CISA เพิ่มช่องโหว่ Apache Superset ลงใน Known Exploited Vulnerabilities catalog

16/67 (IT) ประจำวันพฤหัสบดีที่ 11 มกราคม 2567

U.S. Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใน Apache Superset ที่ CVE-2023-27524 ลงใน Known Exploited Vulnerabilities (KEV) catalog โดย Apache Superset เป็น open-source Data Visualization และ Exploration Platform ที่อิงตาม Python Flask Framework

ตามที่ Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities โดยหน่วยงาน FCEB จะต้องแก้ไขช่องโหว่ภายในวันที่กำหนด เพื่อป้องกันการถูกโจมตีและใช้ประโยชน์จากช่องโหว่ใน catalog โดยผู้เชี่ยวชาญได้แนะนำให้องค์กรเอกชนตรวจสอบ catalog เพื่อแก้ไขช่องโหว่ในโครงสร้างพื้นฐานด้วย และทาง CISA ได้สั่งให้หน่วยงานรัฐบาลกลางแก้ไขช่องโหว่นี้ภายในวันที่ 29 มกราคม 2024

หน่วยงานได้เพิ่มช่องโหว่ดังนี้ลงใน (KEV) catalog :

– Adobe ColdFusion CVE-2023-38203 และ CVE-2023-29300

– ผลิตภัณฑ์หลายรายการของ Apple มีช่องโหว่ CVE-2023-41990 ปัญหานี้ถูกนำไปใช้โดยเป็นส่วนหนึ่งของ Operation Triangulation เพื่อกำหนดเป้าหมายไปที่อุปกรณ์ Apple iOS

– D-Link DSL-2750B ช่องโหว่ Devices Command Injection CVE-2016-20017 – Joomla ช่องโหว่ Improper Access Control CVE-2023-23752

แหล่งข่าว https://securityaffairs.com/157175/security/cisa-adds-apache-superset-bug-known-exploited-vulnerabilities-catalog.html