Adobe и Cisco выпускают исправления для критических уязвимостей
Как Cisco, так и Adobe на прошлой неделе выпустили исправления для уязвимостей своих продуктов.
Обновления для продуктов Cisco Wireless VPN и маршрутизатора
Cisco имели дело с CVE-2019-1663, 9,8-балльной оценкой CVSS, обнаруженной в их беспроводных маршрутизаторах на некоторых моделях. Уязвимость позволяла хакерам удаленно выполнять вредоносные коды на моделях уязвимых устройств. Последствии эксплуатации наносили вред пользователям устройств. Например, хакер может получить доступ к пользовательской сети, после чего легко скомпрометировать трафик. Были затронуты следующие модели маршрутизатора на основе интерфейса управления:
- Межсетевой экран Cisco RV110W Wireless-N VPN. Версия 1.2.2.1 получила обновления.
- Многофункциональный VPN-маршрутизатор Cisco RV130W Wireless-N. С версией 1.0.3.45 были выпущены исправления.
- RV215W Wireless-N VPN-маршрутизатор. В версии 1.3.1.1 выпущены патчи.
Ю Чжан и Хаолианг Лу из GeekPwn и T. из Pen Test Partners LLP, которые обнаружили этот недостаток, обнаружили, что хакер может выполнить произвольный код в операционной системе устройств, отправляя вредоносные HTTP-запросы от имени привилегированного пользователя. Есть возможность воспользоваться уязвимостью локально, либо с помощью удаленного доступа.
Исправления Adobe ColdFusion
Adobe выпустили обновления для исправления недавно обнаруженной уязвимости нулевого дня в ColdFusion, известной как CVE-2019-7816. Исследователи Чарли Арехарт, Моше Рузин, Джош Форд, Джейсон Соларек и команда Bridge Catalog обнаружили уязвимость. Adobe оценили уязвимость как критическую, так как уязвимость активно эксплуатировалась хакерами. Уязвимость в Adobe ColdFusion позволяет выполнять вредоносный код через HTTP-запрос к доступному через Интернет каталогу, в обход первоначальному ограничению на загрузку файлов. Недостаток существовал из-за отсутствия проверки сообщений пользователей.
Следующие продукты были затронуты и, следовательно, получили исправления:
- ColdFusion 2018, версия 2 и более ранние.
- ColdFusion 2016, версия 9 и более ранние.
- ColdFusion 11, версия 17 и более ранние.
ColdFusion, программа разработки, используемая для подключения HTML-страниц к базе данных, также требует применения настроек конфигурации безопасности. Кроме того, Adobe посоветовали клиентам ознакомиться с руководством по блокировке зараженных версий ColdFusion.