CVE-2024-1553 CVE-2024-1557 是严重程度较高的内存安全错误。 Mozilla 研究人员表示:“其中一些错误显示了内存损坏的证据,我们推测,只要付出足够的努力,其中一些错误可能会被利用来运行任意代码。”
飞涨
视频会议巨头 Zoom 发布 修复了其软件中的七个缺陷,其中一个缺陷的 CVSS 分数为 9.6。 CVE-2024-24691 是 Zoom Desktop Client for Windows、Zoom VDI Client for Windows 和 Zoom Meeting SDK for Windows 中的输入验证不当错误。 Zoom 在一份报告中表示,如果被利用,未经身份验证的攻击者可能会通过网络访问升级权限。 安全公告。
另一个值得注意的缺陷是 CVE-2024-24697,某些 Zoom 32 位 Windows 客户端中存在不受信任的搜索路径问题,可能允许具有本地访问权限的经过身份验证的用户升级其权限。
伊万蒂
一月,伊万蒂 警告 攻击者瞄准了其 Connect Secure 和 Policy Secure 产品中的两个未修补的漏洞,追踪为 CVE-2023-46805 和 CVE-2024-21887。 Ivanti Connect Secure 和 Ivanti Policy Secure Web 组件中的第一个身份验证绕过漏洞的 CVSS 评分为 8.2,允许远程攻击者绕过控制检查来访问受限资源。
Ivanti Connect Secure 和 Ivanti Policy Secure Web 组件中的第二个命令注入漏洞的 CVSS 评分为 9.1,允许经过身份验证的管理员发送特制请求并在设备上执行任意命令。 该漏洞可通过互联网被利用。
月底,该公司提醒各公司注意另外两个严重缺陷,其中之一正在被攻击中利用。 所利用的问题是 SAML 组件中的服务器端请求伪造错误,跟踪为 CVE-2024-21893。 同时,CVE-2024-21888是一个权限提升漏洞。
补丁已于 2 月 1 日发布,但问题如此严重以至于美国网络安全和基础设施安全局 (CISA) 建议 2 月 2 日之前断开所有 Ivanti 产品。
2 月 8 日,Ivanti 发布了针对另一个问题的补丁,该问题的编号为 CVE-2024-22024,该问题引发了另一次 CISA 警告。
飞塔
飞塔有 发布 针对 CVSS 评分为 9.6 的严重问题的补丁,据称该补丁已被用于攻击。 追踪为 CVE-2024-21762,代码执行缺陷影响 FortiOS 版本 6.0、6.2、6.4、7.0、7.2 和 7.4。 Fortinet 表示,越界写入漏洞可用于使用特制 HTTP 请求执行任意代码。
就在公司成立几天后 释放 针对其 FortiSIEM 产品中的两个问题 CVE-2024-23108 和 CVE-2024-23109 的补丁,被评为严重问题,CVSS 评分为 9.7。 Fortinet 在一份公告中表示,FortiSIEM Supervisor 中的缺陷可能允许未经身份验证的远程攻击者通过精心设计的 API 请求执行未经授权的命令。
思科
思科有 列出 Expressway 系列中存在多个漏洞,可能允许未经身份验证的远程攻击者进行跨站点请求伪造攻击。
追踪为 CVE-2024-20252 和 CVE-2024-20254,Cisco Expressway 系列设备的 API 中的两个漏洞的 CVSS 评分为 9.6。 思科表示:“攻击者可以通过说服 API 用户点击精心设计的链接来利用这些漏洞。” “成功的利用可能允许攻击者以受影响用户的权限级别执行任意操作。”
树液
企业软件公司 SAP 发布了 13 个安全更新,作为其 SAP 安全补丁日。 CVE-2024-22131 是 SAP ABA 中的一个代码注入漏洞,CVSS 评分为 9.1。
CVE-2024-22126 是 NetWeaver AS Java 中的一个跨站点脚本漏洞,被列为影响较大的漏洞,CVSS 评分为 8.8。 安全公司 Onapsis 表示:“传入的 URL 参数在包含到重定向 URL 中之前未经过充分验证且编码不正确” 说。 “这可能会导致跨站点脚本漏洞,从而对机密性造成严重影响,而对完整性和可用性造成轻微影响。”
1709230640
2024-02-29 16:30:09
#这是您现在需要的 #Google #和 #Microsoft #安全更新
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/3MGYUTCJLUPQKZRUUGZE3NNVVQ.jpg)
