ソースコードブラウズツールにOSコマンドインジェクションの脆弱性
ブラウザよりソースコードを参照するためのツール「LXR」にリモートよりコマンドを実行されるおそれがある脆弱性が含まれていることがわかった。
脆弱性情報のポータルサイトであるJVNによれば、検索フォームにOSコマンドインジェクションの脆弱性「CVE-2018-0545」が含まれていることが判明したもの。
同脆弱性は、波多野冬馬氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施。
報告を受けたLXR Projectでは、脆弱性に対処した「同2.3.1」をリリース。緩和策として検索機能の無効化などをアナウンスしている。
(Security NEXT - 2018/03/29 )
ツイート
PR
関連記事
ファイアウォール基盤「PAN-OS」に判明した脆弱性2件を修正 - Palo Alto
CrowdStrikeのWindows向け「Falconセンサー」に複数脆弱性
「Flowise」のRCE脆弱性 - 旧版に影響と説明
「Tenable Security Center」に脆弱性 - 権限外の操作が可能に
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
「AWS Client VPN」に権限昇格の脆弱性 - macOS版のみ影響
IBMのアクセス管理製品に深刻な脆弱性 - アップデートを提供
「Nagios Log Server」に複数脆弱性 - 3月の更新で修正
「Chrome」にアップデート、脆弱性3件を修正
「Unity」ランタイムに脆弱性 - 利用アプリは要再ビルド