ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — критические уязвимости в продуктах AMI и в плагине WordPress, уязвимость в популярной библиотеке шрифтов FreeType и в Apache NiF, а также устраненные уязвимости в библиотеке Ruby-saml.

Исправлены критические уязвимости в продуктах AMI

Ведущий поставщик прошивок BIOS выпустил обновления для нескольких критических уязвимостей в своих продуктах. Самая серьезная уязвимость CVE-2024-54085 (CVSS: 10.0) затрагивает ПО AMI MegaRAC SPx Baseboard Management Controller (BMC). Успешная эксплуатация уязвимости может привести к полной компрометации уязвимой системы, включая потерю конфиденциальности, целостности и доступности. Другая уязвимость, отслеживаемая как CVE-2024-54084 (CVSS: 7.5), позволяет злоумышленнику с локальным доступом запускать произвольный код. Еще одна закрытая уязвимость CVE-2024-12546 (CVSS 3,5) затрагивает EDK2 — реализацию UEFI, используемую в различных продуктах прошивки AMI, что приводит к отказу в обслуживании. Пользователям прошивки AMI и программного обеспечения BMC настоятельно рекомендуется обновить свои системы до последних версий.

Критическая уязвимость в плагине WordPress

В популярном плагине WordPress «HUSKY – WooCommerce Products Filter Professional», ранее известном как WOOF, была обнаружена критическая уязвимость. Уязвимость получила идентификатор CVE-2025-1661 (CVSS: 9.8) и позволяет неаутентифицированным злоумышленникам выполнять PHP-код на стороне скомпрометированного сервера. Злоумышленник может воспользоваться уязвимостью без входа в систему, чтобы получить доступ к конфиденциальной информации и полностью контролировать систему. Для устранения уязвимости и защиты сайта от возможных атак рекомендуется обновить плагин HUSKY до версии 1.3.6.6.

Уязвимость в популярной библиотеке