Tilkynnt var um nokkra alvarlega veikleika í GMS og Analytics hjá SonicWall og Contrail Cloud og Junos OS hjá Juniper. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar (e. critical)
GMS og Analytics
Fjóra alvarlega veikleika var að finna í báðum kerfum SonicWall sem gerir óauðkenndum ógnaraðila kleift að fá aðgang að viðkvæmum gögnum, keyra upp spillikóða og taka yfir kerfi [1].
Junos OS
Nokkra alvarlega veikleika var að finna í PHP forriti sem notað er í JunosOS þar sem hæsta CVSSv3 skor er 9.8. Ógnaraðili getur nýtt þessa veikleika til þess að komast framhjá auðkenningu, fá aðgang að viðkvæmum gögnum, keyra upp spillikóða og taka yfir kerfi [2].
Contrail Cloud
Veikleikinn CVE-2022-30123 með CVSSv3 skor uppá 10.0 er veikleiki í Rack sem notað er af Contrail Cloud og gerir ógnaraðila kleift að senda inn fyrirspurnir sem keyrðar eru upp í skel [3].
Eftirfarandi kerfi eru veik fyrir gallanum:
GMS: < 9.3.3
Analytics: < 2.5.2
Junos OS: < 23.2R1
Contrail Cloud: < 16.3.0
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
GMS: 9.3.3
Analytics: 2.5.2
Junos OS: 23.2R1
Contrail Cloud: 16.3.0
Tilvísanir:
[1] https://www.bleepingcomputer.com/news/security/sonicwall-warns-admins-to-patch-critical-auth-bypass-bugs-immediately/
[2] https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-J-Web-Multiple-Vulnerabilities-in-PHP-software?language=en_US
[3] https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Contrail-Cloud-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Cloud-release-16-3-0?language=en_US