每日安全简讯(20240929)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员披露OpenPLC中的多个安全漏洞
OpenPLC是一种开源的可编程逻辑控制器(PLC),旨在为工业自动化提供低成本解决方案。它广泛用于制造、能源和公用事业等行业的机器和过程自动化。研究人员披露了OpenPLC中的五个安全漏洞,这些漏洞可以被利用来触发拒绝服务(DoS)条件或执行远程代码。其中最严重的是一个基于堆栈的缓冲区溢出漏洞,被标识为CVE-2024-34026(CVSS评分9.0),攻击者可以触发该漏洞实现远程代码执行。其余的DoS漏洞分别被标识为CVE-2024-36980、CVE-2024-36981、CVE-2024-39589和CVE-2024-39590。攻击者可以通过发送精心制作的EtherNet/IP请求来利用这些漏洞。建议用户将OpenPLC更新至最新版本,以修复上述漏洞。
https://securityaffairs.com/168953/ics-scada/openplc-critical-flaw.html
2 网络监控工具WhatsUp Gold存在多个安全漏洞
Progress Software警告客户尽快修复其WhatsUp Gold网络监控工具中的多个安全漏洞。Progress称,WhatsUp Gold团队已发现存在于24.0.1以下版本中的六个漏洞。这些漏洞分别是CVE-2024-46905(CVSS评分8.8)、CVE-2024-46906(CVSS评分8.8)、CVE-2024-46907(CVSS评分8.8)、CVE-2024-46908(CVSS评分8.8)、CVE-2024-46909(CVSS评分9.8)、CVE-2024-8785(CVSS评分9.8)。目前该公司尚未提供有关这些漏洞的详细信息。
https://www.bleepingcomputer.com/news/security/progress-urges-admins-to-patch-critical-whatsup-gold-bugs-asap/
3 WordPress插件Jupiter X Core存在安全漏洞
研究人员发现了WordPress插件Jupiter X Core中的两个安全漏洞。这些漏洞可能允许未经身份验证的攻击者完全控制网站或劫持用户账户,包括管理员账户,影响了超过90000个网站。第一个漏洞被标识为CVE-2024-7772,是一个任意文件上传漏洞,CVSS评分为9.8。该漏洞源于文件类型验证处理不当,允许攻击者上传恶意文件,从而导致远程代码执行,最终使攻击者能够完全控制易受攻击的网站。第二个漏洞被标识为CVE-2024-7781,是一个有限的身份验证绕过漏洞,可能导致账户接管问题。建议使用Jupiter X Core插件的用户尽快将其更新至最新版本。
https://securityonline.info/critical-flaws-discovered-in-jupiter-x-core-wordpress-plugin-affecting-over-90000-sites
4 VLC媒体播放器中存在安全漏洞
使用VLC媒体播放器的用户应立即更新软件,该软件中存在一个安全漏洞,该漏洞可能允许攻击者使程序崩溃甚至执行任意代码。该漏洞被标识为CVE-2024-46461,CVSS评分为8.0。问题源于当VLC处理恶意制作的MMS流时可能触发整数溢出。虽然该漏洞最可能导致的结果是程序崩溃,但如果结合其他漏洞,这个漏洞可能导致信息泄露或远程代码执行。到目前为止,没有发现该漏洞被恶意利用。用户应将VLC媒体播放器更新至3.0.21或更高版本。
https://securityonline.info/vlc-media-player-update-needed-cve-2024-46461-discovered
5 研究人员披露WatchGuard产品中的安全漏洞
研究人员披露了WatchGuard的认证网关和单点登录客户端软件中的两个安全漏洞CVE-2024-6592和CVE-2024-6593。CVE-2024-6593源于认证网关中的授权错误,此漏洞的CVSS评分为9.1,允许具有网络访问权限的攻击者执行认证网关上的受限管理命令。CVE-2024-6592源于协议通信中的授权错误,CVSS评分为9.1分,涉及认证网关和Windows及MacOS上的单点登录客户端之间通信协议中的授权错误。WatchGuard已在其最新版本的软件中解决了这些漏洞。
https://securityonline.info/critical-watchguard-vulnerabilities-discovered-cve-2024-6592-and-cve-2024-6593/
6 HashiCorp Vault中存在一个安全漏洞
HashiCorp发布了一份关于其密钥管理工具Vault的安全公告。该漏洞被标识为CVE-2024-7594,CVSS评分为7.7,影响从1.7.7到1.17.5版本的社区版和企业版Vault。如果该漏洞被利用,可能会使攻击者获得不受限制的SSH访问权限,可能导致数据泄露、服务中断以及对关键基础设施进行未经授权的控制。HashiCorp已修复该漏洞,建议Vault用户升级至修复版本。
https://securityonline.info/hashicorp-vault-flaw-cve-2024-759-unrestricted-ssh-access-threatens-system-security/
页:
[1]