CISA必修清单新增三个漏洞

发布于 作者:

CISA必修清单新增三个漏洞

THN 代码卫士 2023-11-17 17:23

聚焦源代码安全,网罗国内外最新资讯!****

编译:代码卫士

美国网络安全和基础设施安全局 (CISA)在“已知已利用漏洞”分类表中新增了三个已遭活跃利用的漏洞。

这三个漏洞是:

  • CVE-2023-36584(CVSS评分5.4):微软 MotW 安全特性绕过漏洞

  • CVE-2023-1671(CVSS评分9.8):Sophos Web 设备命令注入漏洞

  • CVE-2023-2551(CVSS评分8.8):Oracle Fusion 中间件未指明漏洞

CVE-2023-1671与一个验证的预认证命令注入漏洞有关,可导致攻击者执行任意代码。CVE-2023-2551位于 WLS Core Components 中,可导致具有网络访问权限的未认证攻击者访问受陷的 WebLogic Server。

目前尚未有公开报道称后两个漏洞已遭利用。

CVE-2023-36584的新增基于 Palo Alto Networks 公司 Unit 42 团队在本周发布的一份报告。该报告想输了亲俄罗斯 APT 组织 Storm-0978 如何在2023年7月攻击支持乌克兰政府的组织。该漏洞已由微软在2023年10月的安全更新中修复,据称与7月份修复的Windows RCE 漏洞CVE-2023-36884组合利用。

鉴于活跃利用情况,CISA 要求联邦机构在12月7日前应用这些修复方案,保护网络免受潜在威胁。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

CISA 提醒注意已遭活跃利用的 Juniper 预认证 RCE 利用链

CISA、NSA等联合发布关于SBOM的软件供应链安全保护新指南

CISA称SLP高危漏洞正遭活跃利用

NSA和CISA联合发布十大最常见的网络安全配置不当问题清单

原文链接

https://thehackernews.com/2023/11/cisa-adds-three-security-flaws-with.html

题图:
Pexels
 License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~