- 19,445
- 40
- 8 Ноя 2022
Напоминание о том, как незакрытые уязвимости превращаются в реальные срывы.
Исследователь Чжинян Пэн Для просмотра ссылки Войдиили Зарегистрируйся подробности и рабочий PoC для уязвимости в Windows Deployment Services. Ошибка позволяет неаутентифицированным злоумышленникам вызывать сбой системы путём отправки специально сформированных FTP-запросов. Проблема затрагивает все основные версии Windows, но Microsoft отказалась устранять её. Именно это решение подтолкнуло Пэна к публикации эксплойта. WDS активно используется в корпоративных сетях для удалённой установки Windows, а значит, потенциальная атака способна парализовать крупные инфраструктуры.
Пока Microsoft сохраняет молчание, другие разработчики сталкиваются с не менее тревожными уязвимостями. Специалисты CERT при Университете Карнеги-Меллона Для просмотра ссылки Войдиили Зарегистрируйся , что устройства Digigram PYKO-OUT — популярные решения для аудиостриминга в зданиях и на объектах — работают без аутентификации и открыто предоставляют доступ к своим конфигурационным файлам. Учитывая, что продукт признан устаревшим, производитель не планирует выпускать обновления. Однако пользователи всё ещё могут вручную активировать защиту паролем через административную панель.
На этом фоне команда WatchTowr Labs Для просмотра ссылки Войдиили Зарегистрируйся две активно эксплуатируемые уязвимости в SonicWall — одна связана с самим продуктом, вторая с компонентом Apache.
Одновременно Rapid7 Для просмотра ссылки Войдиили Зарегистрируйся подробности и PoC для Для просмотра ссылки Войди или Зарегистрируйся — уязвимости в Citrix NetScaler, которая ведёт к утечке информации. Аналитики из VulnCheck Для просмотра ссылки Войди или Зарегистрируйся , что баг с высокой вероятностью будет использован в реальных атаках, как и многие прошлые уязвимости, для которых публиковались открытые PoC.
Shelltrail Для просмотра ссылки Войдиили Зарегистрируйся о трёх уязвимостях в VPN-клиентах IXON. Две позволяют локально повысить привилегии, а третья пока не раскрывается, поскольку всё ещё остаётся без исправления.
Кроме того, криптограф Лукаш Олейник Для просмотра ссылки Войдиили Зарегистрируйся обзор рисков, связанных с языковой моделью Alibaba Qwen3. По его словам, у модели есть три потенциальных уязвимости, которые могут привести к prompt injection — типу атак, при котором LLM вводится в заблуждение через внешние команды.
Компания Fortra также выпустила Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся для сервера обмена файлами GoAnywhere. Подробностей немного, но производитель подчёркивает, что апдейты направлены на повышение защищённости корпоративных сред.
Исследователь Чжинян Пэн Для просмотра ссылки Войди
Пока Microsoft сохраняет молчание, другие разработчики сталкиваются с не менее тревожными уязвимостями. Специалисты CERT при Университете Карнеги-Меллона Для просмотра ссылки Войди
На этом фоне команда WatchTowr Labs Для просмотра ссылки Войди
Одновременно Rapid7 Для просмотра ссылки Войди
Shelltrail Для просмотра ссылки Войди
Кроме того, криптограф Лукаш Олейник Для просмотра ссылки Войди
Компания Fortra также выпустила Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
