政府3省の電子納品チェックソフトにXXE脆弱性 - アップデートを
防衛省や国土交通省、農林水産省が提供する一部電子納品システムに脆弱性が明らかとなった。アップデートが呼びかけられている。
具体的には、防衛省が提供する「電子納品物作成支援ツール」の工事版および業務版に「CVE-2024-21796」、国土交通省が提供する「電子納品チェックシステム」「電子納品物検査支援システム」に「CVE-2024-21765」、農林水産省が提供する電子納品チェックシステムの農業農村整備事業版に「CVE-2024-22380」が明らかとなったもの。
脆弱性情報のポータルサイトであるJVNによれば、いずれもXML外部実体参照(XXE)の脆弱性としており、細工されたXMLファイルを読み込ませると、システム内の任意のファイルを読み取られるおそれがあるという。
攻撃条件は複雑であり、ユーザーの関与なども必要となる一方、影響は大きくないことから、JPCERTコーディネーションセンターでは共通脆弱性評価システム「CVSSv3.1」のベーススコアをともに「2.5」と評価している。
いずれも脆弱性を修正したアップデートが提供されており、最新版へ更新するよう呼びかけられている。
(Security NEXT - 2024/01/26 )
ツイート
関連リンク
PR
関連記事
公開講座申込者向けの事前メールで誤送信 - 島根県立大
小学校で児童の個人情報含む絵画作品を紛失 - 大阪市
契約審査員がサポート詐欺被害、PC遠隔操作 - 海外貨物検査
システムにサイバー攻撃か、影響範囲を調査 - 日産化学
「SharePoint Server」の複数脆弱性悪用で対策呼びかけ - 米当局
データ分析可視化製品「Ivanti Xtraction」に複数脆弱性
「FortiOS」に複数脆弱性 - アップデートで修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
フィッシングURLが約4割減 - リンク使い回しも影響
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
