CISA 在其已知漏洞目录中增加了 10 个新漏洞

Hackernews 编译，转载请注明出处：

美国网络安全和基础设施安全局（CISA）在其已知漏洞目录中添加了10个新漏洞，其中包括影响Delta Electronics工业自动化软件的高严重性安全漏洞（CVE-2021-38406 CVSS 评分：7.8）。

根据具有约束力的操作指令（BOD）22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。

专家还建议私人组织审查目录并解决其基础设施中的漏洞。

据美国机构称，Delta Electronics DOPSoft 2在解析特定项目文件时缺乏对用户提供的数据的正确验证（输入验证不正确）。攻击者可以触发该漏洞，导致越界写入并实现代码执行。

重要的是没有安全补丁可以解决此问题，并且受影响的产品已经报废。

CISA还在Apple iOS、macOS和watchOS中添加了一个Sanbox绕过漏洞，跟踪为CVE-2021-31010 （CVSS评分：7.5）。

“在受影响的Apple iOS、macOS和watchOS版本中，沙盒进程可能能够绕过沙盒限制。”公告中写道。

添加到该目录的其他漏洞有：

• CVE-2022-26352  – dotCMS无限制上传文件漏洞
• CVE-2022-24706  – Apache CouchDB资源不安全默认初始化漏洞
• CVE-2022-24112  – Apache APISIX身份验证绕过漏洞
• CVE-2022-22963  – VMware Tanzu Spring Cloud Function远程代码执行漏洞
• CVE-2022-2294  – WebRTC堆缓冲区溢出漏洞
• CVE-2021-39226  – Grafana身份验证绕过漏洞
• CVE-2020-36193  – PEAR Archive_Tar链接解析不当漏洞
• CVE-2020-28949  – PEAR Archive_Tar不受信任数据反序列化漏洞

CISA命令联邦机构在2022年9月15日之前修复这些漏洞。

消息来源：securityaffairs，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文