Fortinet Warns of Yet Another Critical RCE Flaw
2024/03/15 DarkReading — Fortinet は、エンドポイント・デバイス管理ツールである FortiClient Enterprise Management Server (EMS) に存在する、リモート・コード実行 (RCE:Remote Code Execution) の深刻な脆弱性にパッチを適用した。この脆弱性 CVE-2023-48788 は、サーバのダイレクト接続ストレージ・コンポーネントにおける、SQL インジェクション・エラーに起因する。この脆弱性の悪用に成功した未認証の攻撃者は、特別に細工されたリクエストを使用して、影響を受けるシステム上の管理者権限で、任意のコードやコマンドを実行することが可能になる。
Continue reading “Fortinet EMS の RCE 脆弱性 CVE-2023-48788 が FIX:直ちにアップデートを!”CVE-2024-28815: Mitel Patches Critical Security Flaw in InAttend and CMG Solutions
2024/03/15 SecurityOnline — 通信ソリューションのリーディング・プロバイダである Mitel は、InAttend/CMG 製品の脆弱性 CVE-2024-28815 (CVSS:9.8) に対処した、セキュリティ・パッチをリリースした。
Continue reading “Mitel InAttend/CMG 製品の脆弱性 CVE-2024-28815 が FIX:CVSS 値は 9.8”ShadowSyndicate Ransomware Gang Targets aiohttp CVE-2024-23334 Flaw: Patch Now!
2024/03/15 SecurityOnline — 人気の Python Web Framework である AIOHTTP の、最近にパッチが適用された脆弱性が、悪名高いランサムウェア・オペレーターたちに悪用されたことが、Cyble Global Sensor Intelligence (CGSI) の調査により判明した。この脆弱性 CVE-2024-23334 (CVSS:7.5) の悪用に成功した攻撃者は、AIOHTTP の古いバージョンを実行しているサーバ上の機密ファイルに、自由にアクセスする可能性を得るという。
Continue reading “AIOHTTP の脆弱性 CVE-2024-23334 と PoC:ShadowSyndicate による悪用を確認”NIST National Vulnerability Database Disruption Sees CVE Enrichment on Hold
2024/03/15 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) で、不可解なことが起こっている。それにより、数多くの組織が、脅威の影響を被りやすい状況へと陥る可能性がある。2024年2月12日以降において NIST は、NVD (National Vulnerability Database) 上のソフトウェア脆弱性の更新を、ほぼ完全に停止している。NVD とは、ソフトウェア脆弱性データベースであり、世界で最も広く利用されているものだ。
Continue reading “NIST NVD の障害:CVE に紐づくはずのメタデータが提供されていない”
IoT OT Security News 