Chrome Releases Stable Channel Update Addressing High Security Vulnerabilities
2024/10/03 SecurityOnline — Chrome 129 の Stable Channel アップデートが行われ、Windows/Mac 用バージョン 129.0.6668.89/.90 と、Linux 用バージョン 129.0.6668.89 が提供されている。このアップデートは、今後の数日から数週間をかけて展開される予定であり、セキュリティにおける重要な強化と修正が行われる。
Continue reading “Chrome 129 の4件の深刻な脆弱性が FIX:ただちにアップデートを!”CVE-2024-29824: Critical Vulnerability in Ivanti Endpoint Manager Actively Exploited, PoC Published
2024/10/02 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Windows/macOS/Chrome OS/IoT などの環境の、クライアント・デバイス管理において広く使用されているプラットフォーム Ivanti Endpoint Manager (EPM) で、深刻な脆弱性が積極的に悪用されているとして緊急アラートを発行した。この脆弱性 CVE-2024-29824 (CVSS:9.6) により、Ivanti ソリューションに依存している組織に対して潜在的な脅威をもたらされる。
Continue reading “CISA KEV 警告 24/10/02:Ivanti EPM の CVE-2024-29824 の登録と PoC の提供”Vulnerability in Vesta Control Panel Exposes Admin Accounts
2024/10/02 SecurityOnline — Linux サーバの管理で多用される Web ベースのインターフェースである、Vesta Control Panel に深刻な脆弱性が存在することが、Fortbridge の Cloud Application Security Consultant である Adrian Tiron により判明した。この脆弱性の悪用に成功した攻撃者は、Bash の $RANDOM 変数のシード・エントロピー低下を介してで、管理者アカウントの乗っ取りを達成するという。
Continue reading “Vesta Control Panel ハッキング:ブルートフォースで Admin アカウントを侵害する PoC とは?”0-Day Flaw CVE-2024-38200 in Microsoft Office Exposes NTLMv2 Hashes: PoC Exploit Released
2024/10/02 SecurityOnline — 2024年8月にゼロデイとして発見された脆弱性により、Microsoft Office ユーザーが危険にさらされている。先日に、Microsoft Office の深刻な情報漏えいの脆弱性 CVE-2024-38200 に関する、技術的な詳細と概念実証 (PoC) エクスプロイトが、セキュリティ研究者の Metin Yunus Kandemir により公開された。この脆弱性は、Office 2016/Office 2019/Office LTSC 2021/Microsoft 365 Apps for Enterprise など複数バージョンに影響を及ぼす。その悪用に成功した権限のない脅威アクターが、保護されている情報への不正アクセスを達成する可能性が生じており、セキュリティ専門家の間で懸念が高まっている。
Continue reading “Microsoft Office の脆弱性 CVE-2024-38200:NTLMv2 ハッシュ・キャプチャの PoC が提供”Thousands of Adobe Commerce e-stores hacked by exploiting the CosmicSting bug
2024/10/02 SecurityAffairs — Adobe Commerce の脆弱性 CosmicSting CVE-2024-34102 (CVSS:9.8) を悪用する複数の脅威アクターが、この3ヶ月間で 4,000 以上のオンライン・ストアを侵害したと、Sansec の研究者が報告している。この脆弱性は、XML External Entity Reference (XXE) の不適切な制限に起因し、任意のコード実行につながる恐れが生じる。細工された XML ドキュメントを送信し、そこから外部エンティティを参照する撃者は、この問題を悪用する可能性を手にする。さらに、この問題の悪用において、ユーザーの操作は必要ないと、専門家たちが指摘している。
Continue reading “Adobe Commerce/Magento の脆弱性 CosmicSting による被害:オンラインストアの5%が侵害”CVE-2024-20432 (CVSS 9.9): Cisco Nexus Dashboard Fabric Controller Exposed to RCE
2024/10/02 SecurityOnline — Cisco が発表したのは、Nexus Dashboard Fabric Controller (NDFC) に存在する深刻な脆弱性 CVE-2024-20432 (CVSS:9.9) に対するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した、認証された低権限のリモート攻撃者は、標的デバイス上においてネットワーク管理者権限を用いて、任意のコマンドを実行する可能性を手にする。
Continue reading “Cisco NDFC の深刻な脆弱性 CVE-2024-20432 (CVSS 9.9) が FIX:ただちにパッチを!”CVE-2024-47374: LiteSpeed Cache Plugin Flaw Threatens Millions of WordPress Sites
2024/10/02 SecurityOnline — 600万以上のアクティブなインストール数を誇る、人気の WordPress 用の LiteSpeed Cache プラグインに、重大なセキュリティ脆弱性が発見された。この脆弱性は、認証を必要としない蓄積型 XSS (cross-site scripting ) の脆弱性であり、WordPress サイト上の機密情報の窃取や特権をエスカレートを、単一の HTTP リクエストを介して攻撃者に許すものだ。この脆弱性 CVE-2024-47374 (CVSS 7.1) は、LiteSpeed Cache プラグインのバージョン 6.5.1 で修正されている。
Continue reading “WordPress LiteSpeed Cache の XSS 脆弱性 CVE-2024-47374 が FIX:直ちにアップデートを!”Decade-Old Linux Vulnerability Can Be Exploited for DDoS Attacks on CUPS
2024/10/02 HackRead — サイバーセキュリティ研究者である Simone Margaritelli (別名 evilsocket) が、新たに発見した Linux の深刻な脆弱性について報告する。この欠陥は、10年前から存在しており、すべての GNU/Linux システムに影響を及ぼすものだ。なお、CVSS は 9.9 と評価されているが、CVE は割り当てられていない。この脆弱性の悪用に成功した攻撃者は、GNU/Linux システムの完全な制御が可能となり、Linux 上でのリモート・コード実行の可能性を得る。
Continue reading “10年前から存在していた Linux の脆弱性と CUPS 攻撃:CVSS 9.9 だが CVE はまだ無い”Zimbra RCE Vuln Under Attack Needs Immediate Patching
2024/10/02 DarkReading — 先日に Zimbra が公表したのは、同社の SMTP サーバに存在する深刻なリモート・コード実行の脆弱性が、攻撃者により積極的に標的されている問題である。影響を受ける組織は、脆弱なインスタンスに対して、直ちにパッチを適用する必要がある。この脆弱性 CVE-2024-45519 は、電子メールのジャーナリングとアーカイブを操作する、Zimbra の postjournal service コンポーネントに存在する。このバグにより、認証されていないリモートの攻撃者は、脆弱性のあるシステム上で任意のコマンドを実行し、そのシステムを制御することが可能になる。先週に Zimbra は、影響を受けるバージョンのアップデートをリリースしたが、今のところ、この脆弱性の詳細については公表していない。
Continue reading “Zimbra の脆弱性 CVE-2024-45519 への攻撃を確認:PoC 公開と CISA KEV 登録”CVE-2024-8940 (CVSS 10): Critical Flaw in Scriptcase Low-Code Platform Leaves Developers at Risk
2024/10/01 SecurityOnline — 人気のローコード・プラットフォーム Scriptcase を使用している開発者に求められるのは、アプリケーションを深刻なセキュリティ・リスクにさらす可能性のある、3件の深刻な脆弱性に対処するために、速やかにソフトウェアをアップデートすることだ。
Continue reading “Scriptcase の脆弱性 CVE-2024-8940 (CVSS 10) などが FIX:PHP 開発環境への広範な影響”CVE-2024-9194: SQLi Flaw Discovered in Octopus Server, Urgent Patch Recommended
2024/10/01 SecurityOnline — 世界中のソフトウェア・チームに使用される CD (continuous delivery) プラットフォーム Octopus Deploy が公表したのは、Octopus Server に存在する深刻な脆弱性 CVE-2024-9194 (CVSS:7.8) に関する、重要なセキュリティ・アップデートのリリースである。この脆弱性の悪用に成功した攻撃者は、機密データベース・テーブルへの不正アクセスを達成し、機密プロジェクト・データやデプロイメント・コンフィグレーションを取得する可能性を手にする。
Continue reading “Octopus Server の脆弱性 CVE-2024-9194 がFIX:機密データベースへの SQLi の恐れ”CVE-2024-47070: Critical Flaw in authentik Identity Provider Allows Authentication Bypass
2024/10/01 SecurityOnline — Identity Provider (IdP) と Single Sign-On (SSO) ソリューションを提供する authentik に、深刻なセキュリティ脆弱性 CVE-2024-47070 (CVSS:9.1) が発見された。この脆弱性を悪用する攻撃者は、特定の条件下においてパスワード認証ポリシーのバイパスを可能にするため、影響を受けるバージョンを使用している組織にとって、深刻な懸念が生じている。
Continue reading “authentik の深刻な脆弱性 CVE-2024-47070 が FIX:認証バイパスが生じる恐れ”CISA Adds Four Actively Exploited Vulnerabilities to KEV Catalog
2024/09/30 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに4つのセキュリティ脆弱性を登録し、警鐘を鳴らしている。それが強調するのは、連邦政府機関における緊急性であり、積極的なサイバー脅威から身を守るために、パッチ適用と緩和策の優先を促すものだ。
Continue reading “CISA KEV 警告 24/09/30:D-Link/DrayTek/Motion Spell/SAP を追加”KartLANPwn (CVE-2024-45200) Exploits Mario Kart 8 Deluxe LAN Play Feature for RCE
2024/09/30 SecurityOnline — 大人気の Nintendo ゲーム “Mario Kart 8 Deluxe” に、深刻な脆弱性 CVE-2024-45200 (通称 KartLANPwn) が存在することが判明した。この脆弱性により、マルチプレイ・セッション中の何百万人ものプレイヤーが、リモート・コード実行 (RCE) のリスクにさらされる可能性が生じる。
Continue reading “Nintendo Mario Kart 8 Deluxe に脆弱性 CVE-2024-45200 (KartLANPwn):PoC も提供”PLANET Technology Switches Face CVE-2024-8456 (CVSS 9.8), Urgent Firmware Updates Advised
2024/09/30 SecurityOnline — 先日に TWCERT/CC が発表したセキュリティ勧告は、PLANET Technology の各種スイッチ・モデルに影響をおよぼす、複数の脆弱性に関するものだ。これらの脆弱性は深刻度に幅があり、リモート・コード実行/不正アクセス/サービス拒否などに至る可能性が生じている。
Continue reading “PLANET Switch 製品群の脆弱性 CVE-2024-8456 などが FIX:RCE/DoS などの恐れ”CVE-2024-22170 (CVSS 9.2): Western Digital Addresses Critical Flaw in My Cloud Devices
2024/09/30 SecurityOnline — Western Digital が発表したのは、My Cloud シリーズに影響を及ぼす、脆弱性 CVE-2024-22170 (CVSS:9.2) のセキュリティ・アドバイザリである。この脆弱性の悪用に成功した攻撃者は、影響を受けるデバイス上で任意のコードを実行し、不正アクセスや情報漏えいなどの可能性を手にする。
Continue reading “Western Digital My Cloud デバイスの脆弱性 CVE-2024-22170 が FIX:不正アクセスなどの恐れ”Critical NVIDIA Container Toolkit flaw could allow access to the underlying host
2024/09/30 SecurityAffairs — NVIDIA Container Toolkit に存在する深刻な脆弱性 CVE-2024-0132 (CVSS スコア 9.0) により、コンテナ・エスケープを達成した攻撃者が、基盤となるホストへの完全にアクセスを得る可能性が生じている。この脆弱性は Time-of-check Time-of-Use (TOCTOU) に起因するものであり、NVIDIA Container Toolkit バージョン 1.16.1 未満に影響を及ぼすものだ。
Continue reading “Critical NVIDIA Container Toolkit の脆弱性:パブリック・クラウドの 33% に影響”Multiple Vulnerabilities Discovered in PHP, Prompting Urgent Security Updates
2024/09/29 SecurityOnline — 先日に PHP プロジェクトが公開したセキュリティ勧告は、PHP の各バージョンに影響を及ぼす、複数の脆弱性に関するものだ。これらの脆弱性が悪用されると、ログの改ざん/任意のファイルのインクルード/データの整合性違反などの可能性が生じる。すべての PHP ユーザーに推奨されるのは、最新の修正版へと直ちにシステムを更新することだ。
Continue reading “PHP の脆弱性 CVE-2024-9026 などが FIX:データ漏洩/システム侵害などが生じる恐れ”CVE-2024-26808: PoC Exploit Shows Local Privilege Escalation Risk in Linux
2024/09/29 SecurityOnline — Linux kernel に存在する、新たな脆弱性 CVE-2024-26808 の技術的詳細と、PoC エクスプロイト・コードが公開された。この脆弱性は、Linux Kernel のバージョン v5.9〜v6.6 に影響を及ぼすものであり、先日のカーネル・コードベースへのコミットで対処されている。
Continue reading “Linux Kernel の脆弱性 CVE-2024-26808 が FIX:PoC エクスプロイトも提供”CVE-2024-8353 (CVSS 10): Critical GiveWP Flaw, 100k WordPress Sites at Risk
2024/09/29 SecurityOnline — WordPress 用のドネーション・プラグインである GiveWP に、深刻な脆弱性 CVE-2024-8353 (CVSS:10.0) が発見された。この脆弱性は、リモート・コード実行につながる可能性のある、PHP オブジェクト・インジェクションに起因するものであり、悪用に成功した攻撃者は認証を必要とすることなく、影響を受けるWeb サイトを完全に制御できる可能性を手にする。
Continue reading “WordPress GiveWP の脆弱性 CVE-2024-8353 が FIX:CVSS 10.0 の XSS”2024/09/29 SecurityOnline — Filament Project が発表したのは、Laravel 開発で人気を誇る full-stack コンポーネント・コレクションに存在する、脆弱性 CVE-2024-47186 に関するセキュリティ・アドバイザリである。この XSS (Cross-Site Scripting) 脆弱性は、検証されていない ColorColumn/ColorEntry の値をレンダリングするアプリケーションに対して重大なリスクをもたらすものであり、バージョン v3.0.0~v3.2.114 に影響を及ぼす。
Continue reading “Filament の XSS 脆弱性 CVE-2024-47186 が FIX:直ちにアップデートを!”Novel Exploit Chain Enables Windows UAC Bypass
2024/09/28 DarkReading — Microsoft Windows の新たな脆弱性 CVE-2024-6769 を報告した Fortra は、Windows UAC (user access control) バイパスと、特権昇格の脆弱性の組み合わせにより、認証済みの攻撃者がシステム特権を完全に取得する可能性があると警告している。
Continue reading “Windows の UAC バイパスの脆弱性 CVE-2024-6769:欠陥ではないと主張する Microsoft の根拠は?”CVE-2024-43917 (CVSS 9.3): Unpatched SQLi Flaw in TI WooCommerce Wishlist Threatens 100,000+ Sites
2024/09/27 SecurityOnline — 人気の WordPress プラグインである TI WooCommerce Wishlist に、深刻な脆弱性 CVE-2024-43917 (CVSS:9.8) が発見され、100,000 以上のサイトを危険にさらす可能性が生じている。この脆弱性の悪用に成功した攻撃者は、認証なしで任意の SQL クエリを実行できるようになり、影響を受ける Web サイトを完全な制御する権限を、不正に取得する可能性を手にする。
Continue reading “WordPress TI WooCommerce Wishlist の脆弱性 CVE-2024-43917:パッチは未適用”Critical WatchGuard Vulnerabilities Discovered: CVE-2024-6592 and CVE-2024-6593
2024/09/27 SecurityOnline — WatchGuard の Authentication Gateway (SSO Agent) と Single Sign-On Client に存在する、2つの深刻な脆弱性 CVE-2024-6592/CVE-2024-6593 が明らかにされた。この脆弱性が悪用されると、数千の組織に影響が及ぶ可能性があると、サイバーセキュリティ企業の RedTeam Pentesting GmbH は指摘している。
Continue reading “WatchGuard の深刻な脆弱性 CVE-2024-6592/6593 が FIX:PoC も提供”Critical NVIDIA Container Toolkit Vulnerability Could Grant Full Host Access to Attackers
2024/09/27 TheHackerNews — NVIDIA Container Toolkit に、深刻なセキュリティ上の欠陥が発見されました。この脆弱性の悪用に成功した脅威アクターは、コンテナの境界を突破し、基盤となるホストへの完全なアクセスを得る可能性が生じる。この脆弱性 CVE-2024-0132 (CVSS:9.0) は、NVIDIA Container Toolkit バージョン v1.16.2 および NVIDIA GPU Operator バージョン 24.6.2 で解決されている。
Continue reading “NVIDIA Container Toolkit の深刻な脆弱性 CVE-2024-0132 が FIX:コンテナ・エスケープの恐れ”HashiCorp Vault Flaw (CVE-2024-7594): Unrestricted SSH Access Threatens System Security
2024/09/26 SecurityOnline — インフラストラクチャ自動化ソフトウェアの大手プロバイダーである HashiCorp は、同社のシークレット管理ツール Vault の脆弱性に関する、重要なセキュリティ・アドバイザリを発行した。脆弱性 CVE-2024-7594 (CVSS:7.7) は、Vault Community および Enterprise Edition の、バージョン 1.7.7 〜 1.17.5 に影響を及ぼす。この脆弱性の悪用に成功した攻撃者は、標的システムに対する無制限の SSH アクセスが許可されるため、重要なインフラにおけるデータ侵害/サービス中断/不正制御の可能性を手にする。
Continue reading “HashiCorp Vault の脆弱性 CVE-2024-7594 が FIX:無制限の SSH アクセスが発生”Critical WhatsUp Gold Vulnerabilities Demand Immediate Action
2024/09/26 SecurityOnline — Progress Software が発表した最新のセキュリティ・アドバイザリは、同社のネットワーク監視アプリケーション WhatsUp Gold に影響を及ぼす6つの深刻な脆弱性の発見に関するものである。世界中の組織において WhatsUp Gold は利用され、サーバの稼働時間と可用性をモニタリングし、サーバ上で実行されているサービスを追跡している。そして、新たに特定された一連の脆弱性は重大なリスクを伴うものであり、ネットワーク・インフラストラクチャへの不正な接続/制御の可能性が生じるというものだ。
Continue reading “Progress WhatsUp Gold の6件の脆弱性が FIX:ただちにアップデートを!”VLC Media Player Update Needed: CVE-2024-46461 Discovered
2024/09/26 SecurityOnline — 人気の VLC Media Player ユーザーに求められているのは、新たに発見された任意のコード実行などの脆弱性に対応するために、直ちにソフトウェアを更新することである。それを怠ると、悪意の攻撃により、プログラムがクラッシュする可能性が生じる。VLC の脆弱性 CVE-2024-46461 (CVSS:8.0) は、悪意を持って作成された MMS ストリームを処理する際に引き起こされる、整数オーバーフローに起因している。最も可能性の高い結果はクラッシュであるが、他の脆弱性と組み合わせることで、情報漏洩やリモート・コード実行につながる可能性があると、セキュリティ専門家たちは警告している。
Continue reading “VLC Media Player の脆弱性 CVE-2024-46461 が FIX:ただちにアップデートを!”Critical Flaws Discovered in Jupiter X Core WordPress Plugin Affecting Over 90,000 Sites
2024/09/26 SecurityOnline — WordPress の Jupiter X Core プラグインに存在し、90,000 を超える Web サイトに影響を及ぼすとされる、2つの深刻な脆弱性がセキュリティ研究者たちにより発見された。この脆弱性の悪用に成功した未認証の攻撃者は、Web サイトの完全に制御や、管理者アカウント乗っ取りの可能性を手にする。
Continue reading “WordPress の Jupiter X Core プラグインの脆弱性が FIX:90,000 以上のサイトに影響”CUPS flaws enable Linux remote code execution, but there’s a catch
2024/09/26 BleepingComputer — オープンソース印刷システムである CUPS に存在する、複数のコンポーネントの一連の脆弱性を連鎖させることに成功したリモートの攻撃者が、特定の条件下において脆弱なマシン上で任意のコードを実行できることが、Simone Margaritelli により明らかにされた。ただし、それらの脆弱性 CVE-2024-47076 (libcupsfilters)/CVE-2024-47175 (libppd)/CVE-2024-47176 (cups-browsed)/CVE-2024-47177 (cups-filters) は、デフォルト・コンフィグレーションのシステムには影響しない。
Continue reading “Common UNIX Printing System (CUPS) の複数の脆弱性:現実での影響は限定的だが”HPE Aruba Networking fixes critical flaws impacting Access Points
2024/09/26 BleepingComputer — HPE Aruba Networking が発表したのは、Aruba Access Points の Command Line Interface (CLI) に存在する3件の重大な脆弱性の修正である。これらの脆弱性 CVE-2024-42505/CVE-2024-42506/CVE-2024-42507 の悪用に成功した未認証の攻撃者は、脆弱なデバイスに対してリモート・コード実行を達成する可能性を手にする。特別に細工されたパケットの PAPI (Aruba Access Points 管理プロトコル) UDP ポート (8211) への送信により、これらの脆弱性が悪用されると、特権アクセスが不正に取得され、脆弱なデバイスで任意のコード実行にいたる可能性が生じる。
Continue reading “HPE Aruba の脆弱性 CVE-2024-42505 などが FIX:リモートコード実行の恐れ”EPSS vs. CVSS: What’s the Best Approach to Vulnerability Prioritization?
2024/09/26 TheHackerNews — 脆弱性の深刻さの評価と修正の優先順位付けが行われる際に、数多くの企業で利用されるのは、Common Vulnerability Scoring System (CVSS) である。この CVSS スコアでは、脆弱性の潜在的な影響について一定の洞察が提供されるが、悪用される可能性といった実際の脅威データは考慮されていない。毎日のように新たな脆弱性が発見されている状況において、現実のリスク軽減につながらない脆弱性の修正に費やす時間や予算は、脆弱性対応チームにとって削減したいものとなる。そこで CVSS と EPSS を比較してみた。脆弱性の優先順位付けプロセスにとって、EPSS の利用が画期的な理由については、以下の詳細な説明を参考にしてほしい。
Continue reading “EPSS vs CVSS:脆弱性対応の優先順位付けという悩ましい問題を解消するには?”Google’s Shift to Rust Programming Cuts Android Memory Vulnerabilities by 68%
2024/09/25 TheHackerNews — Google が Secure-By-Design のアプローチの一環として、メモリセーフ言語 Rust などへの移行が Google で推進された結果として、Android で発見されるメモリの安全性に関する脆弱性の割合が、6年間で 76%から 24%へと減少したという。セーフ・コーディングに重点を置いた新機能の開発により、コードベースのセキュリティ・リスク全体が低減されるだけではなく、スケーラブルで費用対効果の高い開発スタイルが達成されると、同社は述べている。
Continue reading “Google の Rust プログラミングへの移行:Android のメモリ脆弱性が 68%も減少”FlashArray, FlashBlade at Risk: Pure Storage Reveals CVSS 10 Vulnerabilities
2024/09/25 SecurityOnline — Pure Storage が公開したセキュリティ勧告は、FlashArray/FlashBlade ストレージ・システムに影響を与える5つの深刻な脆弱性に関するものだ。これらの脆弱性の悪用に成功した攻撃者は、任意のコード実行や不正アクセスなどを達成し、重要な業務を妨害する可能性を手にする。
Continue reading “Pure Storage FlashArray/FlashBlade の脆弱性 CVE-2024-0001 などが FIX:直ちにアップデートを!”TeamViewer Urges Users to Patch Privilege Escalation Flaws (CVE-2024-7479 and CVE-2024-7481)
2024/09/25 SecurityOnline — TeamViewer が公開したのは、Windows 用のリモート・クライアントおよびリモートホスト製品に影響を与える、2つの重大な脆弱性 CVE-2024-7479/CVE-2024-7481 に関する情報である。これらの脆弱性は、いずれも CVSSスコアが 8.8 と評価されており、特に古いバージョンのソフトウェアを使用しているユーザーにとって深刻なリスクとなり得る。
Continue reading “TeamViewer の脆弱性 CVE-2024-7479/7481 (CVSS 8.8) が FIX:権限昇格の恐れ”2024/09/25 SecurityOnline — 人気の WordPress プラグインである The Events Calendar に、深刻なセキュリティ上の欠陥が発見された。この脆弱性 CVE-2024-8275 (CVSS:9.8) は、バージョン 6.6.4 以下に影響を及ぼすものだ。Events Calendar plugin は、WordPress サイト上でのイベント・カレンダーの容易な作成/管理を実現するものであり、70万以上のアクティブ・インストール数を誇っている。このプラグインは、オンラインおよび F2F のイベントをサポートしており、また、プロフェッショナル向けの広範な機能を提供している。
Continue reading “WordPress Events Calendar Plugin の脆弱性 CVE-2024-8275 が FIX:SQLi に至る恐れ”Proxmox Virtual Environment and Mail Gateway Exposed to Critical API Vulnerability
2024/09/25 SecurityOnline — Proxmox の Virtual Environment および Mail Gateway に、深刻な脆弱性 CVE-2024-21545 (CVSS:8.2) が存在することが、Snyk Security Labs により発見された。この脆弱性が悪用されると、機密ファイルへの不正アクセスが可能となり、システム全体が侵害される恐れが生じる。この脆弱性は、API レスポンス処理における不十分な保護対策に起因するものであり、特定の特権を持つ攻撃者に対して、任意のホスト・ファイルのダウンロードを許すとされる。
Continue reading “Proxmox VE/MG の深刻な API 脆弱性 CVE-2024-21545 が FIX:機密データの漏えいの恐れ”GitLab backports fix for CVE-2024-45409 to older versions
2024/09/25 SecurityOnline — GitLab が 9月25日にリリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)/Enterprise Edition(EE) の全バージョンに影響を与える、深刻な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。セルフマネージド・インストールの管理者に対して強く推奨されるのは、新たにパッチが適用されたバージョン (16.10.10/16.9.11/16.8.10/16.7.10/16.6.10/16.5.10/16.4.7/16.3.9/16.2.11/16.1.8/16.0.10) へと直ちにアップグレードすることだ。 これらのバージョンに含まれるのは、9月17日に GitLab バージョン 17.x.x/16.11.10 向けにリリースされたセキュリティ修正である。
Continue reading “GitLab の SAML 脆弱性 CVE-2024-45409:セキュリティ修正を拡張”PoC for critical SolarWinds Web Help Desk vulnerability released (CVE-2024-28987)
2024/09/26 HelpNetSecurity — SolarWinds Web Help Desk (WHD) の CVE-2024-28987 に関する詳細と PoC エクスプロイト・コードが公開された。この脆弱性は 2024年8月に修正されているが、その悪用に成功した攻撃者は認証を必要とすることなく、すべてのヘルプデスク・チケットの詳細をリモートで読み取り、変更する可能性を手にする。
Continue reading “SolarWinds WHD の脆弱性 CVE-2024-28987:PoC エクスプロイトが提供”CVE-2024-9014 (CVSS 9.9): pgAdmin’s Critical Vulnerability Puts User Data at Risk
2024/09/24 SecurityOnline — PostgreSQL データベースにおける主要 OSS 管理ツールである、pgAdmin に影響を及ぼす深刻な脆弱性に対処する、緊急セキュリティ・アップデートがリリースされた。この脆弱性 CVE-2024-9014 (CVSS:9.9) の悪用に攻撃者は、OAuth2 認証メカニズムを介してユーザー・データを侵害する可能性を手にする。
Continue reading “pgAdmin の脆弱性 CVE-2024-9014 (CVSS 9.9) が FIX:OAuth2 認証の問題”Critical Ivanti vTM auth bypass bug now exploited in attacks
2024/09/24 BleepingComputer — Ivanti に存在する別の重大なセキュリティ脆弱性に対して、CISA は新たにタグ付けした。この脆弱性の悪用に成功した攻撃者は、 Virtual Traffic Manager (vTM) アプライアンス上で不正な管理者ユーザーを作成できるため、積極的な攻撃において悪用されている。この認証バイパスの脆弱性 CVE-2024-7593 は、認証アルゴリズムの誤った実装により発生し、インターネットに公開されている vTM 管理パネル上において、リモート攻撃者による認証の回避を許すものだ。
Continue reading “Ivanti vTM の脆弱性 CVE-2024-7593:CISA KEV への登録と PoC の悪用?”Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU/Linux Systems Awaiting Full Disclosure
2024/09/23 SecurityOnline — GNU/Linux などの全てのシステムに対して、潜在的な影響を与える重大なセキュリティ脆弱性が、著名なセキュリティ研究家である Simone Margaritelli により発見された。Canonical や Red Hat などの業界大手も存在を認める、認証を必要としないリモート・コード実行 (RCE) の脆弱性 CVE-2024-7589/CVE-2024-38063 は、CVSS スコア 9.9 と評価されている。
Continue reading “GNU/Linux システムの RCE 脆弱性 (CVSS 9.9):情報開示とパッチ適用までに実施すべきは?”Researcher Details CVE-2024-20439 (CVSS 9.8) Flaw in Cisco Smart Licensing Utility
2024/09/23 SecurityOnline — Cisco Smart Licensing Utility (CSLU) に影響を及ぼす深刻な脆弱性 CVE-2024-20439 (CVSS:9.8) の詳細を、Hewlett Packard Enterprise 子会社である Aruba の脅威研究者 Nicholas Starke が公表した。この脆弱性の悪用に成功した未認証のリモート攻撃者は、静的な管理資格情報を介して管理者アクセス権の取得を達成するため、CSLU に依存している企業にとって大きな脅威が生じる。
Continue reading “Cisco Smart Licensing Utility の脆弱性 CVE-2024-20439 (CVSS 9.8) が FIX:直ちにアップデートを!”CVE-2024-9043 (CVSS 9.8): Cellopoint Secure Email Gateway Flaw Puts Sensitive Data at Risk
2024/09/23 SecurityOnline — Cellopoint Secure Email Gateway (SEG) に存在する脆弱性 CVE-2024-9043 が発見され、企業のメール・システムが重大なセキュリティ・リスクにさらされる可能性が生じている。この脆弱性の深刻度は CVSS スコアで 9.8 と高く評価されており、機密性の高い通信にメールを使用している、組織のセキュリティに与える影響が大きいことが示唆されている。このプラットフォームを使用している組織の管理者は、早急に対処する必要がある。
Continue reading “Cellopoint SEG の脆弱性 CVE-2024-9043 が FIX:機密データが危険にさらされる”CVE-2024-38286: Denial-of-Service Vulnerability Discovered in Apache Tomcat
2024/09/23 SecurityOnline — Apache Software Foundation が発表したセキュリティ・アドバイザリは、Tomcat で発見された脆弱性を悪用する攻撃者が、サービス拒否 (DoS) 攻撃を引き起こす可能性について警告するものである。この脆弱性 CVE-2024-38286 は “Important” と評価されており、すべてのプラットフォームにわたる、複数バージョンの Apache Tomcat に影響を及ぼす。
Continue reading “Apache Tomcat に脆弱性 CVE-2024-38286 が FIX:直ちにアップデートを!”WordPress Theme ‘Houzez’ and Associated Plugin Vulnerabilities Expose Thousands of Sites
2024/09/23 SecurityOnline — 広く使用されている WordPress テーマの Houzez と、関連プラグイン Houzez Login Register に、2つの重大な脆弱性が発見された。46,000 件を超える販売実績を誇る Houzez は、コンテンツと物件リストを効率的に管理する不動産会社にとって人気の選択肢である。この、新たに特定された脆弱性の悪用に成功した権限のないユーザーが、Houzez テーマを用いる WordPress サイトを乗っ取る可能性が生じており、リスクの広がりが懸念されている。
Continue reading “WordPress の Houzez テーマに深刻な脆弱性:大量のサイトが危殆化している”FreeBSD Issues Critical Security Advisory for CVE-2024-41721 (CVSS 9.8)
2024/09/22 SecurityOnline — FreeBSD の bhyve hypervisor に、深刻な脆弱性 CVE-2024-41721 (CVSS:9.8) が発見された。この脆弱性は、bhyve の USB エミュレーション機能に存在し、仮想 USB コントローラ (XHCI) 上のデバイス・エミュレーションが有効な場合に影響を及ぼすものだ。この脆弱性の悪用に成功した攻撃者は、悪意のコード実行を達成し、脆弱な FreeBSD システムに深刻な脅威をもたらす可能性を手にする。
Continue reading “FreeBSD の脆弱性 CVE-2024-41721 が FIX :任意のコード実行が生じる恐れ”Critical Dragonfly2 Flaw CVE-2023-27584: Hardcoded Key Threatens Admin Access
2024/09/22 SecurityOnline — Peer-to-Peer (P2P) をベースとするファイル配信システムを、オープンソースとして提供する Dragonfly2 に、深刻なセキュリティ脆弱性 CVE-2023-27584 (CVSS:9.8) が発見された。この脆弱性は、認証プロセスで使用される、ハードコードされた暗号化キーに起因するものであり、管理者権限での不正アクセスも許してしまうため、システムへの攻撃の可能性が生じる。
Continue reading “Dragonfly2 の脆弱性 CVE-2023-27584 が FIX:ハードコードされた暗号化キーによる Admin 侵害”CVE-2024-8986 (CVSS 9.1): Critical Grafana Plugin SDK Flaw Exposes Sensitive Information
2024/09/22 SecurityOnline — Grafana Plugin SDK for Go に、重大なセキュリティ脆弱性 CVE-2024-8986 (CVSS:9.1) が発見された。この脆弱性に悪用により、リポジトリ認証情報などの機密情報の漏洩につながる可能性が生じている。Grafana Plugin SDK は、Go プログラミング言語を使用するバックエンド・プラグインの、容易な開発を目的として設計されている。しかし、Grafana Labs のアドバイザリによると、それらのプラグインでは、コンパイル済みバイナリにビルド・メタデータがバンドルされているという。このメタデータには、git remote get-url origin コマンドを実行することで取得される、プラグインで使用されるリポジトリ URI が含まれる。
CVE-2024-8698: Keycloak Vulnerability Puts SAML Authentication at Risk
2024/09/22 SecurityOnline — セキュア ID とアクセス管理のために広く利用される、Keycloak の SAML 署名検証プロセスに、深刻度の高い脆弱性が発見された。この脆弱性 CVE-2024-8698 の悪用に成功した攻撃者は、認証メカニズムを回避し、権限昇格やなりすまし攻撃の可能性を手にする。
Continue reading “Keycloak の脆弱性 CVE-2024-8698 が FIX:認証回避の恐れ”
IoT OT Security News 
You must be logged in to post a comment.