==== 資安雙週報 (240701) ====
初一十五除了呷菜喔外 也要關心一下安全圈的消息
- 又是 EOL (End-of-life) 的產品被針對
- Wget 也是會有 CVE 的
- 免錢的或許真的最貴
- 各上市公司資安消息
- 商務平台 PrestaShop 外掛有漏洞
# 又是 EOL (End-of-life) 的產品被針對 #
Zyxel 在六月初針對已經 EOL 的 NAS 產品發布警急更新
這已經不知道是第幾起駭客針對 EOL 的產品發動攻擊[0]
但是這次揭露 是首度發現針對老舊 NAS 進行鎖定攻擊
# Wget 也是會有 CVE 的 #
Wget 是一個 Linux 環境十分常用的一個下載工具
近期被發現一個 CVSS 10.0 的安全性漏洞[1]
雖然事後 CERT 把 CVE-2024-38428 的 CVSS 分數下修為 6.3
但依然值得關注 因為是經過特製的 URL 就可能造成帳密資料洩漏或者 MITM
# 免錢的或許真的最貴 #
近日資安圈消息:因為 polyfill.io 已經賣給一間中國公司
原開發者[2] 建議大家儘快移除 polyfill.io
而有人發現當使用 cdn.polyfill.io 服務時有機會被塞入加料的 JS [3]
同時也有人幫忙整理整件事情的來龍去脈[4]
# 各上市公司資安消息 #
- 華碩 (2357) 因為參數設定問題、部分產品資料揭露[5]
- 永信藥品遭到駭客攻擊 營運無重大影響[6]
# 商務平台 PrestaShop 外掛有漏洞 #
電子商務平台 PrestaShop 的臉書外掛程式存在漏洞 CVE-2024-36680
方克有機會發動 SQJInj 攻擊 CVSS 分數為 9.8 [7]
[0]: https://www.ithome.com.tw/news/163661
[1]: https://borncity.com/win/2024/06/18/critical-vulnerability-cve-2024-38428-in-wget/
[2]: https://x.com/triblondon/status/1761852117579427975
[3]: https://blog.huli.tw/2024/06/25/stop-using-polyfill-io/
[4]: https://polykill.io/
[5]: https://udn.com/news/story/7240/8054290?from=udn-ch1_breaknews-1-99-news
[6]: https://www.ithome.com.tw/news/163503
[7]: https://www.ithome.com.tw/news/163644