美国网络安全和基础设施安全局(CISA)将 Qlik Sense 漏洞添加到其已知被利用漏洞目录中
2023-12-12 15:2:53 Author: hackernews.cc(查看原文) 阅读量:7 收藏

HackerNews 编译,转载请注明出处:

上周,美国网络安全和基础设施安全局(CISA)将两个Qlik Sense漏洞添加到其已知被利用漏洞(KEV)目录中。以下是添加到目录中的问题列表:

  1. CVE-2023-41265(CVSS评分9.6)- Qlik Sense HTTP隧道漏洞:Qlik Sense包含一个HTTP隧道漏洞,允许攻击者提升权限并在托管软件的后端服务器上执行HTTP请求。
  2. CVE-2023-41266(CVSS评分8.2)- Qlik Sense路径遍历漏洞:Qlik Sense包含一个路径遍历漏洞,允许远程未经验证的攻击者通过发送恶意构造的HTTP请求创建匿名会话。这个匿名会话可能允许攻击者向未经授权的端点发送进一步请求。

网络安全公司Praetorian的研究人员在2023年8月发现了这两个漏洞。著名研究员Kevin Beaumont指出,攻击者开始利用Praetorian发布的完整漏洞链进行攻击。

Arctic Wolf的研究人员也观察到攻击者在Cactus勒索软件团伙发起的攻击中利用这两个漏洞。

根据绑定操作指令(BOD)22-01:减少已知被利用漏洞的重大风险,FCEB机构必须在截止日期之前解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。

专家还建议私人组织审查目录并解决其基础设施中的漏洞。

CISA要求联邦机构在2023年12月28日之前修复这些漏洞。


消息来源:SecurityAffairs,译者:Claire;  

本文由 HackerNews.cc 翻译整理,封面来源于网络;  

转载请注明“转自 HackerNews.cc”并附上原文


文章来源: https://hackernews.cc/archives/47884
如有侵权请联系:admin#unsafe.sh