CVE-2024-45411: Twig Sandbox Bypass Vulnerability Puts PHP Applications at Risk
2024/09/10 SecurityOnline — 広く使用されている PHP テンプレート・エンジン Twig に、深刻なセキュリティ脆弱性 CVE-2024-45411 (CVSS:8.5) が発見された。この脆弱性の悪用に成功した攻撃者は、サンドボックスの制限を回避し、悪意のコード実行を可能にする。テンプレート・レンダリングにおいて、Twig を使用している Web アプリケーションにとっては、深刻な影響が生じる可能性がある。
Continue reading “Twig の脆弱性 CVE-2024-45411 が FIX:データ漏洩などが生じる恐れ”CVE-2024-42500 (CVSS 9.3): Critical HPE HP-UX Vulnerability Demands Immediate Action
2024/09/10 SecurityOnline — HPE HP-UX の Network File System (NFSv4) に脆弱性 CVE-2024-42500 (CVSS:9.3) が発見され、影響を受けるシステムへのサービス拒否 (DoS) 攻撃の可能性が生じている。この脆弱性の悪用に成功したリモートの攻撃者に、NFS サービスを妨害され、重大な運用障害にいたる恐れがある。
Continue reading “HPE HP-UX の脆弱性 CVE-2024-42500 (CVSS 9.3) が FIX:直ちにアップデートを!”LNK Stomping (CVE-2024-38217): Microsoft Patches Years-Old Zero-Day Flaw
2024/09/10 SecurityOnline — Microsoft の 2024年9月のセキュリティ更新プログラムにより、Smart App Control と SmartScreen に影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38217 が対処された。この LNK stomping と命名された脆弱性は、重要なセキュリティ警告を回避する、悪意のファイルの存在を許すものであり、遅くとも2018年から悪用が確認されている。
Continue reading “Windows のゼロデイ LNK Stomping CVE-2024-38217 が FIX:直ちにアップデートを!”CVE-2024-8517: Critical SPIP Flaw Leaves Websites Vulnerable to Remote Attacks, PoC Published
2024/09/10 SecurityOnline — 人気の CMS である SPIP に発見された CVE-2024-8517 (CVSS:9.8) は、未認証の攻撃者に対して、サーバ上での悪意のコード実行を許す可能性があるものだ。この脆弱性は、BigUp プラグインのコマンド・インジェクションの欠陥に起因する。
Continue reading “SPIP の脆弱性 CVE-2024-8517 (CVSS 9.8) が FIX:PoC エクスプロイトも提供”Adobe Patches Critical, Code Execution Flaws in Multiple Products
2024/09/10 SecurityWeek — 9月10日に Adobe は、複数の製品に存在する 28件のセキュリティ脆弱性に対する修正プログラムを公開し、コード実行攻撃の危険に、Windows/macOS ユーザーが直面していると警告した。最も緊急性の高いものは、Acrobat/PDF Reader の2件のメモリ破壊の脆弱性 CVE-2024-45112 (CVSS:8.6)/CVE-2024-41869 (CVSS:7.8) である。同社はアドバイザリで、これらの脆弱性は攻撃者に任意のコード実行を許し、特権を昇格させる可能性があるため、より高いリスクをもたらすと警告している。
Continue reading “Adobe の 2024年9月アップデート:Acrobat/ColdFusion/Photoshop などの脆弱性を修正”Ivanti fixes maximum severity RCE bug in Endpoint Management software
2024/09/10 BleepingComputer — Ivanti が公表したのは、同社の Endpoint Management (EPM) に存在する、深刻な脆弱性 CVE-2024-29847 を修正である。この脆弱性が、認証されていない攻撃者に悪用されると、コア・サーバ上でリモート・コード実行を許す可能性が生じるという。Ivanti EPM は、各種のプラットフォームを実行するために用いられる、クライアント・デバイス Windows/macOS/Chrome OS/IoT オペレーティング・システムなどを管理するためのツールである。脆弱性 CVE-2024-29847 は、エージェント・ポータルの信頼できないデータのデシリアライズの欠点に起因するものだが、Ivanti EPM 2024 HotPatch と、Ivanti EPM 2022 Service Update 6 (SU6) で対処されている。
Continue reading “Ivanti EPM の脆弱性 CVE-2024-29847 などが FIX:RCE が生じる恐れ”Microsoft Says Windows Update Zero-Day Being Exploited to Undo Security Fixes
2024/09/10 SecurityWeek — 9月10日 (火) に Microsoft は、Windows Update の深刻な脆弱性の悪用について公表し、Windows の特定のバージョンにおいて、セキュリティ修正がロールバックされていると警告した。この積極的な悪用が観測されている脆弱性 CVE-2024-43491 の、CVSS スコアは 9.8 であり、Critical と評価されている。現時点において Microsoft は、公開された悪用に関する情報や、感染の兆候の検出に有効な IOC (indicators of compromise) などのデータを公開していない。同社によると、この問題は匿名で報告されたという。
Continue reading “Windows Downdate の脆弱性 CVE-2024-43491 が FIX:すでに悪用が観測されている”Microsoft September 2024 Patch Tuesday fixes 4 zero-days, 79 flaws
2024/09/10 BleepingComputer — 今日は、Microsoft の September 2024 Patch Tuesday の日であり、79件の脆弱性に対するセキュリティ更新プログラムが提供されたが、その中には、現時点で悪用されている4件のゼロデイ脆弱性が含まれるが、そのうちの1件は公開済みのものである。また、今月の Patch Tuesday では、リモート・コード実行や権限昇格の脆弱性である、7件の Critical 脆弱性が修正された。
Continue reading “Microsoft 2024-09 月例アップデート:4件のゼロデイを含む 79件の脆弱性に対応”
IoT OT Security News 