Popular Java Security Framework ‘pac4j’ Vulnerable to RCE (CVE-2023-25581)
2024/10/13 SecurityOnline — 広く利用されている Java セキュリティ・フレームワーク pac4j に存在する深刻な脆弱性が、GitHub Security Lab (GHSL) のセキュリティ研究者 Michael Stepankin (@artsploit) により発見された。この脆弱性 CVE-2023-25581 (CVSS:9.2) の悪用に成功した攻撃者は、影響を受けるシステム上での任意のコード実行の可能性を手にする。
Continue reading “Java セキュリティ・フレームワーク “pac4j” の脆弱性 CVE-2023-25581 が FIX:ただちにアップデートを!”$50,000 Bounty: Researcher Reveals Critical Zendesk Email Spoofing Flaw (CVE-2024-49193)
2024/10/13 SecurityOnline — Zendesk のメール管理システムに存在する、深刻な脆弱性 CVE-2024-49193 が、セキュリティ研究者の Daniel により発見され、詳細に分析されている。この脆弱性の悪用に成功した攻撃者は、スプーフィング攻撃により、機密情報であるサポート・チケット履歴への、不正アクセスの可能性を得るという。この Daniel の報告に対して、Zendesk は否定していたが、問題の深刻さが明らかになったことで、同社は早急な対策を講じることになった。
Continue reading “Zendesk のメール・スプーフィングの脆弱性 CVE-2024-49193 が FIX:長々と放置された理由は?”Bitcoin Core Vulnerability (CVE-2024-35202) Enables Remote Node Crashes
2024/10/13 SecurityOnline — Bitcoin Core に、深刻度が高い脆弱性 CVE-2024-35202 (CVSS:7.5) が発見された。この脆弱性の悪用に成功したリモートの攻撃者は、バージョン v25.0 未満を実行している Bitcoin Core ノードを、クラッシュさせることが可能だとされる。この問題は、cmpctblock メッセージ経由で受信したブロックを、Bitcoin Core が再構築しようとする際に発生する。
Continue reading “Bitcoin Core の脆弱性 CVE-2024-35202 が FIX:リモート・ノードがクラッシュする恐れ”GitHub Enterprise Server Patches Critical Security Flaw – CVE-2024-9487 (CVSS 9.5)
2024/10/13 SecurityOnline — GitHub が公表したのは、GitHub Enterprise Server に存在する2件の脆弱性に対処するためのセキュリティ・アップデートのリリースである。そのうちの1つは、このプラットフォームの SAML SSO 認証メカニズムに存在する、認証バイパスの脆弱性 CVE-2024-9487 (CVSS:9.5) であり、 攻撃者に不正アクセスを許す可能性が生じている。
Continue reading “GitHub Enterprise Server 脆弱性 CVE-2024-9487 (CVSS 9.5) などが FIX:直ちにパッチ適用を!”Thousands of Fortinet Devices Remain Exposed to RCE CVE-2024-23113 Vulnerability
2024/10/13 SecurityOnline — 最近の Shadowserver Foundation レポートによると、数ヶ月前にパッチが提供された RCE の欠陥 CVE-2024-23113 に対して、Fortinet デバイスの多くが脆弱な状態にあり、現在も悪用されているという。
Continue reading “Fortinet の RCE 脆弱性 CVE-2024-23113:日本におけるインターネット露出は 5,100台”Apache Roller Patches CSRF Flaw CVE-2024-46911 in Latest Update
2024/10/13 SecurityOnline — 人気の Java ベースのブログ・プラットフォームである、Apache Roller に対するセキュリティ・アップデートがリリースされた。このアップデートで修正された、深刻な CSRF (Cross-site Request Forgery ) の脆弱性 CVE-2024-46911 により、攻撃者はマルチ・ユーザーの Roller サイト上で権限昇格の可能性を得る。
Continue reading “Apache Roller の CSRF 脆弱性 CVE-2024-46911 が FIX: 直ちにアップデートを!”Plane Project Management Tool Patches Critical SSRF Flaw – CVE-2024-47830 (CVSS 9.3)
2024/10/13 SecurityOnline — 人気のオープンソース・プロジェクト管理ツールである Plane に発見された、深刻なセキュリティ脆弱性 CVE-2024-47830 (CVSS:9.3) が修正された。 この脆弱性の悪用に成功した攻撃者は、サーバサイドを悪用して意図されない場所にリクエストを送信することが可能となり、内部サービスへの不正アクセスや機密データの漏洩の可能性を得る。
Continue reading “Plane プロジェクト管理ツールの脆弱性 CVE-2024-47830 が FIX:CVSS 値 9.3 の SSRF”
IoT OT Security News 