==== 资安双周报 (240701) ==== 初一十五除了呷菜喔外 也要关心一下安全圈的消息 - 又是 EOL (End-of-life) 的产品被针对 - Wget 也是会有 CVE 的 - 免钱的或许真的最贵 - 各上市公司资安消息 - 商务平台 PrestaShop 外挂有漏洞 # 又是 EOL (End-of-life) 的产品被针对 # Zyxel 在六月初针对已经 EOL 的 NAS 产品发布警急更新 这已经不知道是第几起骇客针对 EOL 的产品发动攻击[0] 但是这次揭露 是首度发现针对老旧 NAS 进行锁定攻击 # Wget 也是会有 CVE 的 # Wget 是一个 Linux 环境十分常用的一个下载工具 近期被发现一个 CVSS 10.0 的安全性漏洞[1] 虽然事後 CERT 把 CVE-2024-38428 的 CVSS 分数下修为 6.3 但依然值得关注 因为是经过特制的 URL 就可能造成帐密资料泄漏或者 MITM # 免钱的或许真的最贵 # 近日资安圈消息：因为 polyfill.io 已经卖给一间中国公司 原开发者[2] 建议大家尽快移除 polyfill.io 而有人发现当使用 cdn.polyfill.io 服务时有机会被塞入加料的 JS [3] 同时也有人帮忙整理整件事情的来龙去脉[4] # 各上市公司资安消息 # - 华硕 (2357) 因为参数设定问题、部分产品资料揭露[5] - 永信药品遭到骇客攻击 营运无重大影响[6] # 商务平台 PrestaShop 外挂有漏洞 # 电子商务平台 PrestaShop 的脸书外挂程式存在漏洞 CVE-2024-36680 方克有机会发动 SQJInj 攻击 CVSS 分数为 9.8 [7] [0]: https://www.ithome.com.tw/news/163661 [1]: https://borncity.com/win/2024/06/18/critical-vulnerability-cve-2024-38428-in-wget/ [2]: https://x.com/triblondon/status/1761852117579427975 [3]: https://blog.huli.tw/2024/06/25/stop-using-polyfill-io/ [4]: https://polykill.io/ [5]: https://udn.com/news/story/7240/8054290?from=udn-ch1_breaknews-1-99-news [6]: https://www.ithome.com.tw/news/163503 [7]: https://www.ithome.com.tw/news/163644 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 218.164.1.8 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1719795338.A.011.html ※ 编辑: CMJ0121 (218.164.1.8 台湾), 07/01/2024 08:56:01