美国CISA最新收录三大漏洞,涉及谷歌和ChatGPT!

安全
CISA建议美国联邦民事行政部门(FCEB)机构在2023年5月12日之前尽快修复这几个漏洞,以确保其网络安全。

上周五,美国网络安全和基础设施安全局(CISA)在其漏洞(KEV)目录中新增三个安全漏洞,具体如下:

  • CVE-2023-28432 (CVSS评分- 7.5)- MinIO信息泄露漏洞
  • CVE-2023-27350 (CVSS评分- 9.8)-剪纸MF/NG不当访问控制漏洞
  • CVE-2023-2136 (CVSS评分-待定)-谷歌Chrome Skia整数溢出漏洞

MinIO的维护人员在2023年3月21日发布的一份资讯报告中表示,在集群部署中,MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD会还原所有环境变量,导致信息泄露。

据GreyNoise收集的数据显示,在过去的30天里,来自美国、荷兰、法国、日本和芬兰等多达18个恶意IP地址试图利用该漏洞。值得注意的是,这家威胁情报公司在上月底发布的警报文件中指出,OpenAI为开发者提供了一个参考方法,阐述了如何将他们的插件集成到ChatGPT上,主要是依赖于一个旧版本的MinIO,而该版本存在CVE-2023-28432的漏洞。

GreyNoise表示,OpenAI开发的新功能对于那些想在ChatGPT集成中访问不同提供商实时数据的开发人员来说,的确是一个非常有价值的工具,但安全性始终应该是摆在首位的核心设计原则。

此外,KEV目录中还添加了一个会致使PaperCut软件远程代码执行错误的漏洞。攻击者可以通过该漏洞实现免身份验证,并直接远程运行任意代码。

不过截至2023年3月8日,供应商已经修复了该漏洞,并发布了PaperCut MF和PaperCut NG20.1.7,21.2.11和22.0.9版本。Zero Day Initiative已于2023年1月10日正式报告了该问题,并预计将于2023年5月10日发布更多技术细节。

本周早些时候,有一家总部位于墨尔本的公司分享了一则最新消息称:有证据表明,在2023年4月18日左右,有攻击者通过漏洞攻击了未打补丁服务器。网络安全公司北极狼(Arctic Wolf)表示,此前也发现了一些PaperCut服务器被入侵的情况。一经入侵,RMM的工具Synchro MSP会直接在被损害系统上自动加载。

最后一个被添加至目录的是谷歌Chrome漏洞,该漏洞会直接影响到Skia 2D图形库,并可以让威胁者通过精心制作的HTML页面执行沙盒逃逸。

CISA建议美国联邦民事行政部门(FCEB)机构在2023年5月12日之前尽快修复这几个漏洞,以确保其网络安全。

参考链接:https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-04-12 21:28:40

2020-05-13 15:00:25

漏洞网络安全网络攻击

2022-02-11 09:52:17

漏洞网络安全网络攻击

2022-01-25 10:22:26

漏洞网络攻击

2023-12-07 11:11:01

2014-10-21 13:28:20

2021-11-09 06:34:32

CISA漏洞补丁

2022-08-10 18:18:20

网络安全漏洞CISA

2023-06-27 11:19:28

2021-01-12 13:39:57

漏洞

2020-09-04 06:19:21

漏洞网络安全基础设施安全

2023-10-09 00:14:30

2023-05-17 18:47:45

2021-07-02 15:58:41

勒索软件就绪评估RRA网络安全

2021-12-15 18:32:33

Log4Shell漏洞攻击

2023-07-20 13:57:00

2022-08-11 19:24:49

漏洞网络攻击

2024-03-27 13:41:39

2018-10-26 11:11:40

2023-09-13 12:40:17

点赞
收藏

51CTO技术栈公众号