「MOVEit Transfer」にあらたな脆弱性 - 5月末以降、3度目の更新

現地時間5月31日に公開したアップデートでは、ウェブアプリケーションにおけるSQLインジェクションの脆弱性「CVE-2023-34362」を修正した。

同脆弱性に対しては、ランサムウェアを展開することで知られるグループによってゼロデイ攻撃が展開されている。

3月以降に悪用されていた可能性も指摘されており、脆弱性を修正するだけでなく、既存環境が侵害されていないか調査し、必要に応じて対策を講じるよう呼びかけられていた。

現地時間6月9日には当時CVE番号の採番がないまま、「CVE-2023-34362」とは異なるSQLインジェクションが複数存在することをアドバイザリで公表。アップデートをリリースした。

その後、同脆弱性に関しては6月12日に「CVE-2023-35036」が採番されている。

（Security NEXT - 2023/06/19 ） ツイート

PR

関連記事

Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
「AdGuard Home」に深刻な脆弱性 - 修正版が公開
海外子会社にサイバー攻撃、経路や影響を調査 - 河西工業
GitLab、セキュリティアップデートを公開 - 脆弱性15件に対応
Veeam製バックアップ管理ソフトに深刻な脆弱性 - アップデートが公開
前回更新から2日で「Chrome」がアップデート - ゼロデイ脆弱性を緊急修正
1月はフィッシング報告数が6.2％増 - URL件数は減少
ランサム被害で第三者操作の形跡、個人情報流出か - 不動産管理会社
関係者向け事務連絡メールで誤送信 - 日本医療研究開発機構
研究室サーバに不正アクセス、学外サーバ侵害からの連鎖で - 東大