Fortinet предупреждает о новой критической уязвимости RCE

Fortinet раскрыла уязвимость CVE-2023-25610 (CVSS: 9.3), затрагивающую FortiOS и FortiProxy. Уязвимость опустошения буфера позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код или вызвать отказ в обслуживании в графическом интерфейсе устройств с помощью специальных запросов. В новых версиях продуктов CVE-2023-25610 исправлена. Рекомендуется применить обновления или использовать обходной путь: отключение административного интерфейса HTTP/HTTPS или ограничение IP-адресов, которые могут получить к нему удаленный доступ.


Уязвимость парольного менеджера Bitwarden позволяет хакерам красть пароли

Исследователи Flashpoint заметили, что функция автозаполнения учетных данных Bitwarden позволяет вредоносным фреймам, встроенным в доверенные веб-сайты, украсть учетные данные пользователей и отправить их на удаленный сервер. HTML-элемент iframe встраивает в текущую HTML-страницу другую. Расширение Bitwarden автоматически заполняет формы авторизации, определенные во встроенном iframe, даже если он из другого домена. Инженеры Bitwarden признали, что автозаполнение представляет собой потенциальный риск, но решили не исправлять это, а просто добавили предупреждение в документацию. Пользователям рекомендуется отключить данную функцию самостоятельно.


Veeam исправил уязвимость службы резервного копирования

Уязвимость CVE-2023-27532 затрагивает все версии Veeam Backup & Replication (VBR) и позволяет получить зашифрованные учетные данные, хранящиеся в базе данных конфигурации. Согласно бюллетеню Veeam, основной причиной этой уязвимости является процесс Veeam.Backup.Service.exe (по умолчанию работает на TCP 9401), который позволяет пользователям, не прошедшим проверку подлинности, запрашивать зашифрованные учетные данные. Компания выпустила обновления безопасности, устраняющие эту уязвимость для VBR V11 и V12.