sårbarheder

Google sendte torsdag en ny Chrome-opdatering på gaden for at rette endnu en udnyttet sårbarhed. Det er den anden udnyttede sårbarhed på 10 dage og fjerde 0-dagssårbarhed på to uger. Det skriver The Hacker News.

Sårbarheden har id’et CVE-2024-5274 og karakteriseres af Google som ”high” i alvorlighedsgrad. Google skriver selv, at koncernen er klar over at der pågår udnyttelse ”in-the-wild”.

GitLab har rettet en alvorlig sårbarhed, som gør det muligt for uautoriserede angribere at overtage brugerkonti i forbindelse med cross-site scripting (XSS)-angreb.

Sårbarheden har id’et CVE-2024-4835 er en XSS-svaghed i VS-kodeeditoren (Web IDE), der lader trusselsaktører stjæle begrænset information ved hjælp af ondsindet udformede sider.

Det skriver Bleeping Computer.

Brugerinteraktion er nødvendigt for at kunne udnytte fejlen.

Atlassian har patchet en række sårbarheder i forbindelse med udgivelse af nye versioner i deres produkter, Confluence data center og server.

En af de mest kritiske vedrører Confluence-serveren. Den har id’et CVE-2024-21683 og en CVSS-score på 8,3. Det er en remote code execution-sårbarhed, som der allerede er udgivet en proof-of-concept på.

Ivanti har observeret og adresseret flere kritiske SQL-injection sårbarheder i Ivanti Endpoint Manager (EPM), som påvirker 2022 SU5 og tidligere versioner. I alt er der tale om seks sårbarheder med id’erne fra CVE-2024-29822 til CVE-2024-29827, der alle har fået en score på 9,6. Derudover er der fundet fire andre SQL-injection sårbarheder med en score på 8,4 i samme produkt.

Security Week omtaler sårbarhederne i en artikel i dag.

Veeam har i dag advaret sine kunder om en kritisk sårbarhed, der gør det muligt for uautoriserede angribere at logge ind på en hvilken som helst konto via Veeam Backup Enterprise Manager (VBEM).

Det skriver Bleeping Computer.

Sårbarheden har id’et CVE-2024-29849 og en CVSS-score på 9,8.

Blot tre dage efter seneste sikkerhedsopdatering fra Google, sendes der en ny på gaden til håndtering af en 0-dagssårbarhed i Chrome. Der er tale om den sjette 0-dag i 2024, som er under udnyttelse.

Det skriver Security Affairs og en række andre medier.

Google har udsendt sikkerhedsopdateringer til Chrome-browseren, der retter den fem 0-dagssårbarhed i dag – som tilmed har været under udnyttelse siden starten af året. Det skriver Bleeping Computer og en række andre medier.

Sårbarheden har id’et CVE-2024-4671 og er af Google blevet tildelt en score på ”høj”.

Citrix har i al ubemærkethed rettet en sårbarhed i sine NetScaler Application Delivery Control (ADC) og Gateway-produkter, der gjorde det muligt for eksterne, uautentificerede angribere at få adgang til potentielt følsomme oplysninger fra hukommelsen på berørte systemer.

Det skriver Dark Readking.

Brugere af CrushFTP, som er en virksomhedsløsning til overførsel af filer, bliver opfordret til at opdatere til den nyeste version efter opdagelsen af en sikkerhedsfejl, der pt. er under målrettet udnyttelse in-the-wild.

Det skriver The Hacker News blandt andre.

Det drejer sig om CrushFTP v11-versioner under 11.1, der har en sårbarhed, hvor brugere kan undslippe deres VFS og downloade systemfiler. Sårbarheden er blevet rettet i version 11.1.0. Vejledning til opdateringen findes på CrushFTPs updateside.

Microsoft har tirsdag frigivet en stor bunke sikkerhedsrettelser, der adresserer mindst 150 sårbarheder.

Det skriver Security Week og en række andre medier, der særligt gør opmærksom på en sårbarhed med en CVSS-score på 9.