Tilkynnt hefur verið um veikleika í búnaði frá SAP, Adobe og Cisco en ekki er vitað til þess að verið sé að misnota veikleikana. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Alvarlegir veikleikar
SAP NetWeaver Administrator AS Java (Administrator Log Viewer plug-in)
Veikleikinn CVE-2024-22127 með CVSSv3 veikleikastig upp á 9.1 getur gert árásaraðila með há réttindi kleift að hlaða upp spillikóða sem getur leitt til skipana innspýtingar (e. command injection) [1].
Adobe Bridge
Veikleikinn CVE-2024-20756 með CVSSv3 veikleikastig upp á 8.6 getur leitt til handahófskenndar keyrslu kóða ef misnotaður [2]
Adobe Coldfusion
Veikleikinn CVE-2024-20767 með CVSSv3 veikleikastig upp á 8.2 getur leitt til handahófskennds lesturs á skráakerfi ef misnotaður [3]
Adobe Lightroom
Veikleikinn CVE-2024-20754 hefur ekki hlotið CVSSv3 veikleikastig en er metinn alvarlegur þar sem misnotkun á honum getur leitt til handahófskenndar keyrslu kóða [4].
Cisco IOS RX
Cisco hefur gefið út öryggisuppfærslur vegna nokkurra veikleika í Cisco IOS RX búnaði. Sá alvarlegasti CVE-2024-20320 með CVSSv3 veikleikastig upp á 7.8 felst í galla á sannprófun fyrir SSH skipanir sem gerir árásaraðila kleift að hækka réttindi sín upp í kerfisstjóraréttindi (e. root) á viðkomandi tæki. Auk þess voru tveir aðrir veikleikar lagfærðir sem gætu leitt til þjónusturofs (e. DoS condition) ef misnotaðir [5,6,7].
Tilvísanir
[1] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2024.html
[2] https://helpx.adobe.com/security/products/bridge/apsb24-15.html
[3] https://helpx.adobe.com/security/products/coldfusion/apsb24-14.html
[4] https://helpx.adobe.com/security/products/lightroom/apsb24-17.html
[5] https://www.cisa.gov/news-events/alerts/2024/03/14/cisco-releases-security-updates-ios-xr-software
[6] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-ssh-privesc-eWDMKew3
[7] https://nvd.nist.gov/vuln/detail/CVE-2024-20320
