首页 > 动态 > 关键词  > 漏洞最新资讯  > 正文

Mida Solutions爆出多个漏洞,或殃及微软,思科,惠普,中国电信等40余名企

2020-07-28 16:13 · 稿源: TechWeb.com.cn

Mida Solutions是一家专注于统一通信(UC)的高技能意大利公司。自2004年以来,它提供独特的专业知识以及一整套高级服务和语音应用程序,其使命是为通信提供增值的创新技术。

Mida团队已成为统一协作和专业沟通的全球领导者,几乎所有行业的服务提供商,系统集成商。其合作伙伴有微软,思科,惠普,中国电信等40个世界知名企业。

Mida eFramework是Mida Solutions公司旗下视频和语音应用程序的完整服务套件,与几乎所有主要的UC平台兼容。该套件包括话务员控制台,记录器,传真服务器,计费,队列管理器,自动话务员,移动应用程序,电话服务。

不过该服务套件在7月份爆出了多个漏洞,或殃及微软,思科,惠普,中国电信等40余名企!以下是漏洞详情:

1.存储型跨站点脚本(XSS) (CVE-2020-15918)

影响:会话劫持

(已验证)在未公开的 Mida Solutions eFramework 2.反射型跨站点脚本漏洞(XSS)(CVE-2020-15919)

影响:会话劫持

(未经身份验证)未公开的 Mida Solutions eFramework 3.操作系统命令(OS)注入远程执行代码漏洞(RCE)和拒绝服务(Dos)(CVE-2020-15920)

影响:OS代码执行

Mida Solutions eFramework 2.9.0及之前版本中存在操作系统命令注入漏洞。它使未经身份认证的攻击者能够获得具有管理(root)特权的远程代码执行(RCE)。注入点位于未公开的 PHP页面上,该页面可以使用GET或POST恶意负载作为目标。

4.管理后门访问漏洞(CVE-2020-15921)

影响:特权升级,OS代码执行

Mida Solutions eFramework 5.操作系统命令注入远程执行代码漏洞(RCE)(CVE-2020-15922)

影响:OS代码执行

(未经身份验证的6.路径遍历漏洞(CVE-2020-15923)

影响:信息泄露

(未经身份验证,具有Root访问权限7.SQL注入漏洞(CVE-2020-15924)

影响:数据库泄露,信息泄露,权限提升

Mida Solutions eFramework 2.9.0及之前版本中存在SQL注入漏洞。攻击者可利用该漏洞提升特权,获取信息,造成数据泄露。

漏洞修复

Mida Solutions eFramework 2.8.9版已经过测试,这是测试时可用的最新版本。以前的版本也可能会受到影响。在今年第一季度,供应商发布了较新的版本2.9.0。但是,最新版本仍然容易受到上述漏洞的攻击。

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:

https://www.midasolutions.com/

  • 相关推荐
  • 大家在看
  • iOS 15.1即将发布,发现更多iOS 15漏洞

    iOS 15的发布并不是一帆风顺的,因为许多早期的bug突然出现了。其中最让人恼火的是,戴着面具时无法用Apple Watch解锁iPhone。在某些情况下,您甚至无法设置上述解锁方法此外,一些用户报告称,摄像头应用程序中的取景器不起作用,触摸时无法唤醒iPhone 13手机,解锁后屏幕无响应(成功识别人脸后无法刷卡),邮件应用程序崩溃苹果已经承认了其中的一些缺陷,甚至在iOS 15.1 beta 2版本的软件中解决了Apple Watch的问题据我们的一?

  • 扫地机器人存漏洞!或可秒变窃听偷窥工具

    随着科技飞速发展,扫地机器人市场越发火热,作为懒人神器”,扫地机器人走进了越来越多的家庭,成为家中清洁的好帮手。日前,陕西省西安市举行2021国家网络安全宣传周,本次主题为网络安全为人民 网络安全靠人民”。据媒体报道,网络在带给人们便利的同时,其威胁和风险也日益凸显。在网络安全领域,一些新技术、新成果等在宣传周上亮相,在展区,工作人员展示一台普通的扫地机器人是如何秒变窃听、偷窥工具的。工作人员表示:这?

  • 微软和AMD下周将修补Windows11电脑上的Ryzen漏洞

    AMD确认了一个与运行在Windows11上的CPU有关的性能问题。增加的三级缓存延迟和次优线程调度可能会导致某些CPU的性能下降10-15%该公司已经在进行修复,应该很快就能准备好。微软计划在10月19日发布更新,随后在10月21日AMD发布驱动程序更新,因此我们很有可能在下周四看到问题得到解决在此之前,微软表示不会将Windows11推到AMD Ryzen驱动的设备上,并建议这类电脑的用户不要手动更新

  • 苹果仍在调查iOS15中未修复的安全漏洞

    据外媒appleinsider报道称,苹果公司回应了一名安全研究人员,该研究人员声称苹果公司忽略了他的几份漏洞报告,并表示它仍在调查这些问题。

  • Oppo A54s图像、规格和欧洲定价漏洞

    Oppo早在三月份就发布了A54,现在看来,该制造商正寻求发布一款S版A54s。GizPie采购的渲染和关键规格详细说明了Oppo A54s设计、关键规格和欧洲定价。

  • Apple Pay漏洞可能允许攻击者绕过锁屏进行支付

    英国的一组研究人员发现了与Visa卡和Apple Pay相关的安全漏洞,这些漏洞可能会导致攻击者绕过锁屏并进行欺诈性支付。

  • AirTag“丢失模式”漏洞可以将用户重定向到恶意网站

    根据KrebsOnSecurity发布的新报告,AirTag的丢失功能,允许任何人用智能手机扫描丢失AirTag找到主人的联系信息,并且可以被滥用于网络钓鱼诈骗。

  • 苹果“仍在调查”iOS 15中未修补的三个安全漏洞

    9 月初,安全研究员 Denis Tokarev 撰写了一篇博文,其中无奈地吐槽了与苹果漏洞赏金计划的一些互动。事情源于通过 Bug Nounty Program 向苹果提交的四个安全漏洞,然而等待许久之后,他发现只有一个得到了修复。最新消息是,苹果已就此事给出了回应,声称其“仍在调查”相关问题。Tokarev 在接受 Motherboard 采访时称,在早前推出的 iOS 15 更新中,其它三个漏洞未能得到及时修复。现在,苹果方面已就延迟沟通致歉,并补充说明该

  • 苹果修补了iOS 15系统的Face ID漏洞 还包括其他安全升级

    苹果周一悄悄宣布,iOS 15包括一些安全改进,包括增强Face ID的防欺骗模型。根据一份配合iOS 15发布的支持文件,苹果已经解决了一个Face ID漏洞,其中一个3D模型可能被用来访问某些iPhone和iPad Pro型号。正如蚂蚁金服光年安全实验室的Wish Wu所发现的,以前的Face ID版本可能被骗去验证一个3D模型,它"构造得像注册的用户"。苹果公司通过更新Face ID防欺骗模型,纠正了这个潜在的安全问题。该漏洞存在于所有未运行iOS 15的具有Fac

  • 安全研究人员怒斥苹果:长期无视iOS 15中三个重大漏洞

    2019年,苹果向公众开放了安全赏金计划,以鼓励研究人员向官方提交影响 iOS、iPadOS、macOS、tvOS 或 watchOS 的安全漏洞。通过高达百万美元的奖金,苹果希望此举能够确保自家软件平台的安全性。即便如此,还是有不少安全研究人员吐槽官方执行不力,长期漠视iOS 15中仍然存在的三个零日漏洞。Kosta Eleftheriou 在一篇博客文章中指出:这位不愿透露姓名的安全研究人员称,他们在今年 3~5 月期间向苹果上报了四个零日漏洞。但除了已

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天