De US Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag twee kritische beveiligingsfouten toegevoegd die van invloed zijn op Erlang/Open Telecom Platform (OTP) SSH en RoundCube aan de bekende uitgebuite catalogus van de Vulnerabilities (KEV), gebaseerd op bewijs van actieve uitbuiting.
De kwetsbaarheden in kwestie worden hieronder vermeld –
- CVE-2025-32433 (CVSS -score: 10.0) – Een ontbrekende authenticatie voor een kwetsbaarheid van kritieke functie in de Erlang/OTP SSH Server waarmee een aanvaller willekeurige opdrachten kan uitvoeren zonder geldige referenties, wat mogelijk leidt tot ongeautoreerde externe externe code -uitvoering. (Opgelost in april 2025 in versies OTP-27.3.3, OTP-26.2.5.11 en OTP-25.3.2.20)
- CVE-2024-42009 (CVSS -score: 9.3) – Een cross -site scripting (XSS) kwetsbaarheid in roundcube webmail waarmee een externe aanvaller via een bewerkt e -mailbericht via een bewerkt e -mailbericht kan stelen en verzenden door te profiteren van een desanitisatieprobleem in programma/acties/mail/show.php. (Opgelost in augustus 2024 in versies 1.6.8 en 1.5.8)
Er zijn momenteel geen details over hoe de twee kwetsbaarheden in het wild worden uitgebuit, en door wie. Vorige maand onthulde ESET dat de Rusland-gekoppelde dreigingsacteur die bekend staat als APT28 verschillende XSS-fouten in Roundcube, Horde, Mdaemon en Zimbra exploiteerde om overheidsinstanties en defensiebedrijven in Oost-Europa te richten. Het is niet duidelijk of het misbruik van CVE-2024-42009 gerelateerd is aan deze activiteit of iets anders.
Volgens gegevens van Censys zijn er 340 blootgestelde Erlang -servers, hoewel het merkt op dat niet alle instanties noodzakelijkerwijs gevoelig zijn voor de fout. De openbare openbaarmaking van CVE-2025-32433 is snel gevolgd door de release van verschillende proof-of-concept (POC) exploits ervoor.
In het licht van actieve uitbuiting moeten federale civiele executive branch (FCEB) agentschappen de nodige oplossingen toepassen vóór 30 juni 2025, voor optimale bescherming.
De ontwikkeling komt als PatchStack een niet-gesprongen accountovernam-kwetsbaarheid in de PayU CommercePro-plug-in voor WordPress (CVE-2025-31022, CVSS-score: 9.8) markeerde, waarmee een aanvaller een aanvaller in staat stelt om de controle over een gebruiker van een site zonder enige authenticatie te grijpen.
Dit kan ernstige gevolgen hebben wanneer de aanvaller in staat is om een beheerdersaccount te kapen, waardoor ze de site kunnen overnemen en kwaadaardige acties kunnen uitvoeren. De kwetsbaarheid beïnvloedt versies 3.8.5 en daarvoor. De plug -in heeft meer dan 5.000 actieve installaties.
Het probleem heeft te maken met een functie met de naam “update_cart_data () (), die op zijn beurt wordt ingeroepen vanuit een eindpunt met de naam”/payu/v1/get-shipping-cost “die controleert of er een verstrekt e-mailadres bestaat, en zo ja, verwerkt de e-commerciële bestelling voor het afrekenen.
Maar omdat het eindpunt controleert op een geldig token dat is gekoppeld aan een hard gecodeerd e-mailadres (“commerce.pro@payu (.) In”) en er nog een REST API bestaat om een authenticatie-token te genereren voor een gegeven e-mail (“/payu/v1/generate-user-toKt”), kan een aanvaller dit gedrag exploiteren om de token te verkrijgen om het te verkrijgen “en een verzoek om het te verkrijgen” en een verzoek om het te verkrijgen “en een verzoek om het te verkrijgen” -commission.pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@ pro@payu (. “/Payu/V1/Get-Shipping-Cost” om elk account te kapen.
Gebruikers worden geadviseerd om de plug -in te deactiveren en te verwijderen totdat een patch voor de kwetsbaarheid beschikbaar is gesteld.
“Het is noodzakelijk om ervoor te zorgen dat de niet -geauthenticeerde REST API -eindpunten niet overdreven toelaatbaar zijn en meer toegang bieden tot de gebruikers,” zei Patchstack. “Ook wordt niet-coderende gevoelige of dynamische informatie zoals e-mailadressen om deze te gebruiken voor andere gevallen in de codebase niet aanbevolen.”
