InforSec News: TIN TỨC VỀ CÁC LỖ HỔNG MỚI TRONG TUẦN

Top Block Position

TIN TỨC VỀ CÁC LỖ HỔNG MỚI TRONG TUẦN

Một số lỗ hổng mới được phát hiện trong tuần qua, khuyến nghị người dùng cập nhật phần mềm lên phiên bản mới nhất.

1. QNAP Notes Station 3

CVE-2024-38643 (CVSS 9.3): Thiếu xác thực cho chức năng quan trọng, có thể cho phép kẻ tấn công từ xa truy cập hệ thống trái phép.

CVE-2024-38644 (CVSS 8.7): Lỗ hổng command injection. Những kẻ tấn công có quyền truy cập của người dùng có thể thực hiện các lệnh tùy ý trên hệ thống.

CVE-2024-38645 (CVSS 9.4): Lỗ hổng SSRF có thể cho phép kẻ tấn công có quyền truy cập của người dùng để đọc dữ liệu ứng dụng.

CVE-2024-38646 (CVSS 8.4): Gán quyền không chính xác cho các tài nguyên quan trọng. Những kẻ tấn công cục bộ có quyền truy cập quản trị viên có thể truy cập trái phép vào dữ liệu nhạy cảm.

Khuyến nghị người dùng cập nhật phiên bản mới nhất - version 3.9.7 hoặc cao hơn

2. GitLab

CVE-2024-8114 (CVSS:8.2): Lỗ hổng có thể cho phép kẻ tấn công có quyền truy cập vào token truy cập cá nhân (PAT) của nạn nhân để leo thang các đặc quyền, ảnh hưởng đến tất cả các phiên bản Gitlab từ 8.12 trước 17.4.5, 17.5 trước 17.5.3 và 17.6 trước 17.6.1.

Khuyến nghị người dùng cập nhật phiên bản mới nhất.

3. Keycloak

CVE-2024-10270 (CVSS: 6.5): Lỗ hổng trong phương thức searchqueryutils có thể cho phép kẻ tấn công kích hoạt cuộc tấn công từ chối dịch vụ (dos) bằng cách làm cạn kiệt tài nguyên hệ thống.

CVE-2024-10451 (CVSS: 5.9): Dữ liệu nhạy cảm, chẳng hạn như mật khẩu, có thể vô tình được nhúng vào mã byte trong quá trình xây dựng, có khả năng dẫn đến tiết lộ thông tin.

CVE-2024-10039 (CVSS: 7.1): Trong quá trình triển khai sử dụng xác thực tls (mtls), kẻ tấn công trên mạng cục bộ có thể bỏ qua xác thực và mạo danh người dùng hoặc khách hàng.

Khuyến nghị người dùng cập nhật phiên bản mới nhất - version 24.0.9 hoặc 26.0.6

Nguồn: securityonline. info

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học