Ivanti har rettet en kritisk sårbarhed i sin Endpoint Management-software (EPM), der kan gøre det muligt for uautentificerede angribere at afvikle kode på kerneserveren.

Det skriver Bleeping Computer på baggrund af en advisory fra Ivanti.

Sårbarheden har id’et CVE-2024-29847 og en CVSS-score på 10,0. Den er forårsaget af en deserialisering af upålidelige datasvagheder i agentportalen. Den er blevet rettet i Ivanti EPM 2024 hot patches og Ivanti EPM 2022 Service Update 6 (SU6).

GitLab har netop frigivet opdateringer, som adresserer en "Pipeline Execution"-sårbarhed. En sårbarhed, der gør det muligt for en ondsindet aktør at udløse en pipeline - som en vilkårlig bruger under særlige omstændigheder kan udnytte.

De særlige omstændigheder er naturligvis ikke frigivet endnu, men der er tale om en sårbarhed, der kan udnyttes uden brugerinteraktion og i øvrigt heller ikke kræver administrative rettigheder. Derfor har sårbarheden fået den næsthøjeste score på 9,9 på CVSS-skalaen.

Sårbarheden har id’et CVE-2024-6678.

Det har været Patch Tuesday igen og det har affødt rettelse af 79 sårbarheder på tværs af Microsofts produkter: Kontor og kontorkomponenter: Azure, Dynamics Business Central, SQL Server, Windows Hyper-V, Mark of the Web (MOTW) og Remote Desktop Licensing Service.

Fire af sårbarhederne er blevet aktivt udnyttet som 0-dagssårbarheder, en fejl er offentligt kendt. Det skriver Security Affairs og en række andre medier.

De fire aktivt udnyttede sårbarheder er:

Der er fundet en række sårbarheder i Zyxel’s netværksenheder, hvoraf en er kritisk.

Det skriver Help Net Security.

Den kritiske sårbarhed kan gøre det muligt for uautoriserede angribere at afvikle OS-kommandoer på mange Zyxel access points (AP'er) og sikkerhedsroutere ved at sende en specielt konstrueret cookie til de sårbare enheder.