Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило восемь новых пунктов в свой каталог известных эксплуатируемых уязвимостей. Решение о добавлении было принято на основании данных об активной эксплуатации этих уязвимостей злоумышленниками.
Уязвимость Use-After-Free в мобильных устройствах Samsung была идентифицирована под номером CVE-2022-22265 и рейтингом CVSS 7,8 баллов. Уязвимость связана с неправильной проверкой или обработкой исключительных условий в драйвере NPU и допускает произвольную запись в память и выполнение вредоносного кода.
Уязвимость, связанная с некорректной проверкой входных данных в Realtek SDK, известна под номером CVE-2014-8361. Уязвимость позволяет удалённым злоумышленникам выполнять произвольный код с помощью созданного запроса NewInternalClient.
Уязвимость, позволяющая выполнить произвольные команды на маршрутизаторах Zyxel EMG2926, была опубликована под номером CVE-2017-6884 с оценкой CVSS 8,8 баллов. Злоумышленник может использовать многочисленные векторы для выполнения произвольных команд на маршрутизаторе, например, параметр «ping_ip» в URI: expert/maintenance/diagnostic/nslookup.
Уязвимость, связанная с загрузкой файлов в Laravel Ignition, известна под номером CVE-2021-3129 и оценкой CVSS 9,8 баллов. Позволяет удалённым неавторизованным злоумышленникам выполнять произвольный код на уязвимых веб-сайтах из-за небезопасного использования функций «file_get_contents()» и «file_put_contents()».
Сразу четыре уязвимости были обнаружены в продуктах для видеонаблюдения Meeting Owl от Owl Labs: