EN

Alvarlegir veikleikar hjá PHP, Pixel og Veeam


Tilkynnt var um alvarlega veikleika í PHP, Pixel Firmware og Veeam. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

Alvarlegir veikleikar

PHP CGI á Windows

Veikleikinn CVE-2024-4577 með CVSSv3 veikleikastig upp á 9.8 gefur fjartengdum ógnaraðila færi á að komast fram hjá vörnum með því að nýta einnig eldri veikleika, CVE-2012-1823, og getur leitt til keyrslu á kóða og yfirtöku á PHP þjóni sem veikleikinn nær til. [1,2]

Google Pixel Firmware

Google hefur tilkynnt um núlldagsveikleika í Google Pixel firmware. Veikleikinn CVE-2024-32896 hefur ekki fengið CVSSv3 veikleikastig en er metinn mjög alvarlegur. Veikleikinn leyfir árásaraðilum að framkvæma fjarkeyrslu kóða (remote code execution) án aðkomu notanda [3].

Veeam Backup & Replication

Veikleikinn CVE-2024-29849 með CVSSv3 veikleikastig upp á 9.8 leyfir óauðkenndum árásaraðila að skrá sig inn á Veeam Backup Enterprise Manager vefviðmót sem hvaða notandi sem er. Veikleikinn CVE-2024-29850 með CVSSv3 veikleikastig upp á 8.8 leyfir notanda að yfirtaka aðgang með NTLM endursendingu.[4,5,6]

 

Tilvísanir

[1] https://www.php.net/security
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-4577
[3] https://www.bleepingcomputer.com/news/security/google-warns-of-actively-exploited-pixel-firmware-zero-day/
[4] https://www.veeam.com/kb4581
[5] https://nvd.nist.gov/vuln/detail/CVE-2024-29849
[6] https://nvd.nist.gov/vuln/detail/CVE-2024-29850

Scroll to Top