SysAid Patches 4 Critical Flaws Enabling Pre-Auth RCE in On-Premise Version
2025/05/07 TheHackerNews — SysAid のオンプレミス版に、複数のセキュリティ上の欠陥があることを、サイバー・セキュリティ研究者たちが明らかにした。これらの脆弱性を悪用されると、昇格された権限を介して、認証を必要としないリモートコード実行が可能となり、この IT サポート・ソフトウェアに深刻なリスクが生じる。一連の脆弱性 CVE-2025-2775/CVE-2025-2776/CVE-2025-2777 は、XML External Entity (XXE) インジェクションと説明されており、アプリケーションによる XML 入力の解析に、攻撃者が干渉した場合に発生する。
Continue reading “SysAid の4つの脆弱性が FIX:XXE インジェクションと PoC の提供”
IoT OT Security News 