4 min
漏洞的披露
R7-2019-39 | CVE-2019-5648: Barracuda负载平衡器ADC的LDAP凭证暴露(修复)
本文描述了Barracuda负载平衡器ADC中的漏洞CVE-2019-5648.
11 min
漏洞的披露
R7-2019-09 | cve-2019-5617, CVE-2019-5643, CVE-2019-5644: C4G BLIS认证和授权漏洞(修复)
此披露描述了R7-2019-09,由三个漏洞组成
实验室基本信息系统(BLIS). 由于有缺陷的身份验证和
authorization verification, versions of BLIS < 3.易受…伤害
未经验证的密码重置(R7-2019-09).1), and versions of BLIS < 3.51 are
易受未经身份验证的设施和用户名枚举的影响
(R7-2019-09.2)以及未经认证的用户信息更新
(R7-2019-09.3).
下面总结了这些漏洞
9 min
漏洞的披露
调查物联网生态系统的管道(R7-2018-65, R7-2019-07)(修复)
伊顿的HALO家庭智能照明系统和BlueCats的AA Beacon已经披露了两个漏洞.
3 min
漏洞的披露
R7-2019-01: CircuitWerkes Sicon-8客户端认证只读旁路(CVE-2019-5616)
Sicon-8附带了一个基于web的前端控制器,并在用户的web浏览器上下文中使用JavaScript实现了一种身份验证机制.
3 min
Haxmas
R7-2018-52: guardilla物联网摄像机硬编码凭证(CVE-2018-5560)
大多数圣诞帖子都充满了乐趣和轻浮, 但这是你应该知道的物联网设备中的常规漏洞披露.
4 min
漏洞的披露
r7 - 2018 - 01 (cve - 2018 - 5551, CVE-2018-5552): DocuTrac Office Therapy Installer硬编码凭据和加密盐
DocuTrac QuickDoc & Office Therapy附带了一些不向最终用户披露的静态帐户.
18 min
漏洞的披露
R7-2017-25:形成层ePMP和cnPilot多重漏洞
问题摘要
Cambium Networks的ePMP和cnPilot产品线存在多个漏洞
是由独立研究员Karn Ganeshen发现的
[http://ipositivesecurity.,而这些问题也已经得到了解决
vendor. 受影响的设备在世界各地用于提供无线服务
各种环境下的网络连接,包括学校,酒店,
据卖主说,市政当局和工业场所
[http://www.cambiumnetworks.com/industry/].
These issue
4 min
漏洞的披露
R7-2017-08: BPC SmartVista SQL注入漏洞
重要更新:2018/01/25
BPC通知Rapid7,此漏洞仅影响指定版本
SmartVista的前端(2.2.10,修订版287921),其中有非常有限的
distribution. 一旦发现下面描述的漏洞,BPC
在公告发布前的2017年7月19日发布了补丁
Rapid7于2017年10月17日发布. 我们没有理由相信任何其他版本
的SmartVista前端易受此问题的影响. Rapid7相信这个问题
to st
8 min
漏洞的披露
Wink和Insteon智能家居系统存在多个漏洞
今天我们宣布影响两个流行的家庭自动化的四个问题
解决方案:Wink的Hub 2和Insteon的Hub. 两家供应商都没有储存敏感信息
在他们相关的安卓应用程序上安全地认证. 此外,眨眼
基于云的管理API没有正确过期并撤销身份验证
令牌,Insteon Hub使用未加密的无线电传输协议
潜在的敏感安全控制,如车库门锁.
因为这些问题中的大多数尚未得到解决
5 min
Authentication
R7-2017-07:多个引信TPN手机门户漏洞(修复)
这篇文章描述了三个与访问控制相关的安全漏洞
在TPN手机门户(引信平台的一部分)中进行身份验证. Fuze
在2017年5月6日之前修复了所有三个问题,并且不需要用户采取行动
remediate. Rapid7感谢Fuze对这些问题快速而周到的回应
漏洞:
* R7-2017-07.1、CWE-284(访问控制不当)
[http://cwe.mitre.org/data/definitions/284.:未认证的远端
攻击者可以通过MAC地址进行枚举
2 min
漏洞的披露
R7-2017-06 | CVE-2017-5241: Biscom SFT XSS漏洞(修复)
Summary
Biscom安全文件传输(SFT)版本5的工作区组件.1.1015
易受跨站点脚本存储在两个字段. 攻击者会
需要有能力创建一个工作空间,并引诱受害者访问
的上下文中运行恶意Javascript
victim's browser. 由于受害者必须经过身份验证,这可以允许
攻击者在Biscom安全文件传输实例上执行操作
受害者的代表.
3 min
漏洞的披露
R7-2017-05 | CVE-2017-3211:整个Yopify信息泄露
这篇文章描述了Yopify(一个各种流行的插件)中的一个漏洞
电子商务平台),以及已经采取的补救措施. Yopify
泄露客户的名字、姓氏首字母、城市和最近的购买数据;
未经用户授权. 这构成了重大的隐私风险
customers. 此漏洞的特征为:CWE-213(故意的)
信息披露)[http://cwe.mitre.org/data/definitions/213.html].
产品描述
Yopify [http://yopi
17 min
漏洞的披露
R7-2016-23、R7-2016-26、R7-2016-27:多个家庭安全漏洞
执行概要
2016年10月,前Rapid7研究员Phil Bosco
[http://twitter.com . secillusion]发现了一些相对较低的风险
涉及家庭安全系统的漏洞和问题是常见的
遍布美国,并且有大量的WiFi或以太网
capabilities. 测试的三种系统分别来自Comcast XFINITY、ADT、
and AT&发现的问题包括从明显的“故障”
外部门上的“打开”条件和
6 min
漏洞的披露
R7-2016-28:多个Eview EV-07S GPS跟踪器漏洞
Eview EV-07S GPS跟踪器发现了七个问题
未经身份验证的攻击者识别已部署设备,远程重置
设备,学习GPS位置数据,并修改GPS数据. 这些问题是简单的
总结如下表所示.
这些问题是由Rapid7公司的Deral Heiland发现的.,而这个建议
是按照Rapid7的披露政策准备的吗.
漏洞描述r7 IDCVEExploit VectorUnauthenticated远程工厂
resetR7-2016-28
4 min
漏洞的披露
R7-2017-01: Double Robotics远程呈现机器人的多重漏洞
这篇文章描述了Double Robotics网真中的三个漏洞
与机器人生态系统相关的身份验证不当、会话固定和薄弱
蓝牙配对. 我们要感谢Double Robotics的提示
承认这些弱点,并解决这些弱点
被认为是严重的. 三个漏洞中的两个已通过更新来修补
Double Robotics服务器,周一,2017年1月16日.
Credit
Rapid7研究员Deral发现了这些问题