Обзор уязвимостей за прошедшую неделю (18-24 января)

Дата: 25.01.2021. Автор: Артем П. Категории: Уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: WordPress, МИФИ, PickPoint, Госуслуги Москвы, Amazon, Kindle, SonicWall, Windows, VideoLan.

В плагине Orbit Fox для сайтов WordPress найдено сразу несколько серьезных уязвимостей, благодаря эксплуатации которых хакеры имеют возможность захватить учетные записи администраторов веб-ресурсов.

На сайте org.mephi.ru, который используется вузом МИФИ для проведения олимпиад школьников, выявлены критические уязвимости. С их помощью заинтересованные лица могут получить всю информацию по заданиям к олимпиадам, персональным данным участников, поменять ответы и выполнить различные другие действия.

На одном из хакерских форумов в продаже появилась SQLi-уязвимость к системам сервиса PickPoint. С ее помощью, как утверждает продавец, можно без труда получить доступ к внутренней базе данных компании PickPoint, которая содержит огромное количество пользовательских личных данных.

В приложении «Госуслуги Москвы» обнаружена критическая уязвимость, за счет которой киберпреступники могут получить доступ к учетным записям пользователей, но только в том случае, если им известен телефон, который используется для авторизации. Уязвимость была в короткий срок исправлена разработчиками.

Корпорация Amazon решила заплатить 18 тыс. долларов израильскому ИБ-специалисту Йогеву Бар-Ону, который обнаружил критическую уязвимость в электронных книгах Kindle. С помощью выявленной уязвимости на устройстве пользователя можно было выполнить произвольный код, получить к электронной книжке полный доступ.

Представители SonicWall сообщили о том, что их компания пострадала от «скоординированной хакерской атаки». Киберпреступники смогли проникнуть во внутреннюю сеть компании с помощью эксплуатации уязвимости нулевого дня, которая была позже обнаружена специалистами в программных продуктах SonicWall.

Специалисты по кибербезопасности нашли уязвимость обхода функции безопасности в Windows NT LAN Manager. Злоумышленники могут эксплуатировать ее удаленно. Есть возможность дистанционного выполнения кода через реле NTML.

Компания VideoLan выпустила новую версию медиаплеера VLC. В рамках обновления программы были исправлены RCE-уязвимости, связанные с переполнением буфера и недопустимым разыменованием.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *