Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: TikTok, Cisco, TBK, WordPress, Fortinet, Azure, Android, Apple.
Эксперты по кибербезопасности компании Imperva выявили уязвимость сервиса TikTok, которая позволяла красть конфиденциальные данные с пользовательских устройств — их можно было использовать для кражи персональной информации, фишинга или шантажа. Сейчас ошибка устранена.
Компания Cisco сообщила о критической уязвимости в веб-интерфейсе двухпортовых телефонных адаптеров SPA112. Ошибка позволяет удаленному неаутентифицированному хакеру выполнить произвольный код. Из-за того, что срок поддержки Cisco SPA112 подошёл к концу, исправлений для этой уязвимости выпущено не будет.
Специалисты по ИБ из компании Fortinet предупредили, что киберпреступники активно эксплуатируют не устранённую до сих пор уязвимость обхода аутентификации, выявленную в DVR-устройствах компании TBK еще в 2018 году.
В компании Patchstack сообщили, что уязвимость XSS в плагине Advanced Custom Fields для WordPress подвергает атакам более 2 миллионов сайтов. Выявленная исследователем безопасности Patchstack Рафи Мухаммедом ошибка с идентификатором CVE-2023-30777 описывается как отраженная XSS-ошибка высокой степени серьезности, влияющая на страницу администрирования плагина.
На прошедшей неделе компания Fortinet объявила о выпуске набора обновлений безопасности, которые устраняют 9 уязвимостей в нескольких продуктах, включая две серьезные ошибки в FortiADC, FortiOS и FortiProxy.
Компания Ermetic заявила, что 3 уязвимости в службе управления API Azure могут использоваться злоумышленниками для выполнения различных типов вредоносных действий. Выявленные уязвимости, две ошибки подделки запросов на стороне сервера (SSRF) и одна ошибка обхода пути загрузки файлов, были результатом обхода форматирования URL и функции неограниченной загрузки файлов.
Выпущенные Google обновления безопасности для Android за май 2023 года исправляют более 40 уязвимостей, в том числе уязвимость ядра, используемую поставщиком шпионского ПО как уязвимость нулевого дня.
Корпорация Apple выпустила первые в истории обновления безопасности для своих продуктов Beats и AirPods, чтобы исправить уязвимость, которую можно использовать для получения доступа к наушникам через Bluetooth-атаку.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.