首页 > 动态 > 关键词 > 漏洞最新资讯 > 正文

Mida Solutions爆出多个漏洞,或殃及微软,思科,惠普,中国电信等40余名企

2020-07-28 16:13 · 稿源:TechWeb.com.cn

Mida Solutions是一家专注于统一通信(UC)的高技能意大利公司。自2004年以来,它提供独特的专业知识以及一整套高级服务和语音应用程序,其使命是为通信提供增值的创新技术。

Mida团队已成为统一协作和专业沟通的全球领导者,几乎所有行业的服务提供商,系统集成商。其合作伙伴有微软,思科,惠普,中国电信等40个世界知名企业。

Mida eFramework是Mida Solutions公司旗下视频和语音应用程序的完整服务套件,与几乎所有主要的UC平台兼容。该套件包括话务员控制台,记录器,传真服务器,计费,队列管理器,自动话务员,移动应用程序,电话服务。

不过该服务套件在7月份爆出了多个漏洞,或殃及微软,思科,惠普,中国电信等40余名企!以下是漏洞详情:

1.存储型跨站点脚本(XSS) (CVE-2020-15918)

影响:会话劫持

(已验证)在未公开的 Mida Solutions eFramework 2.反射型跨站点脚本漏洞(XSS)(CVE-2020-15919)

影响:会话劫持

(未经身份验证)未公开的 Mida Solutions eFramework 3.操作系统命令(OS)注入远程执行代码漏洞(RCE)和拒绝服务(Dos)(CVE-2020-15920)

影响:OS代码执行

Mida Solutions eFramework 2.9.0及之前版本中存在操作系统命令注入漏洞。它使未经身份认证的攻击者能够获得具有管理(root)特权的远程代码执行(RCE)。注入点位于未公开的 PHP页面上,该页面可以使用GET或POST恶意负载作为目标。

4.管理后门访问漏洞(CVE-2020-15921)

影响:特权升级,OS代码执行

Mida Solutions eFramework 5.操作系统命令注入远程执行代码漏洞(RCE)(CVE-2020-15922)

影响:OS代码执行

(未经身份验证的6.路径遍历漏洞(CVE-2020-15923)

影响:信息泄露

(未经身份验证,具有Root访问权限7.SQL注入漏洞(CVE-2020-15924)

影响:数据库泄露,信息泄露,权限提升

Mida Solutions eFramework 2.9.0及之前版本中存在SQL注入漏洞。攻击者可利用该漏洞提升特权,获取信息,造成数据泄露。

漏洞修复

Mida Solutions eFramework 2.8.9版已经过测试,这是测试时可用的最新版本。以前的版本也可能会受到影响。在今年第一季度,供应商发布了较新的版本2.9.0。但是,最新版本仍然容易受到上述漏洞的攻击。

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:

https://www.midasolutions.com/

  • 相关推荐
  • 大家在看
  • 打破神话的代币经济与一些常见的思维漏洞

    “在这篇文章中,我将对与代币经济相关的一些概念进行解释,欢迎大家阅读本文。——币安首席执行官赵长鹏(CZ)每天,我都看到人们对代币经济基础概念的各种思维漏洞。我知道,关于金融、关于货币供给系统如何运作等知识,学校教科书内容涉及的介绍篇幅有限。我也知道,加密资产是新兴行业,有些知识是需要我们所有人都去学习的。在这篇文章中,我将解释一些概念,请轻松浏览本文。这些都是我本人的观点,观点可能有失偏颇。我推荐大

  • NEC爆出大量安全漏洞,或将影响所有中小企业及政府!

    日本NEC是全球IT、通信网络的领先供应商之一,也是全球500强企业之一。NEC主要从事IT服务、平台业务、运营商网络、社会基础设施、个人解决方案等产品的研发、集群软件、生产和销售,产品多达15000多种.NEC在全球150多个国家和地区开展业务,融合先进的信息技术和网络技术,向政府、企业及个人提供卓越的综合解决方案。不过7月30日,NEC被爆其通信产品和解决方案中存在大量安全漏洞,旗下多款通信服务器和电话交换机纷纷中招,或将影响

  • 黑客发现新漏洞:可用于iOS 13.6越狱

    据外媒最新报道称,已经有开发者给出消息称,有用于iOS 13.6正式版的漏洞了(efp0),不过目前相应的越狱工具还在初始阶段。需要指出的是,针对 tfp0 漏洞利用的开发仍处于早期阶段,且目前尚

  • IBM 多款产品爆出漏洞,或严重影响银行等金融机构

    IBM是全球最大的信息技术和业务解决方案公司,其全球能力包括服务、软件、硬件系统、研发及相关融资支持。IBM始终以超前的技术、出色的管理和独树一帜的产品领导着信息产业的发展,保证了世界范围内几乎所有行业用户对信息处理的全方位需求。不过IBM于7月31日发布了安全公告,IBM 旗下多款产品存在大量漏洞,或严重影响银行等金融机构。以下是漏洞详情:一.金融事务管理器(FTM HVP)IBM Financial Transaction Manager for High Va

    IBM
  • SIGRed 严重漏洞来势汹汹,立即修复刻不容缓

    想象一下,如果有人能够在您不知情的情况下拦截并阅读您的每一封邮件(包括新办理的银行卡、各种支付账号信息、工作申请表等等)然后再将其转发给您,将会发生什么?通过邮件了解您的详细信息,黑客能通过复制或篡改您的邮件对您造成破坏性影响。再试想一下,黑客可以在您企业的网络上执行相同的操作,拦截和操控用户的电子邮件和网络流量,终止服务运行,收集用户凭证等等。实际上,他们将能够完全控制您的 IT 设施与核心业务。

  • 安全人员称苹果Enclave存在漏洞 但不会影响大多数iPhone用户

    安全研究人员近日披露了苹果Secure Enclave处理器的一个漏洞,但虽然敏感信息的数据存储,意味着包括Apple Pay详情和Face ID生物识别记录在内的数据有可能受到攻击者的攻击,但事实上,这对于绝大多数苹果客户来说,它不大可能成为一个问题。

  • 盘古团队发现苹果不可修复漏洞:iOS 14能完美越狱

    来自中国的安全团队盘古对iOS 14进行了完美越狱,而他们利用了苹果Secure Enclave安全协处理器上的一个“永久性”的漏洞。Secure Enclave安全协处理器几乎是苹果产品的标准配置,它

  • 盘古团队演示iOS 14越狱:发现Secure Enclave存“不可修复”漏洞

    日前召开的 Mosec 2020 大会上,国内越狱团队盘古发现了苹果 Secure Enclave 安全协处理器上的一个“永久性”的漏洞。这可能会让 iPhone、iPad、Mac、Apple Watch 和其他苹果设备处于危险当中。

  • 云安全提醒:火狐浏览器爆出大量安全漏洞,赶紧更新!

    美国Mozilla是一个以创作Firefox网页浏览器而闻名的自由软件社区。Mozilla社区开发、推广和支持Mozilla相关项目,致力于推动自由软件与开放标准的发展。Mozilla Firefox(火狐浏览器)是Mozilla基金会的产品,它是一款开源Web浏览器,引擎反应快,内存占用少。Firefox从2005年开始,每年都被媒体选为年度最佳浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延升支持版本,适用于企业或者工作单位,又称Firefox企业版。它具有体?

  • 推特史诗级漏洞 欧科云链OKLink带你追溯被骗的比特币

    北京时间 2020 年 7 月 16 日凌晨三点左右,推特上多位大V账户遭到黑客入侵,这些账号包括比尔·盖茨、特斯拉 CEO 马斯克、前美国副总统拜登和苹果公司官方推特等。有趣的是,这些被黑客入侵的账户全部都在推特上发布了同一条比特币钓鱼信息,“为了回馈大家,只要大家向比特币地址(bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh)发送比特币,就会得到双倍回报,该活动只进行 30 分钟。”据欧科云链 OKLink 浏览器显示,黑客的交易?

  • 谷歌要求马上升级!Android迎来安全更新:修复多个严重漏洞

    今天谷歌发布了新的安全公告,Android系统迎来2020-07-01和2020-07-05两个安全补丁,都是解决棘手的安全漏洞。据公布的内容看,谷歌这次发布的两个针对Android安全补丁,一个是Android和谷歌服

  • 热搜安排!微信亲属卡存漏洞:账户资金被盗刷

    7月27日消息,“微信亲属卡存漏洞成新型诈骗利器”登上微博热搜。据媒体报道,来自广州的吴某冒充贷款中介人员与被害人沟通,诱导被害人与其建立微信“亲属卡”,从而盗刷

  • 云安全提醒: Roundcube爆出多个漏洞,可窃取信息 接管邮箱账户

    Roundcube是一款被广泛使用的开源的Web电子邮件程序,在全球范围内有很多组织和公司都在使用。Roundcube Webmail在Linux中最常用,它提供了基于Web浏览器的可换肤IMAP客户端,并提供多种语言。功能包括MIME支持,通讯簿,文件夹和邮件搜索功能。Roundcube支持各种邮件协议,如IMAPS、POP3S 或者 submission,可以管理多个邮箱账号.不过,7月21日,Roundcube发布了有关跨站点脚本漏洞(代号CVE-2020-15562)的通报,该通报是Roundcube稳定

  • 质疑苹果掩饰重要iOS漏洞 谷歌不再参与iPhone 新的SRD安全计划

    由于苹果严苛的漏洞披露规则,包括谷歌Project Zero在内的iPhone漏洞研究领域的部分大牌团队和个人,今天都表示将不参与苹果新公布的SRD安全计划。这些团队和个人包括谷歌Project Zero、ZecOps、Axi0mX以及移动安全公司Guardian CEO威尔·斯特拉法赫(Will Strafach)。苹果的SRD计划在手机厂商中可谓独一无二。根据这一计划,苹果将向安全研究

  • 微软更新123个修复补丁 最严重DNS漏洞已存在17年

    ​微软官方在本周Patch Tuesday(星期二补丁日)发布了 123 个修复补丁的更新,其中包括了今年到目前为止最严重的DNS漏洞的修复补丁,该漏洞已存在 17 年。据外媒The Verge报道,该漏洞可能会被无操作授权的网络攻击者利用,并以此向Windows DNS服务器发送恶意请求来攻击用户的系统。

  • 过去一年,微软为安全漏洞奖励支出1370万美元

    微软透露,自去年 7 月以来,它已向安全研究人员奖励了 1370 万美元,用于鼓励提交微软软件漏洞的行为。

  • 苹果推出“越狱版”iPhone:供安全人员便于查找iOS漏洞

    苹果推出了“越狱版”iPhone,是不是感到很不可思议,其实这没什么,当然使用者是要经过他们筛选的。据外媒报道称,苹果宣布将为安全研究人员提供改版iPhone,以便帮助其寻找苹果移

  • 巨头公司Microsoft,SAP,Adobe和Google“扎堆”发布针对安全漏洞更新

    众所周知,对于安全研究员来说,每个月的第二个星期二是微软(Microsoft )“补丁星期二”。这次也毫无例外,微软公司当天发布了针对其产品中的安全漏洞的补丁。不过比较戏剧性的是,这次是“聚会”,因为SAP ,Adobe 和Google 同一天也都针对自身产品发布了安全更新。Microsoft早在今年5月份,安全研究人员发现了Windows DNS的一个严重安全漏洞并上报给微软。微软已确认此漏洞,于7月14日发布了安全漏洞更新.此漏洞代号为"Si

  • 思科数据中心管理系统爆出大量漏洞,或将影响所有Nexus和MDS系列交换机

    Cisco Data Center Network Manager(DCNM)是美国思科(Cisco)公司的一套数据中心管理系统。该系统适用于Cisco Nexus和MDS系列企业交换机,提供存储可视化、配置和故障排除等功能。Nexus 系列交换机为不同企业提供多种规格,可实现经验证的高性能、高密度(最高达 400G),以及低时延和出色的能效。这些交换机可编程性高,提供行业领先的软件定义网络,可助力实现数据中心自动化。2020年第一季度,思科交换机和路由器全球市场占

  • 微信亲属卡存漏洞成新型诈骗利器 专家提醒防范建议介绍

    【微信亲属卡存漏洞成新型诈骗利器】近日有多家媒体报道,,近日广州吴某通过冒充贷款中介人和审核员,诱使被害人与其建立微信「亲属卡」,从而盗走账户内的资金。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文