"/>
·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

知道创宇云监测—ScanVMAX更新:DedeCMS、WordPressWoocommerce等多个漏洞可监测

2022-3-7 02:50| 发布者: admin| 查看: 400| 评论: 0|原作者: 知道创宇云防御

摘要: 知道创宇云监测ScanVMAX最新更新,能够监测DedeCMS、WordPress和Woocommerce等多个漏洞,帮助用户及时发现并解决网站安全问题。


本次更新ScanV MAX漏洞检测插件特征库版本:V2.9.5
 
新增漏洞检测插件3个,优化历史插件1个。
 
一、新增漏洞检测插件
 
1.DedeCMS 信息泄漏漏洞插件更新时间:2021年7月26日
2.WordPress Woocommerce 插件未授权 SQL 注入漏洞插件更新时间:2021年7月26日
3.路径 EL 表达式注入漏洞,插件更新时间:2021年7月26日
 
漏洞相关信息:
 
1.DedeCMS 信息泄漏漏洞
 
漏洞插件更新时间:
2021年7月26日
漏洞来源:
https://nvd.nist.gov/vuln/detail/CVE-2018-6910
漏洞等级:
高危
漏洞影响:
远程攻击者可通过对include/downmix.inc.php文件发送请求利用该漏洞获取完整路径。
影响范围:
根据ZoomEye网络空间搜索引擎关键字app:"DedeCMS"
对潜在可能目标进行搜索,共得到1,388,203条IP历史记录,主要分布在美国、中国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult/report?q=app%3A%22DedeCMS%22)


全球分布:

 
建议解决方案:
修改应用程序源代码,在头部加入“error_reporting(0);”以避免信息泄漏。
 参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2018-6910。
 
2.WordPress Woocommerce 插件未授权 SQL 注入漏洞

漏洞插件更新时间:
2021年7月26日
漏洞来源:
https://woocommerce.com/posts/critical-vulnerability-detected-july-2021/
漏洞等级:
高危
漏洞影响:
未经授权的攻击者可以利用此漏洞获取数据库数据,登录系统后台。
影响范围:
根据ZoomEye网络空间搜索引擎关键字app:"WordPress WooCommerce plugin"对潜在可能目标进行搜索,共得到723,257条IP历史记录,主要分布在美国、德国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=app%3A%22WordPress%20WooCommerce%20plugin%22)


全球分布:


建议解决方案:
升级到最新版本。
参考链接:

https://woocommerce.com/posts/critical-vulnerability-detected-july-2021/。
 
3.路径 EL 表达式注入漏洞

漏洞插件更新时间:
2021年7月26日
漏洞来源:
http://www.mindedsecurity.com/fileshare/ExpressionLanguageInjection.pdf
漏洞等级:
高危
漏洞影响:
表达式注入会造成J2EE应用程序的登录用户会话敏感信息泄漏,攻击者可以控制登录用户的会话甚至执行命令。

建议解决方案:
Web应用程序应该对外部用户的输入数据做有效过滤和序列化处理,例如过滤 '${','#{' 等EL表达式语法的字符。
 参考链接:      

http://www.mindedsecurity.com/fileshare/ExpressionLanguageInjection.pdf
http://seclists.org/lists/fulldisclosure/2006/May/0035.html
 
 
二、插件优化1
 
1.优化Apache Shiro反序列化漏洞检测。

以上插件更新、优化来源于创宇安全大脑大数据分析平台,对近期漏洞利用情况及利用方式分析后做出的优化更新,同时支持WebSOC系列





上一篇:0x09Android进程安全
下一篇:知名软件火萤视频桌面恶意篡改首页火绒已拦截

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:13.59.68.161,GMT+8, 2024-12-26 09:26 , Processed in 0.165647 second(s), 47 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部