Wakala wa Usalama wa Mtandao na Miundombinu wa Marekani (CISA) huongeza dosari za Oracle WebLogic Server na Mitel MiCollab kwenye katalogi yake ya Athari Zinazotumika. Wakala wa Usalama wa Mtandao na Miundombinu wa Marekani (CISA) uliongeza athari za Oracle WebLogic Server na Mitel MiCollab, kwenye katalogi yake ya Athari Zinazotumika Zinazojulikana (KEV). Yafuatayo ni maelezo ya udhaifu ulioongezwa kwenye katalogi: CVE-2020-2883 (alama CVSS 9.8) ni hatari katika Oracle WebLogic Server (matoleo 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.2.2, 1. .1.4.0). Mshambulizi ambaye hajaidhinishwa na ufikiaji wa mtandao kupitia IIOP, T3 anaweza kutumia suala hilo kuhatarisha Seva ya Oracle WebLogic. “Udhaifu huu huruhusu washambuliaji wa mbali kutekeleza msimbo kiholela kwenye usakinishaji ulioathiriwa wa Oracle WebLogic. Uthibitishaji hauhitajiki ili kutumia udhaifu huu.” iliripoti ushauri uliochapishwa na ZDI. “Kasoro maalum ipo ndani ya utunzaji wa itifaki ya T3. Data iliyoundwa katika ujumbe wa itifaki ya T3 inaweza kusababisha kuondolewa kwa data isiyoaminika. Mshambulizi anaweza kuimarisha athari hii ya kutekeleza msimbo katika muktadha wa mchakato wa sasa.” CVE-2024-41713 (alama CVSS 9.8) ni Athari ya Kupitia Njia katika Mitel MiCollab (hadi 9.8 SP1 FP2). Mitel MiCollab ina athari ya NuPoint Unified Messaging inayowezesha mashambulizi ya njia ambayo hayajaidhinishwa, kuhatarisha data na uadilifu wa usanidi. “Udhaifu wa upitishaji njia, CVE-2024-41713, katika sehemu ya NuPoint Unified Messaging (NPM) ya Mitel MiCollab inaweza kuruhusu mvamizi ambaye hajaidhinishwa kufanya shambulio la kiingilizi kwa sababu ya uthibitishaji wa kutosha wa ingizo. Utumiaji uliofanikiwa wa athari hii unaweza kumruhusu mshambulizi kupata ufikiaji ambao haujaidhinishwa, pamoja na athari zinazowezekana kwa usiri, uadilifu na upatikanaji wa mfumo. Udhaifu huu unaweza kutumiwa bila uthibitishaji.” anasoma ushauri. “Ikiwa athari itatumiwa kwa mafanikio, mshambulizi anaweza kupata ufikiaji ambao haujaidhinishwa wa kutoa maelezo ikiwa ni pamoja na maelezo yasiyo nyeti ya mtumiaji na mtandao na kutekeleza hatua za usimamizi ambazo hazijaidhinishwa kwenye Seva ya MiCollab. Ukali wa athari umekadiriwa kuwa muhimu. “ CVE-2024-55550 (alama ya CVSS 9.8) ni Athari ya Kupitia Njia katika Mitel MiCollab (hadi 9.8 SP2). Athari hii huruhusu washambuliaji wasimamizi walioidhinishwa kusoma faili za karibu nawe. Unyonyaji ni mdogo kwa data isiyo nyeti. “Udhaifu wa upitishaji njia, CVE-2024-55550, huko Mitel MiCollab inaweza kuruhusu mshambuliaji aliyeidhinishwa na upendeleo wa kiutawala kuendesha faili ya ndani iliyosomwa ndani ya mfumo kwa sababu ya ukosefu wa usafishaji wa pembejeo.” anasoma ushauri. Kulingana na Maelekezo ya Uendeshaji Binding (BOD) 22-01: Kupunguza Hatari Muhimu ya Athari Zinazojulikana Zinazotumiwa, mashirika ya FCEB yanapaswa kushughulikia udhaifu uliotambuliwa kufikia tarehe iliyowekwa ili kulinda mitandao yao dhidi ya mashambulizi yanayotumia dosari katika katalogi. Wataalamu pia wanapendekeza mashirika ya kibinafsi kukagua Katalogi na kushughulikia udhaifu katika miundombinu yao. CISA inaamuru mashirika ya shirikisho kurekebisha athari hii ifikapo tarehe 28 Januari 2025. Nifuate kwenye Twitter: @securityaffairs na Facebook na Mastodon Pierluigi Paganini (SecurityAffairs – udukuzi, katalogi ya CISA Inayojulikana kwa Athari Zinazotumika) URL ya Chapisho Halisi: https://securityafairs.com/172783/security/us-cisa-add-oracle-weblogic-server-mitel-micollab-flaws-known-exploited-vulnerabilities-catalog.htmlKategoria & Lebo: Habari Zinazochipuka, Kudukuliwa,Usalama,CISA ,habari za udukuzi,habari za usalama,Usalama wa Taarifa za IT,Udhaifu Unaojulikana Uliotumiwa Katalogi,Pierluigi Paganini,Masuala ya Usalama,Habari za Usalama – Habari Zinazochipuka,Hacking,Usalama,CISA,habari za udukuzi,habari za usalama wa habari,Usalama wa Habari wa IT,Katalogi ya Udhaifu Unaojulikana,Pierluigi Paganini,Masuala ya Usalama,Habari za Usalama
Leave a Reply