地区工人的垂纶运动

美国FBI和CISA团结宣布警报，忠言现在针对美国多个行业部分的语音网络垂纶运动（Vishing）。Vishing是一种社会工程攻击，攻击者在语音呼叫时代模拟受信托的实体，以窃取敏感信息。该机构体现，自2020年7月中旬，网络犯法分子睁开了这一运动，旨在谋取利益。别的，攻击者还注册了用于网络垂纶的域，以克隆目的公司的内部VPN登录页面，来窃取两因素身份验证（2FA）和一次性密码（OTP）。为此，FBI和CISA提出一系列建议步伐，以缓解此类攻击。

原文链接：

https://www.bleepingcomputer.com/news/security/us-govt-warns-remote-workers-of-ongoing-vishing-campaign/

3.WooCommerce中误差可导致网站接受，影响上万家市肆

WebARX发明WordPress插件WooCommerce中误差可导致网站接受，影响上万家市肆。凭证剖析员对误差的剖析，发明它们是由缺乏随机数令牌和授权检查导致的，若是乐成使用这些误差，则未经身份验证的攻击者可以检索所有用户和优惠券代码的列表，并在网站的页眉、页脚或治理页面注入XSS，以触发远程执行代码误差。别的，黑客还可以使用JavaScript键盘纪录程序注入登录表单，以接受治理员帐户。现在，该插件在已往7天内已被下载了凌驾12000次。

原文链接：

https://www.bleepingcomputer.com/news/security/wordpress-woocommerce-stores-under-attack-patch-now/

4.Diebold Nixdorf修复可被用于存款伪造攻击的误差

ATM制造商Diebold Nixdorf和NCR宣布了软件更新，修复可被用于存款伪造攻击的误差。此次修复的误差被追踪为CVE-2020-9062和CVE-2020-10124，划分影响了运行Wincor Probase软件的Diebold Nixdorf ProCash 2100xe USB ATM和运行APTRA XFS软件的NCR SelfServ ATM。这些误差可被黑客使用以修改其银行卡上的存款金额，并在银行发明账户余额异常之前举行诓骗性取款。这些误差源于ATM现金存放箱和主机之间发送的新闻缺少加密和身份验证环节，现在Diebold和NCR均已宣布软件更新，以�；は纸鸫婵钅？橛胫骰涞耐ㄑ丁�

原文链接：

https://securityaffairs.co/wordpress/107421/hacking/diebold-nixdorf-ncr-deposit-forgery.html

5.Spikey攻击可使用信号处置惩罚软件克隆物理钥匙

新加坡国立大学的研究职员发明一种针对物理锁的新攻击战略Spikey，可使用信号处置惩罚软件克隆物理钥匙。此类攻击可以使用智能手机的麦克风捕获钥匙插入或拔出时的金属点击声，并用信号处置惩罚软件举行破译，以推断钥匙的形状，最终可以用3D打印手艺克隆出物理钥匙。研究职员体现未来还可能通过恶意软件熏染受害者的智能手机或智能手表，以此纪录声音并提倡攻击。

原文链接：

https://latesthackingnews.com/2020/08/21/spikey-attack-can-duplicate-physical-keys-by-listening-to-click-sounds/

6.英国Myerscough大学遭到DoS攻击导致系统脱机

英国Myerscough大学在宣布考试效果确当天遭到DoS攻击，导致系统脱机。该大学体现，DoS攻击严重破损了其所有IT基础设施，导致系统处于脱机状态，学生无法会见门户网站GCSE和盘问考试效果。别的，学校员工也只能通过社交媒体工具联系，并且在服务器恢复之前只能手动向所有学生发送其效果的电子邮件。该学校的讲话人体现，现在并没有学生的数据遭到泄露，而外地警方也正在对此事睁开视察。

原文链接：

https://www.bbc.com/news/uk-england-lancashire-53822246

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究