В линейке инструментов от ManageEngine найдены уязвимости

В линейке инструментов от ManageEngine найдены уязвимости

В линейке инструментов от ManageEngine найдены уязвимости

Исследователи обнаружили множество уязвимостей в линейке инструментов для ИТ-команд от ManageEngine. Эти инструменты используются более чем половиной компаний из списка Fortune 500.

Первый недостаток затрагивает EventLog Analyzer 11.8 и Log360 5.3, он может быть использован злоумышленником для удаленного выполнения кода с теми же привилегиями, что у пользователя, который запустил приложение. Используя этот баг, атакующий может загрузить web-shell.

Остальные бреши находятся в Applications Manager 13:

Несколько уязвимостей, способных привести к выполнению SQL-инъекций. Эти дыры в безопасности могут привести к полной компрометации приложения Applications Manager и могут быть использованы для выполнения произвольного кода от лица SYSTEM в Windows.

  • Локальная PHP-инъекция, может быть использована для извлечения чувствительной информации.
  • Уязвимость раскрытия ключа API, которая может быть использована для компрометации приложения и хоста.
  • Разработчиков ManageEngine уведомили о проблеме, что позволило быстро принять меры, выпустив соответствующие патчи.

«Команда ManageEngine устранила эти уязвимости, в настоящее время патчи доступны для каждого из затронутых приложений. Обновления можно загрузить с сайта ManageEngine», — отметили исследователи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в WebOS позволяет захватить контроль над смарт-телевизором LG

Раскрыты детали уязвимости в LG WebOS, которую продемонстрировали участники майского состязания TyphoonPWN 2025 в Сеуле. Эксплойт позволяет обойти аутентификацию и получить полный доступ к ТВ-системе.

Данная проблема классифицируется как выход за пределы рабочего каталога и была выявлена в LG 43UT8050 с WebOS 24. Не исключено, что ей подвержены и другие смарт-телевизоры вендора.

В появлении уязвимости повинна служба браузера WebOS, которая автоматически открывает порт 18888 при подключении USB-накопителя, предоставляя пирам доступ к папке /tmp/usb или /tmp/home.office.documentviewer через API.

Как оказалось, этот механизм расшаривания контента содержит изъян: приложение не проверяет путь к файлу, что провоцирует неавторизованные загрузки из других локаций.

 

Используя уязвимость, злоумышленник может добраться до файла базы данных с ключами аутентификации пиров и с их помощью обойти защиту сервиса secondscreen.gateway. Доступ к этой службе позволяет активировать режим разработчика, внедрить вредоноса и в итоге перехватить контроль над IoT-устройством.

В LG подтвердили наличие уязвимости и недавно выпустили информационный бюллетень. PoC-эксплойт уже в паблике, пользователям рекомендуется устанавливать обновления прошивок по мере их выхода.

Пару лет назад баг-хантеры из Bitdefender обнаружили в LG WebOS четыре уязвимости, открывающие возможность для угона 90 тыс. смарт-устройств. А в прошлом году телевизоры LG уличили в покушении на слежку за пользователями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru