这是近几个月来,Progress Software第二次要求企业安全团队放下一切,迅速采取行动,保护其组织免受文件传输软件中严重漏洞的影响。
需要本地触发。
需要交互。
攻击者利用该漏洞可以在目标主机设备执行任意代码或敏感信息未授权访问。
功利用这些漏洞可以实现认证前命令执行。
成功利用漏洞的攻击者可导致系统崩溃或提升本地用户权限。
据不完全统计,使用libwebp组件的下游软件可能超过百万款,或将使其成为下一个Log4Shell漏洞。
安全研究员认为,苹果和谷歌最近披露旗下产品零日漏洞缺乏关键信息,可能隐藏了一个上游开源库libwebp的漏洞,将使下游的数百万应用面临“巨大的盲点”,处于攻击危险之中。
需要本地低权限。
攻击者可以利用该漏洞进行SQL注入,泄露数据库敏感信息。
需要低权限。
具有低权限的本地攻击者利用该漏洞,可以将权限提升至SYSTEM。
未授权情况下可以命令执行,致系统被攻击与控制。
未授权情况下可以访问录像文件,远程获取到敏感信息。
需要开启ICS共享。
技术细节和POC已在互联网上公开。
远程攻击者需与受害者进行交互。
远程攻击者需已知用户名。
攻击者可利用漏洞在不与受害者进行任何交互的情况下执行任意代码。
微信公众号