「Apache Commons Configuration」に深刻な脆弱性 - アップデートを
Javaアプリケーションにおいて構成データの取得機能を提供するライブラリ「Apache Commons Configuration」に深刻な脆弱性が明らかとなった。
変数を補間し、プロパティを動的に評価、拡張できる機能において、信頼できない設定値を使用すると、リモートよりサーバへのアクセスが可能となったり、コードの実行が可能となる脆弱性「CVE-2022-33980」が明らかとなったもの。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」と評価されており、重要度は、最高値となる「クリティカル(Critical)」とレーティングされている。
開発チームでは、今回脆弱性が明らかとなった機能をデフォルトで無効とした「同2.8.0」をリリース。利用者に対して同バージョンへのアップデートするよう呼びかけている。
(Security NEXT - 2022/07/15 )
ツイート
PR
関連記事
サポート詐欺被害、個人情報含む業務用端末が遠隔操作 - 宮崎日大学園
「偽警告」相談が2割増 - 「フィッシング」関連は1.5倍に
住民向け土石流異常通知メール、試験配信でメアド流出 - 静岡県
ゼロデイ攻撃の調査結果、一部流出もPW含まず - TOKAIコミュニケーションズ
カーテン通販サイトで決済アプリ改ざん - 個人情報流出の可能性
Atlassian、前月のアップデートで脆弱性のべ34件に対処
悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を
「MS Office」にゼロデイ脆弱性、すでに悪用も - アップデートを公開
顧客にフィッシングメール、予約システム侵害か - HOTEL CYCLE
提出先に誤ったメアド、職員や家族の個人情報が第三者に - 農水省
