Cisco phone adapters vulnerable to RCE attacks, no fix available
2023/05/04 BleepingComputer — Cisco SPA112 2-Port Phone Adapters の、Web ベースの管理インターフェイスに存在する脆弱性の悪用により、認証されていないリモートの攻撃者が、デバイス上で任意のコードを実行できることが公表された。この脆弱性 CVE-2023-20126 (CVSS:9.8:Critical) は、ファームウェアのアップグレード機能における、認証プロセスの欠落が原因となっている。
Continue reading “Cisco Phone Adapter の脆弱性 CVE-2023-20126:EoL のためパッチは適用されない”Enhance Your Cybersecurity With An SBOM
2023/05/04 SecurityBoulevard — SBOM が提供するサイバー・セキュリティの利点は、ずっと以前からソフトウェア開発のライフサイクルで、使用されていなかったことが不思議なくらいのものだ。現代のソフトウェア開発では、オープンソースがコアとして用いられるため、SBOM を必要とする声が増している。
Continue reading “SBOM によるセキュリティ強化:Gartner の予測値について考える – Rezilion”Researchers Discover 3 Vulnerabilities in Microsoft Azure API Management Service
2023/05/04 TheHackerNews — Microsoft Azure API Management サービスにおいて、機密情報やバックエンド・サービスへのアクセスを試みる脅威アクターに、悪用される可能性のある3つの新たな脆弱性が公開された。イスラエルのクラウド・セキュリティ企業 Ermetic によると、そこに含まれるのは、2つの SSRF (Server-Side Request Forgery) の欠陥と、API Management 開発者ポータルにおける無制限ファイル・アップロード機能の欠陥である。
Continue reading “Microsoft Azure の API Management の脆弱性が FIX:SSRF などに対応 – Ermetic”Researchers Uncover New Exploit for PaperCut Vulnerability That Can Bypass Detection
2023/05/04 TheHackerNews — 先日に公開された PaperCut サーバの深刻な欠陥だが、現時点における全ての検出方法を回避しながら悪用する手口を、サイバー・セキュリティ研究者たちが解明している。この脆弱性 CVE-2023-27350 (CVSS:9.8) は、PaperCut MF/NG のインストールに影響を及ぼし、認証されていない攻撃者に対して、SYSTEM 権限での任意のコード実行を許すものである。オーストラリアに本拠を置く PaperCut により、この欠陥は 2023年3月8日にパッチが適用されたが、活発な悪用の兆候が 2023年4月13日に観測されている。
Continue reading “PaperCut 脆弱性の悪用:新たな PoC エクスプロイトが証明する検出回避の手口”
IoT OT Security News 