Tilkynnt var um alvarlega veikleika í PostgreSQL og WordPress viðbótinni Really Simple Security. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Alvarlegir veikleikar (e. critical)
PostgreSQL
Veikleikinn CVE-2024-10979 með CVSSv3 veikleikastig upp á 8.8 gerir óauðkenndum notanda kleift að breyta umhverfisbreytum eins og PATH, sem gæti leitt til keyrslu á spillikóða. Veikleikinn hefur verið uppfærðu í útgáfum 17.1, 16.5, 15.9, 14.14, 13.17, og 12.21 [1].
Really Simple Security viðbót fyrir WordPress
Veikleikinn CVE-2024-10924 með CVSSv3 veikleikastig upp á 9.8 gerir óauðkenndum notanda kleift að skrá sig inn sem hvaða notanda sem er, jafnvel stjórnanda ef tveggja þátta auðkenning er virk. Veikleikinn hefur áhrif á útgáfur 9.0.0 til 9.1.1.1 [2,3,4,5,6].
Tilvísanir
[1] https://www.postgresql.org/support/security/CVE-2024-10979/
[2] https://plugins.trac.wordpress.org/browser/really-simple-ssl/tags/9.1.1.1/security/wordpress/two-fa/class-rsssl-two-factor-on-board-api.php#L277
[3] https://plugins.trac.wordpress.org/browser/really-simple-ssl/tags/9.1.1.1/security/wordpress/two-fa/class-rsssl-two-factor-on-board-api.php#L278
[4] https://plugins.trac.wordpress.org/browser/really-simple-ssl/tags/9.1.1.1/security/wordpress/two-fa/class-rsssl-two-factor-on-board-api.php#L67
[5] https://plugins.trac.wordpress.org/changeset/3188431/really-simple-ssl
[6] https://www.wordfence.com/threat-intel/vulnerabilities/id/7d5d05ad-1a7a-43d2-bbbf-597e975446be?source=cve