Традиционные метрики вроде CVSS и EPSS не всегда отражают реальный риск эксплуатации уязвимостей. В статье разбирается, как каталог CISA KEV закрывает этот пробел, предоставляя прямой сигнал о факте атак «в дикой природе». Показано, как использовать KEV в SCA-практике для приоритизации уязвимостей, какие ограничения у подхода существуют и как его интеграция позволяет сократить шум, ускорить реакцию и сфокусироваться на действительно эксплуатируемых угрозах. Читать далее
Vulnerability in SuiteCommerce Advanced (SCA) Sites component of Oracle NetSuite service. Supported versions that are affected are prior to 2020.1.4. Difficult to exploit vulnerability allows low privileged attacker with network access via HTTP to compromise NetSuite SCA. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all NetSuite SCA accessible data as well as unauthorized read access to a subset of NetSuite SCA data. CVSS…
В управлении уязвимостями под трендовыми уязвимостями чаще всего понимают не уязвимости с высоким CVSS, а сигнал о том, что уязвимость активно эксплуатируется в реальных атаках. При этом не важно когда уязвимость была опубликована, важна активность.Трендовые уязвимости…
Категория A9 из OWASP Top Ten 2017 (ставшая A6 в OWASP Top Ten 2021) посвящена использованию компонентов с известными уязвимостями. Для её покрытия в PVS-Studio разработчикам придётся превратить анализатор в полноценное SCA-решение. Как же анализатор кода будет искать уязвимости в используемых компонентах? И что ещё за SCA? Ответы на эти и многие другие вопросы ждут вас в этой заметке. Читать далее