Sicherheitsforscher berichteten, dass Softwareunternehmen Cisco und VMWare haben Sicherheitshinweise zu mehreren kritischen Schwachstellen in ihren Produkten veröffentlicht.
CVE-2023-20887: die VMWare-Schwachstellen
VMWare hat ausgegeben Aktualisierungen zur Behebung von drei erheblichen Fehlern in Aria Operations for Networks, die zur Offenlegung von Informationen und zur Remote-Codeausführung führen können.
Der gravierendste der Mängel, Verfolgt als CVE-2023-20887 und mit einer Punktzahl von 9.8 von 10 auf dem CVSS-Score-System, würde einem Angreifer mit Netzwerkzugriff auf das System die Möglichkeit geben, Code aus der Ferne auszuführen.
Das Unternehmen hat außerdem eine Schwachstelle bei der Deserialisierung behoben, CVE-2023-20888, Rang 9.1 von 10 auf der Skala CVSS-.
Während eine Einzelperson mit einem 'Mitglied’ Rollen- und Netzwerkzugriff auf Aria Operations for Networks hat das Potenzial, diese Schwachstelle auszunutzen, Durchführen eines Deserialisierungsangriffs und anschließender Remotecodeausführung, eine dritte Sicherheitslücke, ein Fehler bei der Offenlegung von Informationen mit einem CVSS-Score von 8.8 (CVE-2023-20889) auch wurde behoben.
Dieser Fehler, wenn ausgenutzt wird, könnte einen Command-Injection-Angriff ermöglichen, der einem Angreifer Zugriff auf vertrauliche Daten verschaffen würde.
Die drei Schwachstellen in VMware Aria Operations Networks Version 6.x wurden durch Patches in nachfolgenden Versionen behoben 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9, und 6.10, Es gibt keine Möglichkeit, die gegebenen Probleme zu beheben.
CVE-2023-20105: die Cisco-Schwachstellen
Weiter, mit CVE-2023-20105, die einen CVSS-Score von hat 9.6, Cisco hat einen Fix für eine kritische Schwachstelle in der Expressway-Serie und dem TelePresence Video Communication Server bereitgestellt (VCS); da es sich um einen Privilegieneskalationsfehler handelt, Ein authentifizierter Angreifer mit schreibgeschützten Anmeldeinformationen auf Administratorebene kann möglicherweise seinen Zugriff auf einen Benutzer mit Lese-/Schreibzugriff auf einem betroffenen System erhöhen, indem er Passwörter ändert.
Cisco hat kürzlich adressiert das Vorhandensein von zwei schwerwiegenden Sicherheitslücken in seinem VCS-Produkt (CVE-2023-20192, CVSS-Score von 8.4, und CVE-2023-20193). Als vorläufige Maßnahme zum Schutz vor den Schwachstellen, Das Unternehmen hat vorgeschlagen, den CLI-Zugriff für schreibgeschützte Benutzer zu deaktivieren. Auch, VCS-Versionen 14.2.1 und 14.3.0 wurden veröffentlicht, um die oben genannten Sicherheitsprobleme zu beheben.
Außerdem, drei weitere Schwachstellen im Open-Source Graphics Debugger, RenderDoc (CVE-2023-33863, CVE-2023-33864, und CVE-2023-33865) Es wurden Sicherheitslücken entdeckt, die Angreifern erweiterte Berechtigungen gewähren und es ihnen ermöglichen könnten, beliebigen Code auszuführen. Es gibt noch keinen Bericht darüber, dass diese Lücken in freier Wildbahn ausgenutzt werden, Den betroffenen Parteien wird jedoch dringend empfohlen, ihre Systeme schnell zu patchen, um sich vor potenziellen Risiken zu schützen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: