Обзор уязвимостей за прошедшую неделю (15-21 мая)
Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: AppSec Solutions, Action1, Positive Technologies, PT SWARM, Алексей Соловьёв, Ян Чижевский, NetCat CMS, Минцифры, Алексей Седой, СайберОК, edna, Bitnami PGPool, PostgreSQL, Mozilla, Firefox, Pwn2Own, Windows 11, Red Hat Linux, VMware ESXi, Microsoft SharePoint, Erlang.
Почти все активно используемые в России мобильные приложения оказались под угрозой хакерских атак. Специалисты AppSec Solutions проанализировали более 1,6 тыс. программ для Android и выяснили, что примерно 90% из них содержат опасные или критичные уязвимости. Среди исследованных — банковские сервисы, медицинские платформы и решения для видеосвязи.
Action1 опубликовала доклад, в котором проанализировала рост числа уязвимостей в популярных операционных системах и программных продуктах. Документ основан на статистике из NVD и CVEdetails.com и подчёркивает: в 2024 году цифровая устойчивость большинства ИТ-инфраструктур пошатнулась.
Positive Technologies выделила в числе наиболее опасных сразу четыре уязвимости. Среди них — недоработки в системах безопасности продуктов Microsoft, а также в программном фреймворке Erlang, который используется при создании распределённых приложений.
Исследователи PT SWARM Алексей Соловьёв и Ян Чижевский обнаружили ряд серьёзных уязвимостей в системе NetCat CMS. По данным разработчика, на этом движке работают свыше 15 тыс. сайтов, зарегистрированных в отечественном реестре программного обеспечения. После уведомления вендор выпустил обновление — пользователям рекомендована версия не ниже 7.0.
Алексей Седой, эксперт из СайберОК, выявил уязвимость IDOR в системах интеграции чат-центра платформы edna. Эта ошибка может позволить злоумышленникам получить доступ к данным, предназначенным для других пользователей, при отсутствии должной проверки прав доступа.
Инструмент для репликации баз данных Bitnami PGPool содержит критическую дыру в защите, способную предоставить злоумышленнику прямой доступ к PostgreSQL. Уязвимость открывает возможность обхода механизмов аутентификации и получения контроля над базами данных.
Mozilla распространила экстренные обновления для браузера Firefox. Патчи устраняют две уязвимости нулевого дня, обнаруженные участниками международного хакерского турнира Pwn2Own, который недавно прошёл в Берлине.
На прошедшем в столице Германии конкурсе Pwn2Own исследователи продемонстрировали 28 0-day уязвимостей. Взлому подверглись Windows 11, Red Hat Linux, VMware ESXi, Microsoft SharePoint и другие системы. Суммарно участники заработали свыше $1 млн, а семь найденных уязвимостей касались ИИ-технологий.
