СШАинформационная безопасностьи Агентство инфраструктурной безопасности (CISA(в которых они, как известно, использовались на практике)лазейки(Шесть новых уязвимостей безопасности были добавлены в каталог (KEV) в связи с тем, что они активно эксплуатируются.
Среди них:
- CVE-2023-27524 (CVSS score: 8.9): Эта опасная уязвимость затрагивает программное обеспечение для визуализации данных с открытым исходным кодом Apache Superset и позволяет злоумышленнику удаленно выполнить код. Уязвимость была устранена в версии 2.1. Информация об уязвимости была впервые раскрыта в апреле 2023 года, и Навин Сункавалли из Horizon3.ai описывает ее как "опасную конфигурацию по умолчанию в Apache Superset, которая позволяет неавторизованному злоумышленнику удаленно выполнить код, украсть учетные данные и повредить данные ". Пока неясно, как уязвимость используется в природе.
- CVE-2023-38203 (CVSS score: 9.8): Уязвимость в десериализации недоверенных данных в Adobe ColdFusion.
- CVE-2023-29300 (CVSS score: 9.8): Уязвимость в десериализации недоверенных данных в Adobe ColdFusion.
- CVE-2023-41990 (CVSS score: 7.8): Уязвимость выполнения кода в нескольких продуктах Apple.
- CVE-2016-20017 (CVSS score: 9.8): Устройство D-Link DSL-2750Bвведение командУязвимость.
- CVE-2023-23752 (CVSS score: 5.3)Уязвимость неправильного управления доступом.
Примечательно, что уязвимость CVE-2023-41990 была исправлена Apple в iOS 15.7.8 и iOS 16.3, но была использована неизвестными злоумышленниками (через поддельное PDF-вложение iMessage) в шпионской атаке "триангуляция".удаленное выполнение кода.
CISA рекомендует федеральным гражданским исполнительным органам (FCEB) до 29 января 2024 года устранить вышеуказанные уязвимости, чтобы защитить свои сети от активных угроз.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/cisa-updates-kev-catalog-with-6-vulnerabilities.html.