8 хорошо забытых уязвимостей продолжают использоваться в реальных атаках.
Агентство по кибербезопасности и инфраструктурной безопасности США ( CISA ) Для просмотра ссылки Войдиили Зарегистрируйся восемь новых пунктов в свой каталог известных эксплуатируемых уязвимостей. Решение о добавлении было принято на основании данных об активной эксплуатации этих уязвимостей злоумышленниками.
<h4> CVE-2022-22265: Уязвимость в мобильных устройствах Samsung </h4> Уязвимость Use-After-Free в мобильных устройствах Samsung была идентифицирована под номером Для просмотра ссылки Войдиили Зарегистрируйся и рейтингом CVSS 7,8 баллов. Уязвимость связана с неправильной проверкой или обработкой исключительных условий в драйвере NPU и допускает произвольную запись в память и выполнение вредоносного кода.
<h4> CVE-2014-8361: Уязвимость в Realtek SDK </h4> Уязвимость, связанная с некорректной проверкой входных данных в Realtek SDK, известна под номером Для просмотра ссылки Войдиили Зарегистрируйся . Уязвимость позволяет удалённым злоумышленникам выполнять произвольный код с помощью созданного запроса NewInternalClient.
<h4> CVE-2017-6884: Уязвимость в маршрутизаторах Zyxel EMG2926 </h4> Уязвимость, позволяющая выполнить произвольные команды на маршрутизаторах Zyxel EMG2926, была опубликована под номером Для просмотра ссылки Войдиили Зарегистрируйся с оценкой CVSS 8,8 баллов. Злоумышленник может использовать многочисленные векторы для выполнения произвольных команд на маршрутизаторе, например, параметр «ping_ip» в URI: expert/maintenance/diagnostic/nslookup.
<h4> CVE-2021-3129: Уязвимость в Laravel Ignition </h4> Уязвимость, связанная с загрузкой файлов в Laravel Ignition, известна под номером Для просмотра ссылки Войдиили Зарегистрируйся и оценкой CVSS 9,8 баллов. Позволяет удалённым неавторизованным злоумышленникам выполнять произвольный код на уязвимых веб-сайтах из-за небезопасного использования функций «file_get_contents()» и «file_put_contents()».
<h4> Уязвимости в Owl Labs Meeting Owl </h4> Сразу четыре уязвимости были обнаружены в продуктах для видеонаблюдения Meeting Owl от Owl Labs:
Для просмотра ссылки Войдиили Зарегистрируйся
CISA настоятельно рекомендует всем организациям уделять приоритетное внимание своевременному устранению уязвимостей из каталога в рамках своей практики управления уязвимостями, включающей обновление уязвимого софта до последних версий.
Агентство по кибербезопасности и инфраструктурной безопасности США ( CISA ) Для просмотра ссылки Войди
<h4> CVE-2022-22265: Уязвимость в мобильных устройствах Samsung </h4> Уязвимость Use-After-Free в мобильных устройствах Samsung была идентифицирована под номером Для просмотра ссылки Войди
<h4> CVE-2014-8361: Уязвимость в Realtek SDK </h4> Уязвимость, связанная с некорректной проверкой входных данных в Realtek SDK, известна под номером Для просмотра ссылки Войди
<h4> CVE-2017-6884: Уязвимость в маршрутизаторах Zyxel EMG2926 </h4> Уязвимость, позволяющая выполнить произвольные команды на маршрутизаторах Zyxel EMG2926, была опубликована под номером Для просмотра ссылки Войди
<h4> CVE-2021-3129: Уязвимость в Laravel Ignition </h4> Уязвимость, связанная с загрузкой файлов в Laravel Ignition, известна под номером Для просмотра ссылки Войди
<h4> Уязвимости в Owl Labs Meeting Owl </h4> Сразу четыре уязвимости были обнаружены в продуктах для видеонаблюдения Meeting Owl от Owl Labs:
Для просмотра ссылки Войди
- Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 6,5) — недостаточная надёжность шифрования, позволяет злоумышленникам извлекать хэш-код доступа с помощью определённого значения по Bluetooth. - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 6,5) — отсутствие аутентификации для критических функций, позволяет злоумышленникам деактивировать механизм защиты паролем с помощью определённого сообщения. - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 8,8) — использование жёстко закодированных учётных данных, позволяет злоумышленникам управлять устройством с помощью пароля-бэкдора, который можно найти в широковещательных данных Bluetooth. - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 7,1) — ненадлежащая аутентификация, уязвимость не требуется пароль для Bluetooth-команд, поскольку используется только аутентификация на стороне клиента.
CISA настоятельно рекомендует всем организациям уделять приоритетное внимание своевременному устранению уязвимостей из каталога в рамках своей практики управления уязвимостями, включающей обновление уязвимого софта до последних версий.
- Источник новости
- www.securitylab.ru