Tilkynnt hefur verið um veikleika í Integrated Management Controller (ICM) frá Cisco og búnaði hjá Oracle. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Cisco Integrated Management Controller (IMC)
Veikleikinn CVE-2024-20295 með CVSSv3 veikleikastig upp á 8.8 er skipannalínu veikleiki (e. CLI) sem gerir auðkenndum ógnaraðila kleift að senda inn skipanir á undirliggjandi stýrikerfi og auka réttindi sín (e. elevate privileges to root) [1].
Veikleikinn CVE-2024-20356 með CVSSv3 veikleikastig upp á 8.7 er einnig skipunnarlínu veikleiki sem gerir auðkenndum ógnaraðila kleift að senda inn skipanir á undirliggjandi stýikerfi og auka réttindi sín (e. elevate privileges to root). Ógnaraðili þarf að vera með strjórnunarréttindi til þess að geta misnotað þennan veikleika [2].
Oracle
Oracle hefur gefið út uppfærslu vegna 230 veikleika þar sem að minnsta kosti 30 þeirra eru flokkaðir sem alvarlegir og gera ógnaraðila kleift að fjarkeyra kóða án auðkenningar [3].
Tilvísanir:
[1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-bLuPcb
[3] https://www.securityweek.com/oracle-patches-230-vulnerabilities-with-april-2024-cpu/
