Nella piattaforma di servizi FactoryTalk di Rockwell Automation, tutte le versioni, il servizio host di ridondanza (RdcyHost.exe) non convalida gli identificatori forniti, il che potrebbe consentire a un utente malintenzionato adiacente non autenticato di eseguire oggetti COM remoti con privilegi elevati.

CVE-2020-9480
PUBBLICATO: 2020-06-23

In Apache Spark 2.4.5 e versioni precedenti, il master di un gestore risorse autonomo può essere configurato per richiedere l'autenticazione (spark.authenticate) tramite un segreto condiviso. Se abilitato, tuttavia, un RPC appositamente predisposto per il master può riuscire ad avviare le risorse di un'applicazione sul cluster Spark, anche con...

CVE-2020-12021
PUBBLICATO: 2020-06-23

In OSIsoft PI Web API 2019 Patch 1 (1.12.0.6346) e in tutte le versioni precedenti, il prodotto interessato è vulnerabile a un attacco di scripting tra siti, che può consentire a un utente malintenzionato di eseguire in remoto codice arbitrario.

CVE-2020-14977
PUBBLICATO: 2020-06-23

È stato rilevato un problema in F-Secure SAFE 17.7 su macOS. I servizi XPC utilizzano il PID per identificare il client di connessione, che consente a un utente malintenzionato di eseguire un attacco di riutilizzo PID e di connettersi a un servizio XPC privilegiato ed eseguire comandi privilegiati sul sistema. NOTA: l'attaccante deve eseguire c...

CVE-2020-14978
PUBBLICATO: 2020-06-23

È stato scoperto un problema in F-Secure SAFE 17.7 su macOS. A causa di un'errata verifica della versione del client, un utente malintenzionato può connettersi a un servizio XPC privilegiato ed eseguire comandi privilegiati sul sistema. NOTA: l'attaccante deve eseguire il codice su una macchina già compromessa.