Обзор уязвимостей за прошедшую неделю (3-9 мая)

0 0

Обзор уязвимостей за прошедшую неделю (3-9 мая)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: TikTok, Cisco, TBK, WordPress, Fortinet, Azure, Android, Apple.

Эксперты по кибербезопасности компании Imperva выявили уязвимость сервиса TikTok, которая позволяла красть конфиденциальные данные с пользовательских устройств — их можно было использовать для кражи персональной информации, фишинга или шантажа. Сейчас ошибка устранена.

Компания Cisco сообщила о критической уязвимости в веб-интерфейсе двухпортовых телефонных адаптеров SPA112. Ошибка позволяет удаленному неаутентифицированному хакеру выполнить произвольный код. Из-за того, что срок поддержки Cisco SPA112 подошёл к концу, исправлений для этой уязвимости выпущено не будет.

Специалисты по ИБ из компании Fortinet предупредили, что киберпреступники активно эксплуатируют не устранённую до сих пор уязвимость обхода аутентификации, выявленную в DVR-устройствах компании TBK еще в 2018 году.

В компании Patchstack сообщили, что уязвимость XSS в плагине Advanced Custom Fields для WordPress подвергает атакам более 2 миллионов сайтов. Выявленная исследователем безопасности Patchstack Рафи Мухаммедом ошибка с идентификатором CVE-2023-30777 описывается как отраженная XSS-ошибка высокой степени серьезности, влияющая на страницу администрирования плагина.

На прошедшей неделе компания Fortinet объявила о выпуске набора обновлений безопасности, которые устраняют 9 уязвимостей в нескольких продуктах, включая две серьезные ошибки в FortiADC, FortiOS и FortiProxy.

Компания Ermetic заявила, что 3 уязвимости в службе управления API Azure могут использоваться злоумышленниками для выполнения различных типов вредоносных действий. Выявленные уязвимости, две ошибки подделки запросов на стороне сервера (SSRF) и одна ошибка обхода пути загрузки файлов, были результатом обхода форматирования URL и функции неограниченной загрузки файлов.

Выпущенные Google обновления безопасности для Android за май 2023 года исправляют более 40 уязвимостей, в том числе уязвимость ядра, используемую поставщиком шпионского ПО как уязвимость нулевого дня.

Корпорация Apple выпустила первые в истории обновления безопасности для своих продуктов Beats и AirPods, чтобы исправить уязвимость, которую можно использовать для получения доступа к наушникам через Bluetooth-атаку.

Источник: cisoclub.ru

Оставьте ответ

Ваш электронный адрес не будет опубликован.