De US Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag vier beveiligingsfouten toegevoegd aan de bekende uitgebuite Catalogus van de Vulnerabilities (KEV), onder verwijzing naar bewijs van actieve uitbuiting in het wild.
De lijst met gebreken is als volgt –
- CVE-2014-3931 (CVSS -score: 9.8) – Een kwetsbaarheid van bufferoverloop in multi -router -kijkglas (MRLG) waarmee externe aanvallers kunnen worden aangebracht
- CVE-2016-10033 (CVSS-score: 9.8)-Een kwetsbaarheid van de commando-injectie bij PHPMailer waarmee een aanvaller willekeurige code kan uitvoeren in de context van de toepassing of resulteert in een DOSIAL-OF-Service (DOS) toestand
- CVE-2019-5418 (CVSS -score: 7.5) – Een kwetsbaarheid van de padverweging in Ruby on Rails ‘actieweergave die kan veroorzaken dat de inhoud van willekeurige bestanden op het bestandssysteem van het doelsysteem kan worden blootgesteld
- CVE-2019-9621 (CVSS -score: 7.5) – Een kwetsbaarheid van de Server -side Request Fevery (SSRF) in de Zimbra -samenwerkingssuite die kan leiden tot ongeautoriseerde toegang tot interne bronnen en externe code -uitvoering
Er zijn momenteel geen openbare rapporten over hoe de eerste drie kwetsbaarheden worden benut in real-world aanvallen. Het misbruik van CVE-2019-9621 daarentegen werd door Trend Micro toegeschreven aan een China-gekoppelde dreigingsacteur die in september 2023 bekend staat als Earth Lusca om webschalen en kobaltstaking te laten vallen.
In het licht van actieve exploitatie worden federale civiele executive branch (FCEB) agentschappen aanbevolen om de nodige updates toe te passen tegen 28 juli 2025, om hun netwerken te beveiligen.
Technische details van Citrix Bleed 2 Out
De ontwikkeling komt als WatchTowr Labs en Horizon3.AI technische analyses hebben vrijgegeven voor een kritische beveiligingsfout in Citrix NetScaler ADC (CVE-2025-5777 aka Citrix Bleed 2), die wordt beoordeeld onder actieve uitbuiting te zijn gekomen.
“We zien actieve exploitatie van zowel CVE-2025-5777 als CVE-2025-6543 in het wild,” vertelde CEO van Wachttowr, Benjamin Harris, aan The Hacker News. “Deze kwetsbaarheid maakt het geheugen mogelijk, waarvan we geloven dat aanvallers gebruiken om gevoelige informatie te lezen (bijvoorbeeld informatie verzonden binnen HTTP-aanvragen die vervolgens in het geheugen worden verwerkt), referenties, geldige Citrix-sessie-tokens en meer.”
De bevindingen laten zien dat het mogelijk is om een inlogverzoek naar het eindpunt “/p/u/doauthentication.do” te verzenden en het te veroorzaken (en andere eindpunten die vatbaar zijn voor de fout) om de door de gebruiker geleverde inlogwaarde in de reactie weer te geven, ongeacht succes of falen.
Horizon3.Ai merkte op dat de kwetsbaarheid zou kunnen worden gebruikt om ongeveer 127 bytes aan gegevens te lekken via een speciaal vervaardigd HTTP -verzoek met een aangepaste “login =” zonder een gelijk teken of waarde, waardoor het mogelijk is om sessietokens of andere gevoelige informatie te extraheren.
De tekortkoming, legde Watchtowr uit, komt voort uit het gebruik van de Snprintf -functie samen met een indelingsreeks met het formaat “%.*S”.
“Het %.*S -formaat vertelt Snprintf: ‘Print tot n tekens of stop bij de eerste nul -byte (\ 0) – wat het eerst komt.’ Die null byte verschijnt uiteindelijk ergens in het geheugen, dus hoewel het lek niet voor onbepaalde tijd loopt, krijg je nog steeds een handvol bytes bij elke aanroep, “zei het bedrijf.
“Dus elke keer dat je dat eindpunt raakt zonder de =, trek je meer niet -geïnitialiseerde stapelgegevens in de reactie. Herhaal het genoeg keer en uiteindelijk zou je misschien op iets waardevols landen.”
