CISA針對地理位置資訊伺服器GeoServer、Linux核心、郵件伺服器Roundcube遭到利用的漏洞提出警告
支付動態 · 2024-07-03

近期美國網路安全暨基礎設施安全域性(CISA)針對使用地理位置資訊伺服器GeoServer、Linux作業系統、郵件伺服器Roundcube的用戶提出警告,有3項2年前公佈的已知漏洞出現攻擊行動,要求聯邦機構必須限制盤點、修補

上週美國網路安全暨基礎設施安全域性(CISA)將3項已知漏洞列入已被用於攻擊行動的漏洞列表(KEV),並要求聯邦機構要在7月17日前完成修補。

這些漏洞分別是:地理位置資訊伺服器GeoServer重大層級程式碼注入漏洞CVE-2022-24816、Linux核心的記憶體釋放後又再存取使用(Use After Free,UAF)漏洞CVE-2022-2586,以及郵件伺服器Roundcube跨網站指令碼(XSS)漏洞CVE-2020-13965,CVSS風險評分為9.8、7.8、6.1。

根據CVSS評分,最嚴重的漏洞是CVE-2022-24816,這項漏洞發生的原因在於,GeoServer採用的開源元件JAI-EXT當中。一旦此應用系統使用jt-jiffle,並允許透過網際網路取得Jiffle指令碼,就有機會導致攻擊者能遠端執行程式碼。2022年4月開發團隊發布1.2.22版GeoServer予以修補,同年8月有研究人員公佈相關細節,以及概念性驗證(PoC)攻擊程式碼。

評為高風險層級的Linux核心缺陷CVE-2022-2586,是發生在nft資料表(NF_Tables)的記憶體釋放後又再存取使用漏洞,而有可能被攻擊者用於提升權限。由於nft物件或表示式可以引用不同的nft資料表上的nft資料集,一旦該資料表被刪除,就會觸發漏洞。這項漏洞是在2022年5月舉行的漏洞挖掘競賽Pwn2Own Vancouver揭露,Linux基金會於同年8月予以修補。

第三個是公佈長達4年的漏洞CVE-2020-13965,攻擊者可寄送惡意的XML附件,而在收信人預覽附件的時候觸發,使得攻擊者能繞過系統的指令碼過濾器並執行任意JavaScript程式碼,開發團隊2020年6月發布新版軟體修補。

熱門文章
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
英國確認各垂直行業的賭博稅稅率
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
首頁
遊戲
合作
發現
我的