Zendesk Explore の深刻な脆弱性が FIX:GraphQL API で SQL インジェクションが発生

Researchers Reported Critical SQLi and Access Flaws in Zendesk Analytics Service

2011/11/15 TheHackerNews — サイバー・セキュリティ研究者たちが、Zendesk Explore に存在する欠陥 (パッチ適用済み) の詳細を公開した。この脆弱性の悪用に成功した攻撃者は、Explore 機能を ON にした顧客アカウントの情報に、不正にアクセスする可能性があったとされる。

Continue reading “Zendesk Explore の深刻な脆弱性が FIX:GraphQL API で SQL インジェクションが発生”

SonicWall 警告:SQL インジェクションの深刻な脆弱性へのパッチ適用を推奨

SonicWall: Patch critical SQL injection bug immediately

2022/07/22 BleepingComputer — 今日、SonicWall は、GMS (Global Management System)/Analytics On-Prem 製品における、SQL インジェクションの脆弱性に対してセキュリティ・アドバイザリを公開した。SonicWall PSIRT は、このアドバイザリで、Analytics On-Prem の以下のバージョンを使用しているユーザーに対して、パッチ適用済みバージョンへの迅速なアップグレードすることを強く推奨している。

Continue reading “SonicWall 警告:SQL インジェクションの深刻な脆弱性へのパッチ適用を推奨”

Microsoft Defender for IoT の深刻な脆弱性:PoC エクスプロイトが公開

Critical Vulnerabilities Found in Microsoft Defender for IoT

2022/03/29 SecurityWeek — 継続的な NDR (Network Detection and Respons) 機能を備えた Defender for IoT は、さまざまな IoT/OT/ICS デバイスをサポートし、オンプレミスとクラウドの双方へのデプロイメントが可能である。その Defender for IoT における、2つの深刻な脆弱性 CVE-2021-42311/CVE-2021-42313 は CVSS 値 が 10 であり、2021年12月の Microsoft Patch Tuesday で対処されている。どちらも SQL インジェクションの脆弱性であり、リモートの攻撃者による認証なしの悪用が可能となり、任意のコード実行を許すことになる。トークン検証プロセスに存在する CVE-2021-42313 は、UUID パラメータのサニタイズの欠如に起因すると SentinelLabs は説明している。

Continue reading “Microsoft Defender for IoT の深刻な脆弱性:PoC エクスプロイトが公開”

BillQuick Billing Software のリモート SQL インジェクションの脆弱性

Hackers Exploited Popular BillQuick Billing Software to Deploy Ransomware

2021/10/25 TheHackerNews — この金曜日に、サイバーセキュリティ研究者たちは、BillQuick という Time and Billing システムの複数のバージョンに存在する、現在パッチが適用されている深刻な脆弱性の情報を公開した。

Continue reading “BillQuick Billing Software のリモート SQL インジェクションの脆弱性”

オンプレ・データベース:企業の 50% が深刻な脆弱性を放置している

Nearly 50% of On-Premise Databases Have Vulnerabilities

2021/09/15 DarkReading — インターネット・セキュリティ企業の Imperva が、過去5年間に収集したデータを分析したところ、全企業の約半数が保有する内部データベースには、既知の脆弱性が存在することが分かった。それらのデータベースにおける公開された脆弱性の平均は 26個であり、そのうち半数以上が Critical もしくは High という、深刻度の高い問題である。

Continue reading “オンプレ・データベース:企業の 50% が深刻な脆弱性を放置している”

中小企業で活用される3つの OSS プロジェクトに9つの脆弱性が

Several Bugs Found in 3 Open-Source Software Used by Several Businesses

2021/07/27 TheHackerNews — この火曜日に、サイバー・セキュリティ研究者たちは、いくつかの中小企業で広く利用されている EspoCRM / Pimcore / Akaunting という、3つの OSS プロジェクトに影響を与える、9つの脆弱性を公開した。この脆弱性が悪用されると、より高度な攻撃への道が開かれてしまう可能性がある。EspoCRM v6.1.6 および、Pimcore Customer Data Framework v3.0.0、Pimcore AdminBundle v6.8.0、Akaunting v2.1.12 に影響を与えるセキュリティ上の欠陥は、公開後1日以内に修正されたと、Nokia の研究者である Wiktor Sędkowski と Rapid7の Trevor Christiansen は指摘している。

Continue reading “中小企業で活用される3つの OSS プロジェクトに9つの脆弱性が”

米国のフィルター製造会社がクレジット・カード情報漏えいで $200K の罰金を承諾

US water filter supplier pays $200K to settle credit card leak lawsuit

2021/05/21 DailySwig — Filters Fast は、2019年に発生したサイバー攻撃によるデータ漏えいの調査を進めるために、$200,000 を支払うことに合意した。米国で空気と水のフィルターを製造する同社は、ニューヨーク州司法長官事務所への支払に合意し、さらなる侵害の可能性を最小限に抑えるために、包括的な情報セキュリティ・プログラムを作成することにも合意した。$200,000 の支払いのうちの半分は前払いされ、残金は保留される。

Continue reading “米国のフィルター製造会社がクレジット・カード情報漏えいで $200K の罰金を承諾”