Remote Code Execution через SQL инъекцию в Zabbix (CVE-2024-42327)
Zabbix — это система мониторинга, предназначенная для отслеживания состояния ИТ-инфраструктуры, серверов, сетевых устройств, приложений и сервисов в реальном времени. 27 ноября 2024 года была выявлена критическая уязвимость в Zabbix с CVSS-оценкой 9.9, представляющая собой SQL-инъекцию в одном из эндпоинтов API Zabbix. Уязвимость позволяет атакующему, имеющему доступ к API, выполнить произвольные SQL-запросы.
CVE-2024-37084: удаленное выполнение кода в Spring Cloud
Spring Cloud Skipper — это инструмент, который позволяет находить приложения Spring Boot и управлять их жизненным циклом на нескольких облачных платформах. CVE-2024-37084 — это уязвимость в Spring Cloud Skipper, которая позволяет получить доступ к исходным данным YAML.
Уязвимость CVE-2024-9264: Удаленное выполнение кода в Grafana через SQL-выражения
Grafana – это популярная платформа для мониторинга и визуализации данных. Уязвимость CVE-2024-9264 представляет собой критический баг в системе мониторинга и визуализации данных Grafana, связанный с недостаточной фильтрацией входных данных в экспериментальной функции SQL-выражений. Данная уязвимость позволяет любым аутентифицированным пользователям выполнять произвольные SQL-запросы в базе данных DuckDB, что открывает возможности для проведения SQL-инъекций.
Linux LPE через Needrestart (CVE-2024-48990)
19 ноября 2024 года компания Qualys публично раскрыла информацию о пяти уязвимостях в утилите Needrestart. Эти уязвимости касаются локальной эскалации привилегий(LPE) и были найдены в бинарном файле. CVE-2024-48990 затрагивает версии Needrestart до 3.8. В Ubuntu она применяется по умолчанию с версии 21.04. Также проблема актуальна для Debian, Fedora и других дистрибутивов Linux.
WordPress Time-based blind SQL injection в Business Directory Plugin для (CVE-2024-4443)
Business Directory Plugin — это инструмент для создания онлайн-каталогов бизнеса на сайтах, работающих на WordPress. Он позволяет пользователям добавлять, редактировать и управлять списками компаний, а также предоставляет функции для поиска, фильтрации и сортировки. 22 мая 2024 года была опубликована критическая уязвимость CVE-2024-4443, которая затрагивает все версии Business Directory Plugin ниже 6.4.3. Уязвимость имеет CVSS рейтинг в 9.8 баллов и не требует аутентификации пользователя.
Apache OFBiz CVE-2024-32113
Ранее в наших статьях мы уже упоминали Вам об уязвимостях CVE-2023-49070 и CVE-2023-51467 в Apache OFBiz, не прошло и пол года, как 05 августа 2024 была опубликована новая уязвимость CVE-2024-32113 (CVSS 3.x 9.8 баллов), затрагивающая версии ниже 18.12.14. В данной статье мы рассмотрим ее более детально.
XXE в Adobe Commerce (CVE-2024-34102)
Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости типа «Неправильное ограничение ссылки на внешнюю сущность XML» (XXE), которая может привести к выполнению произвольного кода. В этой статье мы более детально разберем с Вами данную уязвимость.
pgAdmin4 CVE-2024-3116
22 апреля была зарегистрирована уязвимость CVE-2024-3116, получившая 7.4 баллов по CVSS. Эта уязвимость приводит к удаленному выполнению кода в серверной версии pgAdmin4 ≤ 8.4 на системах Windows. Сегодня в данной статье мы подготовим стенд и разберем детали этой уязвимости.
Flatpak CVE-2024-32462
18 апреля 2024 года в системе Flatpak была обнаружена уязвимость открывающая возможность вредоносному или скомпрометированному приложению, упакованному в формате Flatpak, обойти установленный режим изоляции sandbox и получить доступ к файлам в основной системе. В данной статье мы не только посмотрим на эту уязвимость, но и подробно разберем основные механизмы безопасности Flatpak, выявив основные векторы атаки на хостовую систему из скомпрометированного контейнера с приложением.
LayerSlider WordPress CVE-2024-2879
25 марта 2024 года в рамках программы Bug Bounty Extravaganza исследователь под ником 1337_wannabe обнаружил уязвимость типа SQL-injection в одном из популярных плагинов для WordPress - LayerSlider. Давайте разберем данную уязвимость более детально и покажем ее эксплуатацию в нашей статье.