Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Критические уязвимости недели: что знать

7
2 мин
Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: PT SWARM, Владимир Власов, Chamilo, Windows, cleanmgr.exe, Chrome, V8, Rapid7, Xerox VersaLink C7025, Parallels Desktop, macOS, Microsoft, Power Pages, CVSS, OpenSSH, SonicWall. Специалист PT SWARM Владимир Власов выявил критическую уязвимость в Chamilo — системе управления обучением с открытым исходным кодом. По данным разработчиков, к началу 2025 г. в платформе зарегистрировано порядка 40 млн аккаунтов. Ошибка безопасности CVE-2025-21420, обнаруженная в средстве очистки диска Windows (cleanmgr.exe), предоставляет злоумышленникам возможность скрытно загружать и исполнять вредоносный код. Для её эксплуатации необходимо разместить вредоносную библиотеку DLL в определённом каталоге, чтобы она подменяла стандартную при запуске cleanmgr.exe. В браузере Chrome выявлены опасные уязвимости, связанные с переполнением буфера в куче в движке V8 и графической подсистеме. Недочёт в V8 затрагивает обрабо

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: PT SWARM, Владимир Власов, Chamilo, Windows, cleanmgr.exe, Chrome, V8, Rapid7, Xerox VersaLink C7025, Parallels Desktop, macOS, Microsoft, Power Pages, CVSS, OpenSSH, SonicWall.

Специалист PT SWARM Владимир Власов выявил критическую уязвимость в Chamilo — системе управления обучением с открытым исходным кодом. По данным разработчиков, к началу 2025 г. в платформе зарегистрировано порядка 40 млн аккаунтов.

Ошибка безопасности CVE-2025-21420, обнаруженная в средстве очистки диска Windows (cleanmgr.exe), предоставляет злоумышленникам возможность скрытно загружать и исполнять вредоносный код. Для её эксплуатации необходимо разместить вредоносную библиотеку DLL в определённом каталоге, чтобы она подменяла стандартную при запуске cleanmgr.exe.

В браузере Chrome выявлены опасные уязвимости, связанные с переполнением буфера в куче в движке V8 и графической подсистеме. Недочёт в V8 затрагивает обработку JavaScript, что особенно критично, так как этот компонент активно используется при загрузке веб-страниц.

Специалисты Rapid7 нашли две уязвимости в принтерах Xerox VersaLink C7025, которые позволяют хакерам перехватывать учётные данные, используя атаки типа Pass-back.

Опубликованы два эксплоита для непропатченной уязвимости повышения привилегий в Parallels Desktop. Данная ошибка даёт возможность получить root-доступ на устройствах под управлением macOS.

Microsoft устранила опасную уязвимость в Power Pages, которая уже применялась хакерами в атаках 0-day. Проблема, обозначенная как CVE-2025-24989 (оценка 8,2 по CVSS), связана с некорректным контролем доступа в системе.

В OpenSSH исправили две уязвимости, эксплуатация которых могла привести к атакам типа man-in-the-middle и отказу в обслуживании (DoS). Одна из этих проблем присутствовала в коде уже более 10 лет.

Эксперты сообщают, что киберпреступники активно используют уязвимость обхода аутентификации, затрагивающую брандмауэры SonicWall. Это связано с тем, что недавно появился рабочий эксплоит, подтверждающий возможность атаки.

Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (20-26 февраля)".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются