Spuštění kódu v Mozilla produktech pomocí obrázku
Produkty Mozilla obsahují aktivně zneužívanou zranitelnost. Zranitelnost umožnuje vzdálenému útočníkovispuštění libovolného kódu díky přetížení bufferu a zápis mimo stanovené meze při zpracování obrázků ve WebPformátu. Pro úspěšné zneužití musí uživatele na napadnutelném zařízení otevřít útočníkem připravený soubornebo navštívit webovou stránku. Zranitelnost se týká: Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR102.15.1, Thunderbird 102.15.1, Thunderbird 115.2.2.
Návrh řešení týmu viz ThreatGuard-ID: 2806
Spuštění libovolného kódu v ManageEngine ADManager Plus
Byla detekována zranitelnost v produktu ManageEngine ADManager Plus umožňující útočníkovi spustitlibovolný kód na napadených instalacích. Pro úspěšné zneužití této zranitelnosti je nezbytná autentizace.Uvedená zranitelnost se vyskytuje ve funkci installServiceWithCredentials z důvodu nedostatečné validaceuživatelem zadaného řetězce před jeho použitím k vytvoření systémového volání, čehož může útočník zneužítke spuštění kódu v kontextu účtu služby.
Návrh řešení týmu viz ThreatGuard-ID: 2827
Cisco produkty jsou náchylné na DoS
Zranitelnost z označením CVE-2023-20168 ve vzdáleném ověřování TACACS+ a RADIUS pro software CiscoNX-OS by mohla umožnit neověřenému místnímu útočníkovi způsobit neočekávané opětovné načtenípostiženého zařízení. Tato chyba zabezpečení je způsobena nesprávným ověřením vstupu při zpracovánípokusu o ověření, pokud je povolena možnost řízeného požadavku pro TACACS+ nebo RADIUS. Útočník bymohl tuto chybu zabezpečení zneužít zadáním vytvořeného řetězce do výzvy k přihlášení postiženého zařízení.Úspěšné zneužití by mohlo útočníkovi umožnit způsobit neočekávané opětovné načtení postiženého zařízení,což by mělo za následek odmítnutí služby (DoS).
Návrh řešení týmu viz ThreatGuard-ID: 2767
