Fortinet, Ivanti i Nvidia u utorak su objavili ažuriranja kojima se rješava više od deset ranjivosti visokog i srednjeg nivoa ozbiljnosti u njihovim proizvodima.
Ivanti je zakrpio dvije ranjivosti visokog nivoa u Endpoint Manager (EPM) softveru, povezane sa nedovoljnom validacijom imena fajlova. Ove propuste je moguće iskoristiti daljinski, bez autentikacije, za izvršavanje proizvoljnog koda, ali je za eksploataciju ipak potrebna interakcija korisnika.
Kompanija je takođe objavila zakrpe za pet ranjivosti visokog i šest srednjeg nivoa u Connect Secure, Policy Secure, ZTA Gateways i Neurons for Secure Access proizvodima. Među najozbiljnijim propustima su nedostatak autorizacije koji omogućava otmicu HTML5 konekcija, CSRF greška koja vodi do neautentifikovanog izvršavanja osjetljivih akcija, kao i propusti u autorizaciji koji napadačima daju mogućnost izmjene postavki autentikacije.
Zakrpe su uključene u EPM verzije 2024 SU3 SR1 i 2022 SU8 SR2, Connect Secure verzije 22.7R2.9 i 22.8R2, Policy Secure verziju 22.7R1.5, ZTA Gateways verziju 22.8R2.3-723, i Neurons for Secure Access verziju 22.8R1.4. Ivanti je naglasio da trenutno nema dokaza da su ove ranjivosti aktivno eksploatisane.
Fortinet je objavio zakrpu za ranjivost srednjeg nivoa u FortiDDoS proizvodu, gdje OS command injection može dovesti do izvršavanja koda, kao i za path traversal propust u FortiWeb softveru, koji može omogućiti napadačima čitanje proizvoljnih fajlova.
Nvidia je ispravila jednu ranjivost visokog i dvije srednjeg nivoa u NVDebug alatu. Propusti su mogli omogućiti napadačima pristup privilegovanim nalozima, upis fajlova u zaštićene komponente ili pokretanje koda kao neprivilegovani korisnici. Ranjivosti su riješene u verziji NVDebug alata 1.7.0.
Iako Fortinet ni Nvidia nisu prijavili da su ove ranjivosti aktivno zloupotrijebljene, korisnicima se preporučuje da što prije ažuriraju svoje aplikacije.
Izvor: SecurityWeek
