Remote Code Execution в Widget Options (WordPress Plugin) - CVE-2024-8672
8 ноября 2024 года в плагине Widget Options для WordPress, который установлен более чем на 100,000 сайтах, была выявлена критическая уязвимость с оценкой 9.9 по CVSS.
Критическая уязвимость в Wordpress-плагине WP Umbrella (CVE-2024-12209)
В популярном плагине WordPress — WP Umbrella, установленном более чем на 30 000 сайтов, была обнаружена критическая уязвимость. Этот недостаток, получивший идентификатор CVE-2024-12209, может позволить неавторизованным злоумышленникам полностью захватить контроль над уязвимыми сайтами.
CyberPanel Command Injection Vulnerability (CVE-2024-51378)
В программном обеспечении CyberPanel обнаружена уязвимость, связанная с обходом аутентификации и выполнением произвольных команд через эндпоинты /dns/getresetstatus и /ftp/getresetstatus. Уязвимость присутствует в файлах dns/views.py и ftp/views.py версий до 2.3.7 включительно.
Remote Code Execution через SQL инъекцию в Zabbix (CVE-2024-42327)
Zabbix — это система мониторинга, предназначенная для отслеживания состояния ИТ-инфраструктуры, серверов, сетевых устройств, приложений и сервисов в реальном времени. 27 ноября 2024 года была выявлена критическая уязвимость в Zabbix с CVSS-оценкой 9.9, представляющая собой SQL-инъекцию в одном из эндпоинтов API Zabbix. Уязвимость позволяет атакующему, имеющему доступ к API, выполнить произвольные SQL-запросы.
CVE-2024-37084: удаленное выполнение кода в Spring Cloud
Spring Cloud Skipper — это инструмент, который позволяет находить приложения Spring Boot и управлять их жизненным циклом на нескольких облачных платформах. CVE-2024-37084 — это уязвимость в Spring Cloud Skipper, которая позволяет получить доступ к исходным данным YAML.
Уязвимость CVE-2024-9264: Удаленное выполнение кода в Grafana через SQL-выражения
Grafana – это популярная платформа для мониторинга и визуализации данных. Уязвимость CVE-2024-9264 представляет собой критический баг в системе мониторинга и визуализации данных Grafana, связанный с недостаточной фильтрацией входных данных в экспериментальной функции SQL-выражений. Данная уязвимость позволяет любым аутентифицированным пользователям выполнять произвольные SQL-запросы в базе данных DuckDB, что открывает возможности для проведения SQL-инъекций.
Linux LPE через Needrestart (CVE-2024-48990)
19 ноября 2024 года компания Qualys публично раскрыла информацию о пяти уязвимостях в утилите Needrestart. Эти уязвимости касаются локальной эскалации привилегий(LPE) и были найдены в бинарном файле. CVE-2024-48990 затрагивает версии Needrestart до 3.8. В Ubuntu она применяется по умолчанию с версии 21.04. Также проблема актуальна для Debian, Fedora и других дистрибутивов Linux.
WordPress Time-based blind SQL injection в Business Directory Plugin для (CVE-2024-4443)
Business Directory Plugin — это инструмент для создания онлайн-каталогов бизнеса на сайтах, работающих на WordPress. Он позволяет пользователям добавлять, редактировать и управлять списками компаний, а также предоставляет функции для поиска, фильтрации и сортировки. 22 мая 2024 года была опубликована критическая уязвимость CVE-2024-4443, которая затрагивает все версии Business Directory Plugin ниже 6.4.3. Уязвимость имеет CVSS рейтинг в 9.8 баллов и не требует аутентификации пользователя.
Apache OFBiz CVE-2024-32113
Ранее в наших статьях мы уже упоминали Вам об уязвимостях CVE-2023-49070 и CVE-2023-51467 в Apache OFBiz, не прошло и пол года, как 05 августа 2024 была опубликована новая уязвимость CVE-2024-32113 (CVSS 3.x 9.8 баллов), затрагивающая версии ниже 18.12.14. В данной статье мы рассмотрим ее более детально.
XXE в Adobe Commerce (CVE-2024-34102)
Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости типа «Неправильное ограничение ссылки на внешнюю сущность XML» (XXE), которая может привести к выполнению произвольного кода. В этой статье мы более детально разберем с Вами данную уязвимость.