Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat sechs Sicherheitslücken zu ihrem Known Exploited Vulnerabilities (KEV)-Katalog hinzugefügt, da Beweise für aktive Ausnutzung vorliegen.
Zu den Schwachstellen gehört ${match} (CVSS-Wert: 8.9), eine Schwachstelle mit hoher Schwere, die die Open-Source-Datenvisualisierungssoftware Apache Superset betrifft und Remote-Code-Ausführung ermöglichen könnte. Diese Schwachstelle wurde in der Version 2.1 behoben.
Die Details des Problems wurden erstmals im April 2023 bekannt, als Naveen Sunkavally von Horizon3.ai es als „gefährliche Standardkonfiguration in Apache Superset“ beschrieb, die es einem nicht authentifizierten Angreifer ermöglicht, Remote-Code-Ausführung durchzuführen, Anmeldeinformationen abzugreifen und Daten zu kompromittieren.
Es ist derzeit nicht bekannt, wie die Schwachstelle in freier Wildbahn ausgenutzt wird. CISA hat außerdem fünf weitere Schwachstellen hinzugefügt:
${match} (CVSS-Wert: 9.8) – Adobe ColdFusion Deserialization of Untrusted Data Vulnerability
${match} (CVSS-Wert: 9.8) – Adobe ColdFusion Deserialization of Untrusted Data Vulnerability
${match} (CVSS-Wert: 7.8) – Apple Multiple Products Code Execution Vulnerability
${match} (CVSS-Wert: 9.8) – D-Link DSL-2750B Devices Command Injection Vulnerability
${match} (CVSS-Wert: 5.3) – Joomla! Improper Access Control Vulnerability
Es ist erwähnenswert, dass ${match}, von Apple in iOS 15.7.8 und iOS 16.3 behoben, von unbekannten Akteuren im Rahmen von Operation Triangulation-Spionagangriffen verwendet wurde, um Remote-Code-Ausführung zu erreichen, wenn ein speziell erstellter iMessage-PDF-Anhang verarbeitet wird.