News und Updates

09. November 2022 Beschreibung VMware hat Updates für drei kritische Authentication Bypass Sicherheitslücken im Remote-Access-Tool VMware Workspace ONE veröffentlicht. CVE-Nummer(n): CVE-2022-31685, CVE-2022-31686, CVE-2022-31687 CVSS Base Score: 9.8 Auswirkungen Entfernte, anonyme Angreifer:innen können die Authentifizierung in erreichbaren VMware Workspace ONE Instanzen umgehen und Administratorrechte auf den betroffenen Systemen erlangen. Betroffene Systeme VMware Workspace ONE 21.x, 22.x […]

12. Oktober 2022 Beschreibung Adobe hat Updates für die E-Commerce Software Suites ‚Magento Open Source‘ und ‚Adobe Commerce‘ herausgegeben. CVE-Nummer(n): CVE-2022-35698 CVSS Base Score: 10.0 Auswirkungen Angreifer:innen können beliebigen Code auf betroffenen Systemen ausführen (vermutlich mit den Rechten des Webservers), und haben Zugriff auf alle Daten die im E-Commerce System gespeichert sind. Betroffene Systeme Magento […]

10. Oktober 2022 Beschreibung Kritische Schwachstellen in Fortinet Firewalls erlauben es Angreifenden, die Authentisierung zu umgehen und Aktionen mit Admin-Rechten auszuführen. CVE-Nummer(n): CVE-2022-40684 CVSS Base Score: 9.6 Auswirkungen Durch spezielle http/https-Anfragen an das Administrations-Interface der Firewall lassen sich Aktionen mit Admin-Rechten ausführen. Damit sind alle durch die Firewall geschützten Netzwerke potentiell gefährdet. Betroffene Systeme FortiOS […]

7. Oktober 2022 BeschreibungEine kritische Schwachstelle in Zimbra Collaboration Suite erlaubt potentiell entfernten, unauthorisierten Angreifer:innen das Ausführen von beliebigem Code. Laut diversen Berichten wird diese Schwachstelle bereits aktiv ausgenutzt. CVE-Nummer(n): CVE-2022-41352 CVSS Base Score: 9.8 AuswirkungenDas Ausnützen der Schwachstelle durch senden einer Email mit speziell präparierten Anhängen in den Formaten .cpio, .tar, .rpm kann zu […]

30. September 2022Beschreibung Eine Kombination von zwei 0-day Schwachstellen in Microsoft Exchange On-Premise ermöglichen entfernten, authentifizierten Angreifer:innen das Ausführen von beliebigem Code. Microsoft Exchange Online ist nicht betroffen. CVE-Nummer(n): CVE-2022-41040 CVE-2022-41082 CVSS Base Score (lt. Zero Day Initiative): 8.8 und 6.3 Auswirkungen Das Ausnützen der Schwachstellen kann zu einer vollständigen Kompromittierung des Systems und zur […]

30. September 2022 Update: 03. Oktober 2022, 13:40 Beschreibung Eine Kombination von zwei 0-day Schwachstellen in Microsoft Exchange On-Premise ermöglichen entfernten, authentifizierten Angreifer:innen das Ausführen von beliebigem Code. Microsoft Exchange Online ist nicht betroffen. CVE-Nummer(n): CVE-2022-41040 CVE-2022-41082 CVSS Base Score (lt. Zero Day Initiative): 8.8 und 6.3 Auswirkungen Das Ausnutzen der Schwachstellen kann zu einer […]

30. September 2022 Update: 03. Oktober 2022, 13:40 Update #2: 06. Oktober 2022, 09:30 Update #3: 07. Oktober 2022, 16:30 Update #4: 11. Oktober 2022, 19:15 Update #5: 09. November 2022, 16:00 Beschreibung Eine Kombination von zwei 0-day Schwachstellen in Microsoft Exchange On-Premise ermöglichen entfernten, authentifizierten Angreifer:innen das Ausführen von beliebigem Code. Microsoft Exchange Online […]

7. September 2022 Beschreibung Eine kritische Schwachstelle in Zyxel NAS-Systemen ermöglicht potentiell entfernten, unauthorisierten Angreifer:innen das Ausführen von beliebigem Code. CVE-Nummer(n): CVE-2022-34747 CVSS Base Score: 9.8 Auswirkungen Das Ausnützen der Schwachstelle durch senden spezieller UDP-Pakete kann zu einer vollständigen Kompromittierung des Systems führen. Betroffene Systeme NAS326 V5.21(AAZF.11)C0 und älter NAS540 V5.21(AATB.8)C0 und älter NAS542 V5.21(ABAG.8)C0 […]

29. August 2022 Beschreibung Eine kritische Schwachstelle in Atlassian Bitbucket Server and Data Center ermöglicht potentiellen Angreifern oder Angreiferinnen das Ausführen von beliebigem Code mittels spezieller HTTP-Anfragen. Vorrausetzung dafür ist Zugriff auf ein öffentliches bzw. Lese-Zugriff auf ein privates Repository CVE-Nummer(n): CVE-2022-36804 CVSS Base Score: 9.9 Auswirkungen Das Ausnützen der Schwachstelle erlaubt potentiell das Ausführen […]

4. August 2022 Beschreibung Eine Schwachstelle in Cisco VPN-Routern aus der RV340 and RV345 Serie ermöglicht potentiell das Ausführen von beliebigem Code mit root-Rechten. CVE-Nummer(n): CVE-2022-20842 CVSS Base Score: 9.8 Auswirkungen Das Ausnützen der Sicherheitslücke durch Senden einer speziell präparierten HTTP-Anfrage erlaubt entfernten, unauthentifizierten Angreifer:innen möglicherweise das Ausführen von beliebigem Code mit root-Rechten oder dem […]