Cisco宣布清静更新，，，，，修复多个产品中的误差；；；；WooCommerce中误差可导致网站接受，，，，，影响上万家市肆

首页 > 清静研究 > 清静转达 > 清静简讯

Cisco宣布清静更新，，，，，修复多个产品中的误差；；；；WooCommerce中误差可导致网站接受，，，，，影响上万家市肆

宣布时间 2020-08-24

1.Cisco宣布清静更新，，，，，修复多个产品中的误差

Cisco宣布清静更新，，，，，以修复其多个产品中的误差。。此次清静更新中修复的较为严重的误差为Treck IP客栈中的误差Ripple20，，，，，这些误差可导致远程执行代码、拒绝效劳（DoS）或信息泄露；；；；用于Cisco ENCS 5400-W系列和CSP 5000-W系列的Cisco vWAAS默认凭证误差（CVE-2020-3446），，，，，可被使用以治理员权限会见NFVIS CLI；；；；思科智能软件治理器（SSM On-Prem）外地特权升级误差（CVE-2020-3443）以及思科视频监控8000系列IP摄像机思科发明协议远程执行和拒绝效劳误差（CVE-2020-3506和CVE-2020-3507）。。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates

2.FBI和CISA忠言针对美国偏远地区工人的垂纶活动

美国FBI和CISA联合宣布警报，，，，，忠言现在针对美国多个行业部分的语音网络垂纶活动（Vishing）。。Vishing是一种社会工程攻击，，，，，攻击者在语音呼叫时代模拟受信任的实体，，，，，以窃取敏感信息。。该机构体现，，，，，自2020年7月中旬，，，，，网络犯法分子睁开了这一活动，，，，，旨在谋取利益。。别的，，，，，攻击者还注册了用于网络垂纶的域，，，，，以克隆目的公司的内部VPN登录页面，，，，，来窃取两因素身份验证（2FA）和一次性密码（OTP）。。为此，，，，，FBI和CISA提出一系列建议步伐，，，，，以缓解此类攻击。。

原文链接：

https://www.bleepingcomputer.com/news/security/us-govt-warns-remote-workers-of-ongoing-vishing-campaign/

3.WooCommerce中误差可导致网站接受，，，，，影响上万家市肆

WebARX发明WordPress插件WooCommerce中误差可导致网站接受，，，，，影响上万家市肆。。凭证剖析员对误差的剖析，，，，，发明它们是由缺乏随机数令牌和授权检查导致的，，，，，若是乐成使用这些误差，，，，，则未经身份验证的攻击者可以检索所有用户和优惠券代码的列表，，，，，并在网站的页眉、页脚或治理页面注入XSS，，，，，以触发远程执行代码误差。。别的，，，，，黑客还可以使用JavaScript键盘纪录程序注入登录表单，，，，，以接受治理员帐户。。现在，，，，，该插件在已往7天内已被下载了凌驾12000次。。

原文链接：

https://www.bleepingcomputer.com/news/security/wordpress-woocommerce-stores-under-attack-patch-now/

4.Diebold Nixdorf修复可被用于存款伪造攻击的误差

ATM制造商Diebold Nixdorf和NCR宣布了软件更新，，，，，修复可被用于存款伪造攻击的误差。。此次修复的误差被追踪为CVE-2020-9062和CVE-2020-10124，，，，，划分影响了运行Wincor Probase软件的Diebold Nixdorf ProCash 2100xe USB ATM和运行APTRA XFS软件的NCR SelfServ ATM。。这些误差可被黑客使用以修改其银行卡上的存款金额，，，，，并在银行发明账户余额异常之前举行诓骗性取款。。这些误差源于ATM现金存放箱和主机之间发送的新闻缺少加密和身份验证环节，，，，，现在Diebold和NCR均已宣布软件更新，，，，，以�；；；；は纸鸫婵钅？？？？橛胫骰涞耐ㄑ丁�。

原文链接：

https://securityaffairs.co/wordpress/107421/hacking/diebold-nixdorf-ncr-deposit-forgery.html

5.Spikey攻击可使用信号处置惩罚软件克隆物理钥匙

新加坡国立大学的研究职员发明一种针对物理锁的新攻击战略Spikey，，，，，可使用信号处置惩罚软件克隆物理钥匙。。此类攻击可以使用智能手机的麦克风捕获钥匙插入或拔出时的金属点击声，，，，，并用信号处置惩罚软件举行破译，，，，，以推断钥匙的形状，，，，，最终可以用3D打印手艺克隆出物理钥匙。。研究职员体现未来还可能通过恶意软件熏染受害者的智能手机或智能手表，，，，，以此纪录声音并提倡攻击。。

原文链接：

https://latesthackingnews.com/2020/08/21/spikey-attack-can-duplicate-physical-keys-by-listening-to-click-sounds/

6.英国Myerscough大学遭到DoS攻击导致系统脱机

英国Myerscough大学在宣布考试效果确当天遭到DoS攻击，，，，，导致系统脱机。。该大学体现，，，，，DoS攻击严重破损了其所有IT基础设施，，，，，导致系统处于脱机状态，，，，，学生无法会见门户网站GCSE和盘问考试效果。。别的，，，，，学校员工也只能通过社交媒体工具联系，，，，，并且在效劳器恢复之前只能手动向所有学生发送其效果的电子邮件。。该学校的讲话人体现，，，，，现在并没有学生的数据遭到泄露，，，，，而外地警方也正在对此事睁开视察。。

原文链接：

https://www.bbc.com/news/uk-england-lancashire-53822246

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

南宫NG娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系南宫NG娱乐

清静研究