Обзор уязвимостей за прошедшую неделю (25 апреля – 1 мая)

Дата: 02.05.2022. Автор: Артем П. Категории: Новости по информационной безопасности, Уязвимости
Обзор уязвимостей за прошедшую неделю (25 апреля – 1 мая)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Cysource, VirusTotal, VMware, VMware, Jira, Even Surf, Cisco, Azure, Google, Chrome, Элкомплюс, RainLoop.

Специалисты компании Cysource выявили уязвимость, позволяющую «дистанционно выполнять команды на платформе VirusTotal и получать доступ к разным возможностям сканирования». Уточняется, что об ошибке было известно ещё около года назад.

Хакеры из Ирана активно эксплуатируют уязвимость удаленного выполнения кода в VMware, что позволяет им получить доступ к пользовательским системам и установить бэкдор. Уязвимость CVE-2022-22954 является критической и имеет оценку 9,8/10 CVSS.

Разработчики Atlassian заявили о наличии критической уязвимости в Jira, которая может быть проэксплуатирована удаленно киберпреступниками для обхода аутентификации. Ошибка затрагивает Seraph, сервис веб-аутентификации в Jira и Jira Service Management.

В web-версии криптовалютного кошелька Even Surf обнаружена уязвимость, с помощью которой злоумышленники могут получить полный контроль над активами пользователей. При эксплуатации ошибки хакеры могут расшифровать закрытые ключи и начальные фразы в локальном хранилище браузера.

Компания Cisco объявила об исправлении 11 серьезных уязвимостей в своих решениях по безопасности. Самой серьезной из них считается CVE-2022-20746 (оценка CVSS 8,8), ошибка в безопасности FTD, которая существует из-за неправильной обработки потоков TCP.

Компания Wiz представила детальную информацию о нескольких критических уязвимостях, которые могут использоваться для получения доступа к базам данных, принадлежащим клиентам Azure.

Корпорация Google объявила, что новая версия Chrome 101 была выпущена с 30-ю устранёнными уязвимостями, из которых 25 ошибок были ранее обнаружены внешними исследователями безопасности.

Обнаружено сразу несколько критических уязвимостей, которые затрагивают промышленные продукты SmartPTT и SmartICS, разработкой которой занимается российская компания «Элкомплюс», специализирующаяся на профессиональной радиосвязи и промышленной автоматизации.

До сих пор неисправленная уязвимость позволяет злоумышленникам красть электронные письма пользователей RainLoop. Проблема затрагивает клиент web-почты RainLoop – её могут проэксплуатировать хакеры для перехвата сеанса пользователя и кражи электронных писем.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.