Firefox紧急修复RCE 0day(CVE-2019-11707);TP-Link Wi-Fi中继器RCE漏洞

发布时间 2019-06-19

《维他命》每日安全简讯20190619



1、Firefox紧急修复RCE 0day(CVE-2019-11707)

 
Mozilla发布Firefox 67.0.3和Firefox ESR 60.7.1,用于紧急修复可导致RCE的0day(CVE-2019-11707)。该漏洞由谷歌 Project Zero团队发现并报告,是一个类型混淆漏洞,漏洞表述为:由于Array.pop中的问题,操作JavaScript对象时可能会触发漏洞,导致可利用的崩溃。该漏洞已在野外被利用,建议用户尽快更新。

原文链接:https://www.bleepingcomputer.com/news/security/mozilla-firefox-6703-patches-actively-exploited-zero-day/


2、TP-Link Wi-Fi中继器RCE漏洞,影响多个型号

 
IBM X-Force研究员Grzegorz Wypychmembers披露TP-Link Wi-Fi Extender(中继器)中的远程代码实行漏洞。该漏洞影响了产品型号RE365、RE650、RE350和RE500,受影响的固件版本是1.0.2,build为20180213。TP-Link Wi-Fi中继器在MIPS架构上运行,在发送设备利用和运行shell命令的请求时,可通过篡改HTTP头中的user agent字段触发漏洞,从而使未经身份验证的攻击者有机会劫持设备并获得完全控制权。

原文链接:https://www.zdnet.com/article/critical-remote-execution-flaw-lurks-in-tp-link-wi-fi-extenders/


3、脸书 WordPress插件两个CSRF 0day,PoC已发布

 
Plugin Vulnerabilities研究人员披露脸书 WordPress插件中的两个CSRF 0day。受影响的两个插件分别是Messenger Customer Chat和脸书 for WooCommerce,其中前者在超过2万个站点上安装,后者的安装量超过20万次。漏洞允许经过身份验证的用户更改WordPress站点的配置选项,研究人员已经发布了相关细节和PoC代码。

原文链接:https://cyware.com/news/researchers-disclose-two-zero-day-vulnerabilities-impacting-two-脸书-wordpress-plugins-c304d71c


4、求职平台Talanton意外泄露近160万雇主和求职者信息

 
SafetyDetective研究人员发现一个无保护的数据库泄露大量雇主和求职者的个人信息。该数据库属于印度求职平台Talanton,数据库中暴露了来自美国、印度、英国、澳大利亚等国家的近160万雇主和求职者的个人信息,如电话号码、电子邮件地址、国籍、性别、住址、当前雇主、工资预期、求助状态等。该数据库还包含超过5万个加密密码。数据库于5月17日至6月15日之间暴露,在接到报告后,托管服务商Tata Communications将该数据库脱机。

原文链接:https://cyware.com/news/job-searching-platform-exposes-personal-information-of-16-million-employers-and-job-seekers-6faf633f


5、X Social Media企业意外泄露15万份伤害索赔记录

 
安全研究人员Noam Rotem和Ran Locar发现广告企业X Social Media的一个无保护的数据库泄露了15万份伤害索赔记录。该企业帮助律师事务所与受害者签订协议,数据库泄露的信息包括姓名、地址、电话号码以及事故、伤害或疾病情况的说明,还包括个人健康信息、医疗信息、治疗细节等。该数据库还包含300多家律师事务所向广告企业支付的详细费用清单。

原文链接:https://cyware.com/news/unprotected-database-belonging-to-an-ad-agency-has-exposed-150000-records-of-injury-claims-b1e38d28


6、EatStreet遭黑客入侵,超过600万条用户记录被窃

 
食品订购服务企业Eatstreet确认遭黑客入侵,客户及合作伙伴的详细信息被窃。根据EatStreet的表述,黑客于5月3日入侵其计算机网络并访问和下载数据库信息,直至5月17日该企业检测到入侵并阻止黑客的访问。黑客窃取的信息包括订购食物的客户信息及第三方送货服务的信息,如姓名、电话号码、电子邮件地址、银行账户等,用户的信用卡支付详细信息也遭泄露。该企业并未透露有多少用户受到影响,但黑客声称共窃取了600多万条用户记录。

原文链接:https://www.zdnet.com/article/eatstreet-food-ordering-service-discloses-security-breach/