CVE-2024-38819: Spring Framework Path Traversal PoC Exploit Released
2024/12/15 SecurityOnline — Spring Framework に存在する脆弱性 CVE-2024-38819 (CVSS 7.5) に対する、PoC エクスプロイト・コードが公開された。この脆弱性の悪用に成功した攻撃者は、パス・トラバーサル攻撃の可能性を手にする。それに続いて、影響を受ける Spring アプリケーションをホスティングするサーバ上の、機密ファイルへのアクセス権限を獲得する恐れも生じる。
Continue reading “Spring Framework のパス・トラバーサル脆弱性 CVE-2024-38819:PoC が公開”CVE-2024-45337: Golang Crypto Library Flawed, Risks Authorization Bypass
2024/12/15 SecurityOnline — Golang の暗号ライブラリに、新たな脆弱性 CVE-2024-45337 (CVSS 9.1) が発見された。この脆弱性は、ServerConfig.PublicKeyCallback 関数の誤用に起因するものであり、アプリケーションやライブラリにおいて、認可バイパスを引き起こす可能性を持つ。
Continue reading “Golang の暗号ライブラリの脆弱性 CVE-2024-45337 が FIX:認可バイパスの可能性”CVE-2024-55884 (CVSS 9.0): Critical Vulnerability Found in Mullvad VPN
2024/12/15 SecurityOnline — Mullvad VPN アプリケーションに存在する複数の脆弱性が、ホワイトボックス・ペネトレーション・テストにより発見された。サイバー・セキュリティ企業 X41 D-Sec GmbH によるテストでは、合計で6件の脆弱性が発見された。そのうちの3件は、シグナル・ハンドラの問題/インストールプロセス中のサイドローディングに起因するものであり、深刻度は “High” と評価されている。
Continue reading “Mullvad VPN に CVE-2024-55884 などの複数の脆弱性:メモリ破損などの可能性”Multiple Critical Vulnerabilities Expose GLPI to Widespread Attacks
2024/12/15 SecurityOnline — 人気の OSS 資産/IT 管理ソフトウェア・パッケージ GLPI (Gestionnaire Libre de Parc Informatique) に、複数の重大な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、ユーザーセッションの乗っ取り/アカウントの削除/管理アカウントの完全な制御などの可能性を手にする。ユーザーに対して推奨されるのは、最新バージョンである 10.0.17 へと、可能な限り早急にアップデートすることだ。
Continue reading “GLPI の複数の脆弱性が FIX:データ漏洩/システム障害などが生じる恐れ”Clop ransomware claims responsibility for Cleo data theft attacks
2024/12/15 BleepingComputer — 最近の Cleo データ盗難攻撃において、Clop ランサムウェア・グループが、自らの犯行を認めている。このグループは、ゼロデイ・エクスプロイトにより、企業ネットワークに侵入してデータを盗んでいる。Cleo の Cleo Harmony/VLTrader/LexiComは、エンタープライズ・ユーザーが、そのビジネス・パートナーや顧客との間で、安全にファイルを交換するために使用する、マネージド・ファイル転送プラットフォームである。
Continue reading “Cleo の脆弱性 CVE-2024-50623 の悪用:Clop ランサムウェア・グループの犯行が濃厚”
IoT OT Security News 