CISA เพิ่มช่องโหว่ของ Adobe Commerce, Magento, SolarWinds Serv-U และ VMware vCenter Server ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV)

262/67 (IT) ประจำวันอังคารที่ 23 กรกฎาคม 2567

หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ดังต่อไปนี้ ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV)

– CVE-2024-34102 เป็นช่องโหว่ Improper Restriction of XML External Entity Reference (XXE) ใน Adobe Commerce และ Magento Open Source

– CVE-2024-28995 เป็นช่องโหว่ Path Traversal ใน SolarWinds Serv-U

– CVE-2022-22948 เป็นช่องโหว่ Incorrect Default File Permissions ใน VMware vCenter Server    

เพื่อลดความเสี่ยงจากช่องโหว่ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) จะต้องทำการแก้ไขช่องโหว่ที่ระบุภายในวันที่ครบกำหนด เพื่อปกป้องเครือข่ายของตนจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ ผู้เชี่ยวชาญแนะนำให้หน่วยงานเอกชนตรวจสอบแคตตาล็อกดังกล่าว เพื่อแก้ไขช่องโหว่ด้วยเช่นกัน โดยทาง CISA ได้กำหนดให้หน่วยงานรัฐบาลต้องแก้ไขช่องโหว่นี้ภายในวันที่ 7 สิงหาคม 2024

แหล่งข่าว https://securityaffairs.com/165981/hacking/u-s-cisa-adds-adobe-commerce-and-magento-solarwinds-serv-u-and-vmware-vcenter-server-bugs-to-its-known-exploited-vulnerabilities-catalog.html