Cisco har rettet en kritisk Unity Connection-fejl, der kan lade uautoriserede angribere eksternt få ’root’-privilegier på ikke-patchede enheder.
Det skriver Bleeping Computer.
Sårbarheden har id’et CVE-2024-20272 og en CVSS-score på 7,3. Den findes i systemets webbaserede administrationsgrænseflade og gør det muligt for angribere at afvikle kommandoer på et underliggende operativsystem ved at uploade vilkårlige filer til målrettede og sårbare systemer.
Ivanti har frigivet oplysninger om to 0-dagssårbarheder i hhv. Ivanti Connect Secure (ICS) og Policy Secure, som i øjeblikket udnyttes aktivt. Sårbarhederne kan udnyttes til at udføre vilkårlige kommandoer på sårbare systemer.
Det fremgår af meddelelse fra Ivanti, som er refereret i en række medier i dag, herunder Ars Technica.
QNAP har frigivet rettelser til flere fejl, herunder alvorlige sårbarheder, der påvirker QTS og QuTS hero, QuMagie, Netatalk og Video Station. Det skriver The Hacker News.
Google har i denne uge udgivet Chrome version 120, der adresserer ni sårbarheder.
Som sædvanlig med Google har den mest alvorlige fejl, som er indrapporteret af eksterne researchere, udløst en dusør. I denne omgang er den på 16.000 dollar for fundet af CVE-2023-6702, en type confusion-fejl i V8 JavaScript-motoren, med karakteren 'høj'. I alt har de indrapporterede fejl kostet Google 50.000 dollar i dusørudbetaling til rettelse af 'use-after-free'-sårbarheder i browserens Blink-, libavif-, WebRTC- og FedCM-komponenter og i CSS.
Apple har udsendt opdateringer, der adresserer to aktivt udnyttede 0-dagssårbarheder i iPhones og nogle Apple Watch- og Apple TV-modeller. Samtidig er der også rettet 0-dagssårbarheder i nyeste modeller.
WordPress har udsendt version 6.4.2, der retter en remote code execution (RCE)-sårbarhed. Sårbarheden stammer fra filen /includes/backup-heart.php og kan udnyttes til at kontrollere de værdier, der sendes til denne include fil, og efterfølgende udnytte dette til remote code execution.
The Shadowserver Foundation har observeret en stigning i antallet af enheder, der er hacket via sårbarheder i Cisco IOS XE. Det skriver Dark Reading og en række andre medier i dag på baggrund af et opslag fra nonprofit-organisationen Shadowserver Foundation.
Der er tale om to sårbarheder CVE-2023-20198 (CVSS-score på 10) og CVE-2023-20273 (CVSS-score på 7,2) i produkter, der blev rettet i oktober. Allerede dengang advarede Cisco om, at sårbarhederne var blevet udnyttet som 0-dagssårbarheder.
Zyxel har udsendt advarsler om kritiske sårbarheder i firewalls, access points og NAS-enheder. Konkret er der tale om mindst 15 fejl i forskellige produkter, som risikerer command injection, DoS-angreb og omgåelse af autentifikation. Det skriver Security Week.
Særligt udsatte skulle firewalls og access points være, og der advares om, at flere enheder kan udnyttes til at få adgang til konfigurationsfiler, følsomme cookies, påbegynde DoS-angreb og i øvrigt afvikle kommandoer.
Følgende fejl fremhæves som de værste (firewalls og access points: