Tag: IDOR

AWS 環境で注意すべき5種類の脆弱性:利用者側の責任範囲とは?

5 Impactful AWS Vulnerabilities You’re Responsible For

2025/03/31 TheHackerNews — AWS を利用していると、自分のクラウドのセキュリティは対処済みだと考えがちだが、それは危険な誤解である。AWS は、自社インフラのセキュリティは確保しているが、クラウド環境内のセキュリティは、利用者自身の手に委ねられている。AWS のセキュリティ体制を建物の保護に例えてみよう。AWS は、強固な壁と頑丈な屋根を提供してくれる。しかし、鍵の管理/警報システムの設置/貴重品の管理などは、顧客の責任となるというわけだ。

Continue reading “AWS 環境で注意すべき5種類の脆弱性:利用者側の責任範囲とは?”

ZITADEL の脆弱性 CVE-2025-27507 (CVSS 9.0) が FIX:LDAP ログイン試行のリダイレクト

CVE-2025-27507 (CVSS 9.0): ZITADEL Users at Risk of Account Takeover

2025/03/05 SecurityOnline — OSS の ID/Access 管理ソリューションである ZITADEL プロジェクトが発行したのは、同プロジェクトの管理 API に存在する、複数の深刻な Insecure Direct Object Reference (IDOR) の脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-27507 (CVSS:9.0) の悪用に成功した認証済みのユーザーは、機密性の高い設定を変更することで、ユーザー・アカウントへの不正アクセスの可能性を手にする。

Continue reading “ZITADEL の脆弱性 CVE-2025-27507 (CVSS 9.0) が FIX:LDAP ログイン試行のリダイレクト”

One Identity Manager の脆弱性 CVE-2024-56404 (CVSS 9.9) が FIX:ただちにパッチを!

CVE-2024-56404 (CVSS 9.9): Critical Vulnerability Discovered in One Identity Manager

2025/01/27 SecurityOnline — 世界中の組織で使用されている人気の ID/Access 管理ソリューション One Identity Manager に、重大なセキュリティ脆弱性 CVE-2024-56404 (CVSS:9.9) が発見された。この脆弱性の悪用に成功した攻撃者は、権限の昇格を達成し、機密のシステム/データへの不正アクセスの可能性を得る。

Continue reading “One Identity Manager の脆弱性 CVE-2024-56404 (CVSS 9.9) が FIX:ただちにパッチを!”

IDOR 脆弱性がデータ漏洩に悪用されている:ACSC/CISA/NSA が共同勧告

Cybersecurity Agencies Warn Against IDOR Bugs Exploited for Data Breaches

2023/07/28 TheHackerNews — オーストラリアおよび米国のサイバーセキュリティ機関が、共同サイバー・セキュリティ・アドバイザリを発表した。同アドバイザリは、脅威アクターにより悪用される可能性のある、Web アプリケーションのセキュリティ脆弱性を警告するものだ。この脆弱性には、Insecure Direct Object Reference (IDOR) と呼ばれる特定のクラスのバグが含まれる。これはアクセス制御の脆弱性の一種であり、ユーザーから提供された入力または識別子を追加の検証なしに、データベース・レコードなどの内部リソースに、アプリケーションがダイレクトにアクセスする場合に発生する。

Continue reading “IDOR 脆弱性がデータ漏洩に悪用されている:ACSC/CISA/NSA が共同勧告”

WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX

WordPress Stripe payment plugin bug leaks customer order details

2023/06/13 BleepingComputer — WordPress 用プラグイン WooCommerce Stripe Gateway に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プラグイン経由で注文された購入履歴を、未認証の状態で閲覧できるようになる。WooCommerce Stripe Payment は、WordPress のEコマースサイト向けの決済ゲートウェイであり、現時点で、90万件のアクティブ・インストールがある。このプラグインを利用することで、それぞれの Web サイトから Stripe 決済処理 API を通じて、Visa/MasterCard/American Express/Apple Pay/Google Pay などによる決済が可能になる。

Continue reading “WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX”

Facebook ページの管理者情報が漏れる脆弱性:ネパールの 19歳が発見して報奨金をゲット

Facebook Patches Vulnerability Exposing Page Admin Identity

2021/12/21 SecurityWeek — Facebook は、ページの管理者の身元を明らかにするために、悪用される可能性のある脆弱性について、ネパールの 10代の研究者に $4,750 のバグバウンティ報酬を支払った。このソーシャル・メディア上で、自社ブランドの認知度を高めようとする企業は、この Facebook ページを利用きまるが、ページの管理権限を持つ Facebook の個人アカウントは非公開となっている。

Continue reading “Facebook ページの管理者情報が漏れる脆弱性:ネパールの 19歳が発見して報奨金をゲット”