図書館向け資料検索システム「VuFind」に複数の脆弱性
オープンソースの資料検索システム「VuFind」に複数の脆弱性が明らかとなった。2月にリリースされたアップデートで修正済みだという。
開発者が現地時間5月22日にアドバイザリ2件を公開し、サーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2024-25737」「CVE-2024-25738」について明らかにしたもの。
脆弱性を悪用されると、管理者パネルにアクセスされ、リモートよりコードを実行されたり、クロスサイトスクリプティング(XSS)攻撃を受けるおそれがある。いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は「クリティカル(Critical)」とレーティングされている。
いずれも現地時間2月12日にリリースされた「同9.1.1」にて修正済みだという。開発者は、すぐに同バージョンへ更新するか、緩和策を講じるよう利用者に注意を呼びかけている。
(Security NEXT - 2024/05/28 )
ツイート
PR
関連記事
勤務時間に60時間以上に私的ネット閲覧、副校長処分 - 横浜市
エンプラサーバなどに採用されるAMI製「BMC」にRCE脆弱性
KDDIのホームゲートウェイ「HGW-BL1500HM」に複数脆弱性
インスタアカウントが乗っ取り被害 - 泉大津市のホテル
VPN経由でランサム攻撃、情報の外部公開を確認 - ベル・データ
ネットワーク設定変更で不備、個人情報流出の可能性 - ファストリ
「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府
SAP、3月の月例パッチを公開 - 新規アドバイザリ21件を公開
Google製脆弱性スキャナの最新版「OSV-Scanner 2.0.0」が公開
サーバ製品「HPE Cray XD670」の管理ソフトに深刻な脆弱性