关键漏洞信息 1. ACB Cloud Backup Key Hijack & Stored XSS 受影响产品: ACB Cloud (v2.0 beta release及后续版本) 漏洞类型: XML外部实体注入、命令注入和存储型XSS CVE编号: CVE-2020-19527 影响: - 攻击者可以利用备份密钥劫持访问云备份数据。 - 存储型XSS允许攻击者在管理员浏览备份页面时执行恶意JavaScript代码。 2. OpenVPN Widget Command Injection 受影响产品: OpenVPN Widget (v2.0 beta release及后续版本) 漏洞类型: 命令注入 CVE编号: CVE-2020-18506 影响: - 攻击者可以通过发送特制的POST请求,利用未验证的用户输入执行任意命令。 - 漏洞允许攻击者通过OpenVPN管理界面执行系统命令。 3. XML Injection in Dashboard Widgets 受影响产品: pfsense CE (v2.0 beta release及后续版本) 漏洞类型: XML注入 CVE编号: CVE-2020-18779 影响: - 攻击者可以利用XML注入修改配置文件,导致服务中断或权限提升。 - 特定的XML结构可以绕过过滤器,写入恶意数据到配置文件中。 时间线 ACB Cloud Backup Key Hijack & Stored XSS - 2020-11-15: 漏洞报告给security@netgate.com - 2020-12-12: 漏洞被确认 - 2020-12-24: CVE分配 OpenVPN Widget Command Injection - 2020-11-15: 漏洞报告给security@netgate.com - 2020-12-12: 漏洞被确认 - 2020-12-24: CVE分配 XML Injection in Dashboard Widgets - 2020-11-15: 漏洞报告给security@netgate.com - 2020-12-12: 漏洞被确认 - 2020-12-24: CVE分配