美国网络安全和基础设施安全局（CISA）将其已知被利用漏洞（KEV）目录中增加了一个Acclaim Systems USAHERDS漏洞，该漏洞被追踪为CVE-2021-44207（CVSS评分：8.1）。 USAHERDS是由Acclaim Systems开发的基于网络的应用程序，旨在协助美国州政府追踪和管理动物健康和疾病爆发。它是AgraGuard产品套件的一部分，该套件包括USAHERDS、USALIMS、USAPlants、USAFoodSafety和USAMeals，旨在支持农业和食品安全运营。 该漏洞被中国网络间谍组织APT41利用，入侵了多个美国州政府网络。 这个漏洞源于硬编码凭证漏洞，影响了Acclaim USAHERDS网络应用程序7.4.0.1及更早版本。知道静态ValidationKey和DecryptionKey值的攻击者可以利用它们在运行应用程序的系统上执行任意代码。 攻击者可以制作恶意ViewState数据以绕过MAC检查，并触发服务器端代码执行。 “Acclaim USAHERDS网络应用程序7.4.0.1及更早版本，在2021年11月之前构建的版本使用了静态的ValidationKey和DecryptionKey值。”咨询报告中写道。“高风险——知道ValidationKey和DecryptionKey可以用来在运行应用程序的系统上实现远程代码执行。” 安全研究人员Douglas Bienstock来自Mandiant，他向公司报告了这个问题。Acclaim Systems通过在2021年11月发布补丁来解决这个问题，以修复漏洞。 根据《约束性操作指令》（BOD）22-01：减少已知被利用漏洞的重大风险，联邦民事机构必须在截止日期前解决已识别的漏洞，以保护他们的网络不受目录中漏洞被利用的攻击。 专家们还建议私营组织审查目录，并解决其基础设施中的漏洞。 CISA命令联邦机构在2025年1月13日之前修复此漏洞。     消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet警告称，已修复的无线局域网管理器（FortiWLM）漏洞（CVE-2023-34990，CVSS得分9.6）可能导致管理员权限访问和敏感信息泄露。 供应商发布的公告中写道：“FortiWLM中的相对路径遍历漏洞[CWE-23]可能允许远程、未经身份验证的攻击者读取敏感文件。” Horizon3.ai的安全研究员Zach Hanley（@hacks_zach）向Fortinet报告了该漏洞。 该漏洞影响以下产品： – FortiWLM版本8.6.0到8.6.5（已在8.6.6及以上版本修复） – FortiWLM版本8.5.0到8.5.4（已在8.5.5及以上版本修复） Hanley解释说，CVE-2023-34990漏洞使得远程攻击者能够通过精心构造的请求，利用特定端点的日志读取功能进行攻击。 “这个漏洞允许远程、未经身份验证的攻击者通过对/ems/cgi-bin/ezrf_lighttpd.cgi端点发起精心构造的请求，访问并滥用系统中用于读取特定日志文件的内置功能。”Horizon3.ai发布的报告中写道，“这个问题源于请求参数缺乏输入验证，允许攻击者遍历目录并读取系统上的任何日志文件。” 专家补充说，FortiWLM的详细日志暴露了会话ID，使得攻击者可以利用日志文件读取漏洞劫持会话并访问已验证的端点。 FortiWLM中经过身份验证的用户的会话ID令牌在设备启动时保持静态。攻击者可以通过日志文件读取漏洞劫持会话并获得管理员权限。 研究员还注意到，CVE-2023-34990漏洞可以与CVE-2023-48782（CVSS得分8.8）链式利用，从而在根权限下实现远程任意代码执行。 威胁行为者经常针对Fortinet设备，因此客户应及时更新其安装版本。 “尽管我们发现该漏洞在州政府、地方政府、教育（SLED）和医疗领域客户中较为常见，但幸运的是，互联网暴露相对有限，约为15个实例。”报告最后总结道。   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一种新近开发的技术，利用了Windows的一个辅助功能框架——UI Automation（UIA），来执行多种恶意活动，同时巧妙地避开了端点检测和响应（EDR）解决方案的监控。 Akamai的安全研究员Tomer Peled在一份与The Hacker News分享的报告中指出：“要利用这项技术，必须说服用户运行一个利用UI Automation的程序。”这可能导致隐蔽的命令执行，进而窃取敏感数据、将浏览器重定向至网络钓鱼网站等。 更糟糕的是，本地攻击者可能会利用这一安全漏洞执行命令，从Slack和WhatsApp等消息应用中读取或发送消息。此外，这种技术还可能被用来通过网络操控用户界面元素。 UI Automation最初随Windows XP和Microsoft .NET Framework一同推出，旨在提供对各种用户界面（UI）元素的程序化访问，并帮助用户通过辅助技术产品（如屏幕阅读器）来操作这些元素，它也可用于自动化测试场景。 微软在一份支持文件中提到：“辅助技术应用通常需要访问受保护的系统UI元素，或者可能以更高权限运行的其他进程。因此，辅助技术应用必须获得系统的信任，并以特殊权限运行。” “要访问更高权限级别的进程，辅助技术应用必须在应用的清单文件中设置UIAccess标志，并由具有管理员权限的用户启动。” 与其他应用中的元素进行UI交互，是通过组件对象模型（COM）作为进程间通信（IPC）机制来实现的。这使得创建UIA对象成为可能，通过设置事件处理程序，在检测到特定UI变化时触发，从而与焦点应用进行交互。 Akamai的研究发现，这种方法也可能被滥用，允许恶意行为者读取或发送消息、窃取在网站（如支付信息）中输入的数据，并在浏览器中当前显示的网页刷新或更改时执行命令，将受害者重定向至恶意网站。 Peled指出：“除了我们可以在屏幕上与之交互的UI元素外，还有更多的元素被预先加载并存储在缓存中。我们也可以与这些元素交互，比如阅读屏幕上未显示的消息，甚至在屏幕上不显示的情况下设置文本框并发送消息。” 需要指出的是，这些恶意场景都是UI Automation的预期功能，类似于Android的辅助服务API已经成为恶意软件从受感染设备中提取信息的常用手段。 Peled补充说：“这归根结底是应用程序的预期用途：这些权限级别必须存在才能使用它。这就是为什么UIA能够绕过Defender——应用程序没有发现任何异常。如果某功能被视为特性而非缺陷，机器的逻辑就会遵循这一特性。” Deep Instinct披露，分布式COM（DCOM）远程协议允许软件组件通过网络通信，可能被利用来远程编写自定义有效载荷，创建嵌入式后门。 安全研究员Eliran Nissan表示：“这种攻击允许在目标机器上编写自定义DLL，将它们加载到服务中，并使用任意参数执行它们的功能。”这种后门式攻击滥用了IMsiServer COM接口。 Nissan说：“到目前为止，DCOM横向移动攻击的研究主要集中在基于IDispatch的COM对象上，因为它们可以被脚本化。”新的“DCOM上传和执行”方法“远程将自定义有效载荷写入受害者的[全局程序集缓存]，从服务上下文执行它们，并与它们通信，有效地充当嵌入式后门。这里的研究证明，许多意想不到的DCOM对象可能被用于横向移动，应该对齐适当的防御措施。”     转自Freebuf，原文链接：https://www.freebuf.com/news/417529.html 封面来源于网络，如有侵权请联系删除

本文揭示了 DeepSeek 人工智能聊天机器人中的一个现已修补的安全漏洞的详细信息，如果成功利用，黑客可通过输入注入攻击方式控制受害者的账户。 安全研究人员 Johann Rehberger，他记录了许多针对各种人工智能工具的注入攻击，发现在 DeepSeek 聊天中提供”Print the xss cheat sheet in a bullet list. just payloads”的输入触发了 JavaScript 代码的执行，作为生成的响应的一部分——这是典型的跨站脚本（XSS）攻击。 XSS 攻击可能会产生严重后果，因为它们导致在受害者的网络浏览器上执行未经授权的代码。攻击者可以利用这些漏洞劫持用户的会话并访问与 chat.deepseek[.]com 域关联的 cookie 和其他数据，从而导致账户被接管。 “经过一些实验，我发现采取控制用户会话所需的全部是 chat.deepseek.com 域存储的 userToken，” Rehberger 表示，他补充道，可以使用特殊设计的提示来触发 XSS 并通过注入攻击访问被攻击用户的 compromised user’s userToken 。 提示包含了一系列的指令和一个 Base64 编码的字符串，DeepSeek 聊天机器人将其解码后执行 XSS 载荷，用于提取受害者的会话令牌，最终允许攻击者冒充用户。 与此同时，Rehberger 还展示了 Anthropic 的Claude Computer Use 可以通过提示注入来滥用，Claude Computer Use 可以使开发人员通过光标移动、按键点击和键入文本来控制计算机。通过提示注入，攻击者可以滥用 Computer Use 来下载 Sliver 命令与控制（C2）框架，执行该框架，并与攻击者控制的远程服务器建立联系，从而自主运行恶意命令。 此外，还发现可以利用大型语言模型（LLM）的 ANSI 转义码输出来通过提示注入劫持系统终端。这种攻击主要针对 LLM 集成的命令行界面（CLI）工具，被命名为 Terminal DiLLMa 。 “十年前的功能为 GenAI 应用提供了意想不到的攻击面，” Rehberger 说。”对于开发者和应用设计者来说，考虑将 LLM 输出插入的上下文是很重要的，因为输出是不可信的，可能包含任意数据。” 这还不是全部，威斯康辛大学麦迪逊分校和圣路易斯华盛顿大学的学者进行的新研究揭示了 OpenAI 的ChatGPT 在给出的附加标记格式的外部图像链接渲染的问题，这些链接可能涉及淫秽和暴力内容，以一个普通的善意目标为借口。 此外，还发现通过提示注入，可以间接调用 ChatGPT 插件，而无需用户确认，甚至可以绕过 OpenAI 设定的限制，以防止渲染来自危险链接的内容，将用户的聊天记录泄露到由攻击者控制的服务器上。     转自Freebuf，原文链接：https://www.freebuf.com/news/417305.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 （WAF） 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞，该漏洞容易让许多财富 100强、1000强的公司受到网络攻击。 该漏洞影响到一些最主流的 WAF 提供商，包括 Akamai、Cloudflare、Fastly 和 Imperva，并极有可能导致拒绝服务（DoS）攻击、勒索软件攻击，甚至是全面的应用程序入侵。 研究人员发现，漏洞导致的错误配置影响了涉及财富1000强公司相关的14多万个域。其中，3.6万个后端服务器有 8000 个域名与之相连，这些对潜在的攻击者开放，容易受到 DDoS 攻击。 根据分析，有近 40% 的 “财富 100 强 “企业和 20%  “财富 1000 强 “企业都受到了影响，这凸显了错误配置的普遍性。 一些全球知名企业，包括摩根大通、Visa、英特尔、伯克希尔·哈撒韦和联合健康等，都被发现受到了影响。比如，例如，研究团队的发现迅速披露了直接影响摩根大通主网站 chase.com 的问题；对伯克希尔·哈撒韦子公司 BHHC 拥有的一个网域进行的 20 秒钟拒绝服务攻击试验，展示了该漏洞的严重性。 根据 Zafran 的技术分析，缺陷在于现今 WAF 提供商的双重功能，它们也作为内容交付网络 (CDN) 运行，以增强网络可靠性和缓存。当后端服务器不能正确检查流量时，这种架构设计就会出现漏洞，让攻击者绕过 WAF 保护，直接攻击后端基础设施。比如，攻击者可以通过将外部域映射到后端 IP 地址来利用这一漏洞。 这一发现凸显了 WAF/CDN 解决方案在设计和实施过程中存在的系统性缺陷。 有效的 WAF 通常是面向公众的网络应用程序的主要或唯一防御层，因此这种错误配置尤其令人担忧。 最近的趋势表明，攻击者越来越多地瞄准配置不佳的网络应用程序。  此外，针对暴露在外的网络应用程序的云勒索软件攻击也越来越常见。 此类攻击造成的经济损失通常十分惊人，例如，一次持续一小时的 DDoS 攻击会给金融组织造成大约 180 万美元的损失，而类似的宕机时间给大型披萨连锁店造成的损失可能高达 190 万美元。 缓解措施 为了防范与这种 WAF 错误配置相关的风险，Zafran 概述了几种缓解策略： IP 白名单（源 IP 访问控制列表）： 只允许 CDN 提供商的 IP 地址访问后端服务器。 这种方法虽然简单，但并非万无一失； 自定义标头中的预共享密钥： 使用带有预共享密钥的自定义 HTTP 标头来验证流量。 虽然短期内有效，但这需要定期轮换密钥； 双向TLS（mTLS）：采用客户端认证来验证服务器和 CDN。 这是最安全的方法，但需要专门的工具，可能并非所有常用的负载均衡器都支持这些工具。 Zafran 从 2024 年 8 月 23 日开始启动了为期 90 天的协调披露流程，以通知受影响的公司。该团队向 Visa、英特尔、摩根大通、伯克希尔·哈撒韦公司的 BHHC 和联合健康报告了该漏洞。值得注意的是，摩根大通和联合健康已经解决了这个问题，防止了潜在的漏洞利用。     转自Freebuf，原文链接：https://www.freebuf.com/news/417317.html 封面来源于网络，如有侵权请联系删除

备份、恢复和数据管理解决方案的著名提供商 Veeam Software 发布了一个安全更新，以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞有可能使经过验证的攻击者执行恶意代码，未经授权访问敏感信息，并破坏连接系统的完整性。 其中最严重的漏洞 CVE-2024-40717 的 CVSS v3.1 得分为 8.8，表示严重程度较高。该漏洞可使攻击者以提升的权限执行任意代码，从而可能导致整个系统被入侵。此更新解决的其他漏洞包括： CVE-2024-42451： 允許存取以人類可讀格式儲存的憑證。 CVE-2024-42452：允許以提升的權限遠端上載檔案至連接的 ESXi 主機。 CVE-2024-42453: 允許控制和修改連接的虛擬基礎結構主機。 CVE-2024-42455: 助長不安全的反序列化，可能導致檔案刪除。 CVE-2024-42456： 授予访问特权方法和控制关键服务的权限。 CVE-2024-42457：通过远程管理界面暴露已保存的凭证。 CVE-2024-45204： 利用凭证处理权限不足，可能导致 NTLM 哈希值泄漏。 另一个漏洞 CVE-2024-45207 影响 Microsoft Windows 的 Veeam Agent。当未受信任用户可写的目录被添加到 PATH 环境变量时，利用该漏洞可实现 DLL 注入。虽然默认的 Windows PATH 不包括此类目录，但在错误配置的环境中，风险仍然很大。 Veeam 已在 Veeam Backup & Replication 12.3（构建 12.3.0.310）和 Veeam Agent for Microsoft Windows 6.3（构建 6.3.0.177）中修复了这些漏洞，并敦促所有用户立即升级到该版本。作为临时缓解措施，Veeam 建议从备份服务器上的 “用户和角色 ”设置中删除任何不受信任或不必要的用户。 强烈建议依赖 Veeam Backup & Replication 的组织立即采取行动，保护其关键数据和基础设施。     转自安全客，原文链接：https://www.anquanke.com/post/id/302459 封面来源于网络，如有侵权请联系删除

日本计算机紧急响应小组（CERT）警告称 ，黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令，甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞，但目前暂无完整的修复补丁，预计将在2024年12月18日发布，因此在此之前用户将面临比较严重的风险。 上述三个零日漏洞在2024年11月13日被发现，包括信息泄露、远程任意操作系统命令执行和导致防火墙禁用的漏洞。 具体如下： CVE-2024-45841：敏感资源上的不当权限配置，导致低权限用户可以访问关键文件。 CVE-2024-47133：认证的管理员用户可以在设备上注入并执行任意操作系统命令，利用配置管理中的输入验证不充分漏洞。 CVE-2024-52464：固件中的未记录特性或后门可导致远程攻击者在无需认证的情况下，关闭设备防火墙并修改设置。 受影响的设备：这些漏洞影响UD-LT1和UD-LT1/EX设备，前者是为多功能连接解决方案设计的混合LTE路由器，而后者是工业级版本。 最新可用的固件版本v2.1.9仅解决了CVE-2024-52564漏洞，I-O Data表示其他两个漏洞的修复将在计划于2024年12月18日发布的v2.2.0版本中提供。比较糟糕的消息是，已经有客户因为这些漏洞而遭到黑客攻击。 I-O Data安全公告指出，“已收到使用混合LTE路由器UD-LT1和UD-LT1/EX的客户的咨询，这些客户报告了来自外部来源的潜在未经授权访问。” 在安全更新发布之前，I-O Data 建议用户实施以下缓解措施： 禁用所有互联网连接方式的远程管理功能，包括WAN端口、调制解调器和VPN设置。 仅限VPN连接的网络访问，以防止未经授权的外部访问。 将默认的“访客”用户的密码更改为超过10个字符的更复杂的密码。 定期监控和验证设备设置，以尽早检测未经授权的更改，并在检测到泄露时将设备重置为出厂默认设置并重新配置。 不过国内的企业用户不需要太过担心，因为I-O DATA UD-LT1和UD-LT1/EX LTE路由器主要在日本市场销售，旨在支持NTT Docomo和KDDI等多个运营商，并兼容该国的主要MVNO SIM卡。     转自Freebuf，原文链接：https://www.freebuf.com/news/417010.html 封面来源于网络，如有侵权请联系删除

美国网络安全机构 CISA 周二警告称，多款 Zyxel 防火墙设备中的路径遍历漏洞已被利用。 该漏洞编号为 CVE-2024-11667（CVSS 评分为 7.5），是一个高严重性漏洞，影响 Zyxel ATP、USG FLEX 和 USG20(W)-VPN 系列设备的 Web 管理界面。 NIST 公告称，成功利用此安全漏洞可能允许攻击者使用精心设计的 URL 下载或上传文件。 Qualys周二警告称： “攻击者可能利用该漏洞获得系统的未经授权访问、窃取凭证并创建后门 VPN 连接。” 本地模式下的 Zyxel ATP 和 USG FLEX 系列防火墙以及运行 ZLD 固件版本 4.32 至 5.38 且启用了远程管理或 SSL VPN 的设备受到影响。 11 月 27 日，感恩节前夕，Zyxel 更新了针对之前披露的针对其防火墙的攻击的公告，警告称该漏洞正在被广泛利用。 更新后的公告称：“我们确认，2024 年 9 月 3 日发布的防火墙固件版本 5.39 及更高版本不受该漏洞影响，因为我们已经解决了所有已知漏洞，包括 CVE-2024-11667，并在版本 5.39 中执行了一系列安全增强功能。 ” 该通报引用了 Sekoia 的一份报告（https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/），该报告介绍了 Helldown 勒索软件攻击中利用另一个 Zyxel 防火墙漏洞（编号为 CVE-2024-42057）的情况。针对 CVE-2024-42057 和其他六个安全缺陷的补丁已于 9 月 3 日发布。 Zyxel 在其更新的公告中警告称：“为了保护设备，我们强烈建议用户更新固件并更改管理员密码。这些更新对于降低威胁行为者利用 Zyxel 安全设备中先前披露的漏洞的风险至关重要。” 11 月 22 日，德国计算机应急响应小组 (CERT-Bund) 透露，一些组织在应用 Zyxel 的补丁后，没有更改管理密码或检查新创建的账户，就受到了攻击。 CERT-Bund 的公告(https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032.pdf) 中写道：“进一步的调查显示，仅更新受影响的设备不足以永久防止入侵。相反，攻击者可以使用创建的账户来侵入网络。” 12 月 3 日，CISA 将 CVE-2024-11667 添加到其已知利用漏洞(KEV) 目录中，敦促联邦机构在 12 月 24 日之前应用可用的补丁，以符合具有约束力的操作指令 (BOD) 22-01。 该机构还警告称，Proself 电子邮件安全和数据清理设备漏洞 CVE-2023-45727 和开源应用程序 ProjectSend 中的漏洞CVE-2024-11680 正受到野蛮利用。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/XBzixhmkXunI4B1c2QgJOA 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，最近，独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。 该漏洞被追踪为 CVE-2024-12053，当程序为一种数据类型分配内存，却错误地将其视为另一种数据类型时，就会出现类型混淆漏洞。 攻击者可能利用此漏洞在受影响的系统上执行远程代码，从而导致系统受损和数据盗窃。 谷歌已在其最新的 Chrome 更新中迅速解决了该问题，包括适用于 Windows 和 Mac 的 131.0.6778.108/.109版本 ，以及适用于 Linux 的 131.0.6778.108版本。这些更新将在未来几天至几周内推出。 虽然谷歌没有提供利用这一漏洞进行攻击的具体细节，但该公司通常会限制此类信息，直到大多数用户更新了浏览器以降低潜在风险。 Chrome 浏览器的安全团队强调了他们正在进行的内部安全工作的重要性，通过审计、模糊处理和其他措施，他们已经修复了各种问题。 而该漏洞的发现者“gal1ium”和“chluo”因此获得了8000美元奖金，他们于2024 年 11 月 14 日对这一问题进行了报告。根据今年谷歌新发布的Chrome 漏洞赏金计划，新的奖励机制将发现重大漏洞的最高奖金提高到了25万美元，相比之前最高4万美元有了大幅提升。 谷歌Chrome 今年已修复了10个零日漏洞 截至今年8月26日，谷歌Chrome 已经修复了今年的第10个零日漏洞。这些漏洞包括： CVE-2024-0519：Chrome 浏览器 V8 JavaScript 引擎存在一个严重的越界内存访问漏洞，允许远程攻击者通过特制的 HTML 页面利用堆破坏，导致未经授权访问敏感信息。 CVE-2024-2887：WebAssembly (Wasm) 标准中的高严重性类型混乱漏洞。该漏洞可导致利用伪造的 HTML 页面进行远程代码执行 (RCE) 的漏洞。 CVE-2024-2886：网络应用程序用于编码和解码音频和视频的 WebCodecs API 存在使用后即释放漏洞。 CVE-2024-4671：在处理浏览器中内容的呈现和显示的 Visuals 组件中存在一个高严重性的 use-after-free 缺陷。 CVE-2024-3159：Chrome V8 JavaScript 引擎中的越界读取导致的高严重性漏洞。 CVE-2024-4761：Chrome 浏览器的 V8 JavaScript 引擎中存在越界写入问题，该引擎负责在应用程序中执行 JS 代码。 CVE-2024-4947：Chrome V8 JavaScript 引擎中的类型混乱，可安装任意代码。 CVE-2024-5274：Chrome 浏览器 V8 JavaScript 引擎的一种混乱，可能导致崩溃、数据损坏或任意代码执行。 CVE-2024-7965：Chrome  V8 JavaScript 引擎中的一个不恰当实现，可让远程攻击者通过制作 HTML 页面造成堆内存损坏。 CVE-2024-7971：Chrome  V8 JavaScript 引擎中存在类型混乱，可让远程攻击者通过制作 HTML 页面造成堆内存损坏。     转自Freebuf，原文链接：https://www.freebuf.com/news/416908.html 封面来源于网络，如有侵权请联系删除

英伟达™（NVIDIA®）近日发布固件更新，以解决影响其 UFM Enterprise、UFM Appliance 和 UFM CyberAI 产品的高严重性漏洞。该漏洞被识别为 CVE-2024-0130，可允许攻击者获得升级权限、篡改数据、拒绝服务并披露敏感信息。 该漏洞源于一个不恰当的身份验证问题，可通过以太网管理接口发送畸形请求加以利用。成功利用漏洞后，攻击者可在未经授权的情况下访问和控制受影响的系统。 通用漏洞计分系统（CVSS）对该漏洞的基本分值为 8.8，将其归类为 “高 ”严重性。受影响的产品包括不同版本的 UFM Enterprise、UFM Enterprise Appliance、UFM SDN Appliance 和 UFM CyberAI。 英伟达敦促用户立即更新系统。固件更新可从英伟达企业支持门户网站下载。 虽然该漏洞被认为很严重，但值得注意的是，UFM 系统的以太网管理接口通常与公共网络隔离，从而限制了攻击的可能性。不过，采取积极措施并通过安装安全更新来降低风险至关重要。 最新更新解决了该漏洞，并增强了 UFM 产品的安全性。我们建议用户访问英伟达企业支持门户网站，了解详细信息并下载必要的更新。     转自安全客，原文链接：https://www.anquanke.com/post/id/302229 封面来源于网络，如有侵权请联系删除