Atlassian har patchet en række sårbarheder i forbindelse med udgivelse af nye versioner i deres produkter, Confluence data center og server. En af de mest kritiske vedrører Confluence-serveren. Den har id’et CVE-2024-21683 og en CVSS-score på 8,3. Det er en remote code execution-sårbarhed, som der allerede er udgivet en proof-of-concept på. De berørte produkter er følgende versioner af Atlassian Confluence data center og server versioner:
Ivanti har observeret og adresseret flere kritiske SQL-injection sårbarheder i Ivanti Endpoint Manager (EPM), som påvirker 2022 SU5 og tidligere versioner. I alt er der tale om seks sårbarheder med id’erne fra CVE-2024-29822 til CVE-2024-29827, der alle har fået en score på 9,6. Derudover er der fundet fire andre SQL-injection sårbarheder med en score på 8,4 i samme produkt.
Security Week omtaler sårbarhederne i en artikel i dag.
Veeam har i dag advaret sine kunder om en kritisk sårbarhed, der gør det muligt for uautoriserede angribere at logge ind på en hvilken som helst konto via Veeam Backup Enterprise Manager (VBEM).
Det skriver Bleeping Computer.
Sårbarheden har id’et CVE-2024-29849 og en CVSS-score på 9,8.
Blot tre dage efter seneste sikkerhedsopdatering fra Google, sendes der en ny på gaden til håndtering af en 0-dagssårbarhed i Chrome. Der er tale om den sjette 0-dag i 2024, som er under udnyttelse.
Det skriver Security Affairs og en række andre medier.
Google har udsendt sikkerhedsopdateringer til Chrome-browseren, der retter den fem 0-dagssårbarhed i dag – som tilmed har været under udnyttelse siden starten af året. Det skriver Bleeping Computer og en række andre medier.
Sårbarheden har id’et CVE-2024-4671 og er af Google blevet tildelt en score på ”høj”.
Citrix har i al ubemærkethed rettet en sårbarhed i sine NetScaler Application Delivery Control (ADC) og Gateway-produkter, der gjorde det muligt for eksterne, uautentificerede angribere at få adgang til potentielt følsomme oplysninger fra hukommelsen på berørte systemer.
Brugere af CrushFTP, som er en virksomhedsløsning til overførsel af filer, bliver opfordret til at opdatere til den nyeste version efter opdagelsen af en sikkerhedsfejl, der pt. er under målrettet udnyttelse in-the-wild.
Det skriver The Hacker News blandt andre.
Det drejer sig om CrushFTP v11-versioner under 11.1, der har en sårbarhed, hvor brugere kan undslippe deres VFS og downloade systemfiler. Sårbarheden er blevet rettet i version 11.1.0. Vejledning til opdateringen findes på CrushFTPs updateside.
Der er fundet og afsløret en alvorlig sårbarhed i D-Link NAS-modeller, der har nået end-of-life.
Det skriver Security Affairs.
Sårbarheden har id’et CVE-2024-3273 og en CVSS-score på 7,3. Der er tale om en ”command injection” og hardkodet bagdørssårbarhed, der ligger i nas_sharing.cgi uri. En angriber kan udnytte fejlen til at opnå mulighed for afvikling af kommandor på de berørte D-Link NAS-enheder, få adgang til potentielt følsomme oplysninger, udføre systemkonfigurationsændringer eller DoS-angreb.
Ivanti, der producerer it-sikkerhedssoftware, har udsendt patches, der adresserer flere sårbarheder i Connect Secure og Policy Secure-gateways.
Det skriver Bleeping Computer.
Den mest kritiske sårbarhed, CVE-2024-21894 (CVSS 8,2) kan udnyttes af uautentificerede angribere til at få mulighed for "remote code execution" og etablering af denial-of-service. Udnyttelse kan opstå i angreb, der ikke kræver brugerinteraktion.
