Hackernews 编译,转载请注明出处:
美国网络安全和基础设施安全局(CISA)在其已知漏洞目录中添加了10个新漏洞,其中包括影响Delta Electronics工业自动化软件的高严重性安全漏洞(CVE-2021-38406 CVSS 评分:7.8)。
根据具有约束力的操作指令(BOD)22-01:降低已知被利用漏洞的重大风险,FCEB机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。
专家还建议私人组织审查目录并解决其基础设施中的漏洞。
据美国机构称,Delta Electronics DOPSoft 2在解析特定项目文件时缺乏对用户提供的数据的正确验证(输入验证不正确)。攻击者可以触发该漏洞,导致越界写入并实现代码执行。
重要的是没有安全补丁可以解决此问题,并且受影响的产品已经报废。
CISA还在Apple iOS、macOS和watchOS中添加了一个Sanbox绕过漏洞,跟踪为CVE-2021-31010 (CVSS评分:7.5)。
“在受影响的Apple iOS、macOS和watchOS版本中,沙盒进程可能能够绕过沙盒限制。”公告中写道。
添加到该目录的其他漏洞有:
- CVE-2022-26352 – dotCMS无限制上传文件漏洞
- CVE-2022-24706 – Apache CouchDB资源不安全默认初始化漏洞
- CVE-2022-24112 – Apache APISIX身份验证绕过漏洞
- CVE-2022-22963 – VMware Tanzu Spring Cloud Function远程代码执行漏洞
- CVE-2022-2294 – WebRTC堆缓冲区溢出漏洞
- CVE-2021-39226 – Grafana身份验证绕过漏洞
- CVE-2020-36193 – PEAR Archive_Tar链接解析不当漏洞
- CVE-2020-28949 – PEAR Archive_Tar不受信任数据反序列化漏洞
CISA命令联邦机构在2022年9月15日之前修复这些漏洞。
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文