美国信用合作社面临帐号接管与凭据盗窃攻击风险

关键要点

高达275家美国信用合作社可能因重大安全漏洞面临帐号接管和凭据盗窃攻击风险。漏洞包括反射型跨站脚本XSS和盲SQL注入。受影响的机构应立即升级软件并启用多因素认证。

最近报告显示，高达275家美国信用合作社可能因为CU解决方案组内容管理系统中的重大漏洞，面临帐号接管和凭据盗窃攻击的风险。这些漏洞允许攻击者获得“超管理员”权限，详细信息可见于SecurityWeek。

在10月份已经解决的关键缺陷中，包括了被标记为CVE202348985和CVE202348986的反射型跨站脚本XSS问题。这些问题可以被利用以拦截登录凭据，并获取提升后的权限。另外，针对标记为CVE202348987的盲SQL注入漏洞的攻击，甚至在没有提升权限的情况下，也能暴露包含CUSG管理员帐户用户名和哈希密码的表格。

LMG Security的顾问Emily Gosney表示：“受影响的组织应立即升级到最新软件版本，并启用多因素认证，以防止拥有‘超管理员’密码的恶意行为者登录其CUSG CMS应用门户。”

漏洞类型相关CVE风险描述反射型跨站脚本CVE202348985允许拦截登录凭据反射型跨站脚本CVE202348986允许获取提升权限盲SQL注入漏洞CVE202348987暴露包含用户名和哈希密码的表格

受影响的信用合作社应迅速采取行动，以确保系统安全并保护用户的信息不被恶意攻击者利用。

科学上上网工具下载