HackerNews 编译,转载请注明出处:
上周,美国网络安全和基础设施安全局(CISA)将两个Qlik Sense漏洞添加到其已知被利用漏洞(KEV)目录中。以下是添加到目录中的问题列表:
- CVE-2023-41265(CVSS评分9.6)- Qlik Sense HTTP隧道漏洞:Qlik Sense包含一个HTTP隧道漏洞,允许攻击者提升权限并在托管软件的后端服务器上执行HTTP请求。
- CVE-2023-41266(CVSS评分8.2)- Qlik Sense路径遍历漏洞:Qlik Sense包含一个路径遍历漏洞,允许远程未经验证的攻击者通过发送恶意构造的HTTP请求创建匿名会话。这个匿名会话可能允许攻击者向未经授权的端点发送进一步请求。
网络安全公司Praetorian的研究人员在2023年8月发现了这两个漏洞。著名研究员Kevin Beaumont指出,攻击者开始利用Praetorian发布的完整漏洞链进行攻击。
Arctic Wolf的研究人员也观察到攻击者在Cactus勒索软件团伙发起的攻击中利用这两个漏洞。
根据绑定操作指令(BOD)22-01:减少已知被利用漏洞的重大风险,FCEB机构必须在截止日期之前解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。
专家还建议私人组织审查目录并解决其基础设施中的漏洞。
CISA要求联邦机构在2023年12月28日之前修复这些漏洞。
消息来源:SecurityAffairs,译者:Claire;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文