Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブフレームワーク「Laravel」の既知脆弱性、攻撃の標的に

ウェブアプリケーションフレームワーク「Laravel」において、2018年に判明、修正された既知の脆弱性に対する攻撃が発生している。米当局が注意を呼びかけた。

現地時間1月16日に米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が、「CVE-2018-15133」を「悪用が確認された脆弱性カタログ(KEV)」へ追加したもの。

「CVE-2018-15133」は、信頼できないデータをデシリアライズするため、リモートよりコードを実行されるおそれがある脆弱性。悪用には「APP_KEY」を事前に入手する必要があるとしている。

米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.1」、重要度は「高(High)」とレーティングされている。

同脆弱性は、2018年8月にリリースされた「同5.6.30」にて修正された。同脆弱性については、すでに実証コード「PoC」を含め、詳細が公開されている。

CISAでは、同カタログへ追加することで米行政機関に対して一定期間内に対応するよう促すとともに、広く悪用されるおそれがあるとして注意喚起を行っている。

(Security NEXT - 2024/01/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

VPN経由でランサム被害 - 産業機械開発設計会社
「PostgreSQL」にSQLi脆弱性が判明 - 修正版を公開
SonicWall製FW狙う脆弱性攻撃 - 更新できない場合は「SSL VPN」無効化を
F5、「BIG-IP」などに複数の脆弱性 - アップデートで修正
「SecHack365 2024」の成果発表会を都内で開催 - NICT
マイクロソフト、ブラウザ「MS Edge」最新版で脆弱性5件を解消
読プレ応募者情報が閲覧可能に、フォーム設定ミスで - 琉球新報
健診受診者のメールアドレスが流出 - 札幌市西健康づくりセンター
SMFGなど4社、合弁会社「SMBCサイバーフロント」設立
「Apache Ignite」にRCE脆弱性 – アップデートで修正