【01.27】安全帮®每日资讯：零售和酒店行业漏洞修复能力强于其他行业；亚马逊修复Kindle电子阅读器代码执行漏洞

1月25日，思科发布了安全公告，Cisco DNA Center软件发现跨站点请求伪造漏洞（CVE-2021-1257 CVSS评分: 7.1 高）思科DNA Center软件基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者进行跨站点请求伪造（CSRF）攻击，以操纵经过身份验证的用户执行恶意行为，而无需他们的同意。该漏洞是由于对受影响设备的基于Web的管理界面没有足够的CSRF保护所致。

参考来源：

http://www.techweb.com.cn/cloud/2021-01-26/2822985.shtml

1月26日，国务院新闻办公室举行新闻发布会，介绍2020年工业和信息化发展情况。工业和信息化部新闻发言人、信息通信管理局局长赵志国表示，我国5G商用发展应该说迈出了坚实的步伐，全年新建5G基站超过60万个，实现所有地级以上城市5G网络全覆盖；5G终端连接数突破2亿。赵志国称，2021年要按照按照适度超前的原则，持续深化5G网络建设部署，计划新建5G基站60万个。

参考来源：

http://www.techweb.com.cn/internet/2021-01-26/2822941.shtml

Realmode实验室的安全专家在Kindle电子阅读器中发现了三个漏洞，远程攻击者只需要知道与受害者的设备相关联的电子邮件地址，便可以将这些漏洞链接起来以用户身份在目标Kindle上执行代码，第一个漏洞允许攻击者向受害者的Kindle设备发送电子书，第二个漏洞被用于在弱用户上下文中解析电子书时运行任意代码，第三个漏洞允许攻击者升级权限并以root身份运行代码。目前亚马逊已经解决了这些缺陷。

参考来源：

https://securityaffairs.co/wordpress/113743/hacking/kindle-kindledrip-exploit.html

近日，Veracode对逾13万份应用程序的分析显示，2020年，零售业和酒店行业修复软件缺陷的速度快于其他行业。据悉，零售行业和酒店行业通过积分卡和会员账户的形式跟踪消费者的大量个人信息，并将第三方的营销数据整合到这些数据中，整个过程需要通过更多的软件来实现。Web应用程序攻击是零售业遭受入侵的主要载体，其中约一半的入侵事件是利用了个人信息或支付数据。

参考来源：

https://www.secrss.com/articles/28895