Kibana
Veikleikinn CVE-2023-31415 með CVSSv3 skor uppá 8.8 gerir auðkenndum ógnaraðila kleift að keyra upp spillikóða með sömu réttindum og notandinn sem Kibana er keyrt upp með [1].
Veikleikinn CVE-2023-31414 með CVSSv3 skor uppá 8.8 gerir ógnaraðila með skrif réttindi á Kibana YAML skrár eða umhverfisbreytur (e. env.config) kleift að keyra spillikóða með sömu réttindum og notandinn sem Kibana er keyrt upp með [1].
Eftirfarandi kerfi eru veik fyrir göllunum:
Kibana: 8.7.0 og 8.0.0
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Kibana 8.7.1
GitLab Community Edition og Enterprise Edition
Veikleikinn CVE-2023-2478 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að hengja spillikóða á hvaða verkefni sem er á Gitlab þjóni (e. attach a malicious Gitlab runner to any project in the Gitlab instance) [2].
Eftirfarandi kerfi eru veik fyrir göllunum:
Gitlab: 15.9.x, 15.10.x og 15.11.x
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Gitlab 15.9.7, 15.10.6 og 15.11.2
SAP 3D Visual Enterprise License Manager
Veikleikinn CVE-2021-44152 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að breyta lykilorði hjá hvaða notanda sem er í kerfinu, koma þar með í veg fyrir að þeir notendur geti skráð sig inn og í framhaldi getur ógnaraðilinn nýtt sér aðganginn til að komast inn á kerfið [3].
Eftirfarandi kerfi eru veik fyrir göllunum:
SAP 3D Visual Enterprise License Manager: 15
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Ekki uppgefið
SAP BusinessObjects
Veikleikinn CVE-2023-28762 með CVSSv3 skor uppá 9.1 gerir ógnaraðila með kerfisstjóraréttindi meðal annars kleift að lesa og breyta gögnum sem aðrir notendur á kerfinu (e. impersonation) [3].
Eftirfarandi kerfi eru veik fyrir göllunum:
SAP BusinessObjects: 420 og 430
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Ekki uppgefið
Alls gefur SAP út 18 tilkynningar um veikleika tengt reglulegum uppfærslum í maí mánuði.
CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður og fylgja ráðleggingum framleiðanda.
Tilvísanir:
[1] https://discuss.elastic.co/t/kibana-8-7-1-security-updates/332330
[2] https://about.gitlab.com/releases/2023/05/05/critical-security-release-gitlab-15-11-2-released/
[3] https://www.securityweek.com/sap-patches-critical-vulnerabilities-with-may-2023-security-updates/
