СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Дайджесты
Артем
25 марта
#Уязвимости #ИБ

Обзор уязвимостей за прошедшую неделю (19-25 марта)

Обзор уязвимостей за прошедшую неделю (19-25 марта)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Magento Open Source, Adobe Commerce, GNU InetUtils, telnetd, Ubuntu Desktop, iOS, IP KVM, Linux, AppArmor, WebKit.

Специалисты выявили уязвимость PolyShell, затрагивающую все актуальные версии Magento Open Source и Adobe Commerce 2. Ошибка позволяет злоумышленнику без аутентификации загружать на сервер исполняемые файлы, что открывает путь к удалённому выполнению кода или компрометации учетных записей через хранимую XSS.

В демоне telnetd, входящем в состав GNU InetUtils, обнаружена критическая уязвимость. Она даёт возможность удалённому атакующему без прохождения аутентификации выполнить произвольный код с правами root. Исправление на момент обнаружения отсутствует.

В стандартных конфигурациях Ubuntu Desktop версии 24.04 и новее обнаружена уязвимость с идентификатором CVE-2026-3888 и оценкой 7.8 по шкале CVSS. Проблема позволяет локальному пользователю повысить привилегии до уровня root.

Для iOS выявлен набор эксплойтов под названием DarkSword, ориентированный на устройства с версиями системы 18.4–18.7. Использование этих инструментов даёт возможность полностью скомпрометировать устройство при минимальном участии пользователя.

Представлена концепция атаки, позволяющей скрывать вредоносные команды от ИИ-ассистентов. Метод основан на различии между содержимым HTML-кода страницы и тем, что отображается пользователю в браузере, что затрудняет выявление угроз автоматизированными средствами.

В устройствах IP KVM сразу четырёх производителей обнаружено 9 уязвимостей. Наиболее критичные из них позволяют получить root-доступ или выполнить произвольный код без какой-либо аутентификации.

В модуле AppArmor ядра Linux выявлен набор из 9 уязвимостей, получивший название CrackArmor. Эти проблемы дают непривилегированному пользователю возможность обойти механизмы защиты, получить права root и нарушить изоляцию контейнеров.

В WebKit устранена уязвимость с применением механизма фоновых улучшений безопасности BSI. Обновление было доставлено на устройства iPhone, iPad и Mac без полноценного обновления операционной системы.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: