SK-CERT Bezpečnostné varovanie V20201012-07

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 9.4 Identifikátor Travelaps EasyPMS – kritická zraniteľnosť Popis Bezpečnostní výskumníci zverejnili informácie o kritickej bezpečnostnej zraniteľnosti v produkte Travelaps EasyPMS. Zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený autentifikovaný útočník by ju prostredníctvom modifikácie JSON požiadaviek mohol zneužiť na získanie privilégií úrovne HotelOwner a následne získať prístup…

SK-CERT Bezpečnostné varovanie V20201012-06

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 9.8 Identifikátor QNAP Helpdesk – viacero zraniteľností Popis Spoločnosť QNAP vydala bezpečnostné aktualizácie na svoj produkt QNAP Helpdesk, ktorý opravuje dvojicu bezpečnostných zraniteľností. Zraniteľnosti spočívajú v nesprávnej implementácii mechanizmov riadenia prístupu a vzdialený neautentifikovaný útočník by ich mohol zneužiť na získanie úplnej kontroly nad zraniteľnými QNAP zariadeniami. Dátum…

SK-CERT Bezpečnostné varovanie V20201012-05

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 9.8 Identifikátor Pepperl+Fuchs RocketLinx Series – viacero kritických zraniteľností Popis Spoločnosť Pepperl+Fuchs vydala bezpečnostné odporúčania zamedzujúce zneužitiu viacerých bezpečnostných zraniteľností, z ktorých 3 sú hodnotené ako kritické. Kritické zraniteľnosti spočívajú v nedostatočnej implementácii mechanizmov autentifikácie, nedostatočnom overovaní používateľských vstupov a existencii zabudovaného používateľského účtu s predvoleným heslom. Vzdialený neautentifikovaný…

SK-CERT Bezpečnostné varovanie V20201012-04

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 9.3 Identifikátor Microsoft Azure Sphere – viacero zraniteľností Popis Bezpečnostní vyskumníci zverejnili informácie o viacerých zraniteľnostiach v produkte Microsoft Azure Sphere, z ktorých 2 sú považované za kritické. Najzávažnejšie zraniteľnosti by lokálny neautentifikovaný útočník mohol zneužiť na vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému….

SK-CERT Bezpečnostné varovanie V20201012-03

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 9.1 Identifikátor Gitlab Runner – kritická zraniteľnosť Popis Vývojári produktu Gitlab vydali bezpečnostnú aktualizáciu na produkt Gitlab Runner, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Zraniteľnosť je možné zneužiť v prípade nasadenia Gitlab Runner na systémoch Windows s technológiou Docker. Vzdialený autentifikovaný útočník by ju prostredníctvom build premennej DOCKER_AUTH_CONFIG mohol zneužiť…

SK-CERT Bezpečnostné varovanie V20201012-02

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 9.9 Identifikátor Node.js – zraniteľnosti viacerých modulov Popis Bezpečnostní výskumníci zverejnili informácie o zraniteľnostiach Node.js modulov phantomjs-seo, node-pdf-generator, hello.js, simpl-schema a next. Zraniteľnosti v moduloch phantomjs-seo a node-pdf-generator sú spôsobené nedostatočným overovaním používateľských vstupov a vzdialený neautentifikovaný útočník by ich mohol zneužiť na realizáciu SSRF útokov (Server Side…

SK-CERT Bezpečnostné varovanie V20201012-01

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 10.0 Identifikátor WAVLINK WN530H4 router – kritické bezpečnostné zraniteľnosti Popis Bezpečnostný výskumník zverejnil informácie o kritických bezpečnostných zraniteľnostiach routrov WAVLINK WN530H4. Bližšie nešpecifikované zraniteľnosti v /cgi-bin/makeRequest.cgi a /cgi-bin/live_api.cgi by vzdialený neautentifikovaný útočník mohol zneužiť na vykonanie škodlivého kódu a získanie úplnej kontroly nad zariadením. Dátum prvého zverejnenia varovania…

SK-CERT Bezpečnostné varovanie V20201006-05

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 9.1 Identifikátor WAGO 750-8XX – viacero zraniteľností Popis Bezpečnostní výskumníci informovali o zraniteľnostiach vo webovom managementovom rozhraní PLC WAGO 750-8XX. Zraniteľnosti spočívajú v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju prostredníctvom podvrhnutia špeciálne vytvorených paketov mohol zneužiť na zmenu riadiacich parametrov zariadenia a následne spôsobiť…

SK-CERT Bezpečnostné varovanie V20201006-04

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 9.4 Identifikátor FusionAuth – kritická zraniteľnosť Popis Vývojári FusionAuth vydali bezpečnostnú aktualizáciu, ktorá opravuje kritixkú bezpečnostnú zraniteľnosť. Zraniteľnosť v fusionauth-saml spočíva v nesprávnom overovaní podpisov vo funkcii parseResponse a vzdielaný neautentifikovaný útočník by ju prostredníctvom podvrhnutia špeciálne vytvorených SAML správ mohol zneužiť na získanie neoprávneného prístupu do systému. Dátum…

SK-CERT Bezpečnostné varovanie V20201006-03

Dôležitosť Kritická Klasifikácia Neutajované/TLP WHITE CVSS Skóre 9.8 Identifikátor Sony IPELA SNC-DH120T – kritická zraniteľnosť Popis Spoločnosť SONY vydala bezpečnostnú aktualizáciu firmwaru sieťových kamier IPELA, ktorá opravuje kritickú bezpečnostnú zraniteľnosť v ftpclient.cgi. Uvedenú zraniteľnosť by vzdialený neautentifikovaný útočník prostredníctvom zasielania špeciálne vytvorených POST požiadaviek mohol zneužiť na vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity…