Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

VR空間プラットフォーム「Hubs Cloud」に認証情報流出のおそれ

Mozilla FoundationのVR空間構築プラットフォーム「Hubs Cloud」に深刻な脆弱性が明らかとなった。すでに脆弱性は修正済みとする一方、修正以前に悪用された場合、認証情報を取得されているおそれがあり、利用者に注意を呼びかけている。

「Hubs Cloud」を構成する「Reticulum」において、プロクシ構成に脆弱性「CVE-2021-29954」が判明したもの。内部URLへのアクセスを過大に許容していたため、Hubs Cloudインスタンスの認証情報へアクセスが可能となっていた。Mozillaでは重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。

AWS Marketplaceにおいて、すでに既存およびあらたなインスタンスに対してパッチを適用済みとしているが、パッチ適用前に脆弱性を悪用された場合、認証情報を取得されているおそれがあるため、実行中のインスタンスについてログより悪用の有無を確認するよう利用者へ注意喚起を行っている。

(Security NEXT - 2021/05/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Cisco ISE」の脆弱性、順次パッチ提供 - リリース後は悪用コードが利用可能に
狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起
「スシロー」のAndroidアプリにパスワード漏洩のおそれ - アップデートを
「VMware vROps」にCSRFの脆弱性 - アップデートが公開
脅威情報共有プラットフォーム「MISP」に脆弱性 - パッチで修正
脆弱性スキャナ「Nessus」にセキュリティアップデート
「VMware vRealize Log Insight」の深刻な脆弱性、PoCが公開
コンテナ管理プラットフォーム「Rancher」に深刻な脆弱性
macOS向けアップデート - 複数脆弱性を修正
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性