「NGINX Controller」や「NGINX」向けモジュールに脆弱性が判明
「NGINX Controller」や「NGINX」向けの一部モジュールに脆弱性が明らかとなった。
「NGINX Controller」では、認証なしにユーザーアカウントを作成できる権限昇格の脆弱性「CVE-2020-5863」が判明した。リモートよりAPIへアクセスできる第三者によって特権を持たないユーザーアカウントが作成できる。
意図せず作成されたユーザーではあらたなライセンスをアップロードでき、DoS攻撃などに悪用されるおそれがあるという。ただし、他コンポーネントを表示したり、変更することはできないとしている。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」で重要度は「高」。F5では脆弱性に対処した「同3.2.0」をリリースしている。
また「StrongLoop Process Manager」のインスタンスにリバースプロクシやロードバランシングを提供する「NGINX」向けモジュール「StrongLoop Nginx Controller」にコマンドの実行が可能となる脆弱性「CVE-2020-7621」が明らかとなった。
「同1.0.2」までが影響を受けるとされており、「CVSSv3.1」のベーススコアは「9.8」。重要度は「クリティカル(Critical)」で実証コード(PoC)も公開されている。
(Security NEXT - 2020/04/07 )
ツイート
PR
関連記事
「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Cisco IOS XR」にDoSや署名バイパスの脆弱性 - 修正版リリース
「Zoom Workplace」に複数の脆弱性 - 最新版で修正済み
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
Ivantiのエンドポイント管理やリモートアクセス製品に脆弱性
デバッグ支援ツール「NVIDIA NVDebug tool」に複数の脆弱性
ネットワーク監視ツール「Stork」に脆弱性 - DoS攻撃のおそれ
GitLab、バグ報奨金プログラムで報告された脆弱性6件を解消
「Adobe Commerce」「Magento」に深刻な脆弱性 - Adobeと外部で温度差
MS、月例セキュリティ更新80件を公開 - 「緊急」8件などに対応
