更新后的 CISA 漏洞目录包含三项新漏洞 媒体

网络安全漏洞更新:新的威胁通告

关键要点

  • 美国网络安全和基础设施安全局(CISA)已将三项安全漏洞纳入其已知被利用的漏洞目录。
  • 联邦机构被督促在圣诞前夕修复这些漏洞。
  • 主要漏洞包括:
  • ProjectSend的关键身份验证缺陷(CVE-2024-11680)
  • Zyxel固件路径遍历漏洞(CVE-2024-11667)
  • North Grid Proself的XML外部实体引用限制缺陷(CVE-2023-45727)

最近,在的报道中,美国网络安全和基础设施安全局(CISA)将影响ProjectSend、North GridProself和Zyxel防火墙的三项安全问题加入了其。CISA敦促相关联邦机构在圣诞前夕完成漏洞修复。

新加入的漏洞中,最严重的是ProjectSend中的关键身份验证缺陷(CVE-2024-11680),此漏洞可能被利用来实现恶意账户创建、网络壳上传和JavaScript嵌入。据VulnCheck的记录,利用该问题进行的攻击可能涉及在9月发布的利用代码。另外,Zyxel固件的路径遍历漏洞(CVE-2024-11667)可被滥用以通过自定义URL进行文件上传和下载,而NorthGrid Proself中不当的XML外部实体引用限制缺陷(CVE-2023-45727)可能会允许服务器文件的泄露,包括账户信息。

漏洞名称追踪编号影响风险
ProjectSendCVE-2024-11680身份验证缺陷恶意账户创建、网络壳上传
ZyxelCVE-2024-11667路径遍历漏洞文件上传和下载
North Grid ProselfCVE-2023-45727XML外部实体账户信息泄露

备注
建议相关机构尽快审查并修复这些漏洞,以防止潜在的安全风险和数据泄露。

Leave a Reply

Required fields are marked *