ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Salı günü, vahşi doğada aktif sömürü kanıtı göstererek bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna dört güvenlik kusuru ekledi.
Güvenlik açıklarının listesi aşağıdaki gibidir –
- CVE-2024-45195 (CVSS Puanı: 7.5/9.8) – Apache Ofbiz’de uzak bir saldırganın yetkisiz erişim elde etmesini ve sunucuda keyfi kod yürütmesini sağlayan zorla göz atma güvenlik açığı (Eylül 2024’te sabit)
- CVE-2024-29059 (CVSS Puanı: 7.5) – Microsoft .NET Framework’te OBJREF URI’sını açığa çıkarabilecek ve uzaktan kod yürütmesine yol açabilecek bir bilgi açıklama güvenlik açığı (Mart 2024’te sabit)
- CVE-2018-9276 (CVSS Puanı: 7.2) – Paessler PRTG Ağ Monitörü’nde, yönetim ayrıcalıklarına sahip bir saldırganın PRTG Sistem Yöneticisi Web Konsolu aracılığıyla komutları yürütmesine izin veren bir işletim sistemi komut enjeksiyon güvenlik açığı (Nisan 2018’de sabit)
- CVE-2018-19410 (CVSS Puanı: 9.8) – Paessler PRTG Ağ Monitörü’nde, uzak, kimlik doğrulanmamış bir saldırganın okuma yazma ayrıcalıklarına sahip kullanıcılar oluşturmasına izin veren yerel bir dosya içerme güvenlik açığı (Nisan 2018’de sabit)
Bu eksiklikler o zamandan beri ilgili satıcılar tarafından ele alınmış olsa da, şu anda gerçek dünya saldırılarında nasıl kullanılabilecekleri hakkında bir kamu raporu yoktur.
Federal Sivil Yürütme Şubesi (FCEB) ajansları, 25 Şubat 2025 yılına kadar gerekli düzeltmeleri aktif tehditlere karşı korumaya uygulamaya çağırılmıştır.
Bu makaleyi ilginç mi buldunuz? Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.