最近,在的报道中,美国网络安全和基础设施安全局(CISA)将影响ProjectSend、North GridProself和Zyxel防火墙的三项安全问题加入了其。CISA敦促相关联邦机构在圣诞前夕完成漏洞修复。
新加入的漏洞中,最严重的是ProjectSend中的关键身份验证缺陷(CVE-2024-11680),此漏洞可能被利用来实现恶意账户创建、网络壳上传和JavaScript嵌入。据VulnCheck的记录,利用该问题进行的攻击可能涉及在9月发布的利用代码。另外,Zyxel固件的路径遍历漏洞(CVE-2024-11667)可被滥用以通过自定义URL进行文件上传和下载,而NorthGrid Proself中不当的XML外部实体引用限制缺陷(CVE-2023-45727)可能会允许服务器文件的泄露,包括账户信息。
| 漏洞名称 | 追踪编号 | 影响 | 风险 |
|---|---|---|---|
| ProjectSend | CVE-2024-11680 | 身份验证缺陷 | 恶意账户创建、网络壳上传 |
| Zyxel | CVE-2024-11667 | 路径遍历漏洞 | 文件上传和下载 |
| North Grid Proself | CVE-2023-45727 | XML外部实体 | 账户信息泄露 |
备注
建议相关机构尽快审查并修复这些漏洞,以防止潜在的安全风险和数据泄露。
Leave a Reply