Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ヘッドレスCMS「Directus」に権限昇格の脆弱性 - アップデートが公開

ヘッドレスCMSの「Directus」に権限昇格が可能となる脆弱性が明らかとなった。アップデートが提供されている。

「同9.6.0」および以前のバージョンのファイルアップロード機能に、「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2022-24814」が明らかとなったもの。

脆弱性を悪用して細工したHTMLファイルをアップロードし、任意の「JavaScript」を実行させることが可能。GitHubによる共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」と評価されている。NVDによる評価は「6.1」。

以前、類似の脆弱性「CVE-2022-22116」「CVE-2022-22117」が明らかとなり、1月に公開された「同9.4.2」にて対策が施されたが、対応が不十分でバイパスが可能だったという。

同月にSynopsysの研究者が脆弱性を発見し、報告。開発チームでは脆弱性に対処した「同9.7.0」を3月にリリースした。その後も更新が実施されており、4月14日の段階で最新版は「同9.8.0」となっている。

(Security NEXT - 2022/04/14 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

macOS向けアップデート - 複数脆弱性を修正
委託先にサイバー攻撃、顧客などへ脅迫メール届く - 北関東マツダ
様式と誤って個人情報含むファイルをメール送信 - 嘉手納町
調達業務の見積依頼で、受信者間にメアド流出 - 日本国際協力システム
多数システムでランサム被害、復旧や事業継続に追われる - ならコープ
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性
「BIND 9」にサービス拒否の脆弱性 - アップデートが公開
メール誤送信で見学会予約者のメアド流出 - NEXCO東日本
MS&ADと米インシュアテック企業、サイバーリスク可視化で共同開発