「Magento」「VMware vCenter」など脆弱性3件の悪用を確認 - 米当局が注意喚起
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、脆弱性3件について悪用が確認されているとし、注意喚起を行った。
現地時間7月17日に3件の脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へあらたに登録し、行政機関へ対応を促すとともに、広く利用者へ注意喚起を行ったもの。
具体的には、eコマースプラットフォームの「Adobe Commerce」やオープンソースである「Magento」に判明したリモートよりコードの実行が可能となるXML外部実体参照(XXE)の脆弱性「CVE-2024-34102」を追加した。
Adobeでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とし、6月に脆弱性を修正するアップデートをリリースしている。
またファイル転送やファイル共有などの機能を提供するサーバソフトウェア「SolarWinds Serv-U」に判明したパストラバーサルの脆弱性「CVE-2024-28995」を同リストへ登録した。脆弱性を悪用するとホスト上のファイルを読み取られ、重要な情報が漏洩するおそれがある。
さらに2022年に判明した「VMware vCenter Server」の脆弱性「CVE-2022-22948」についてもカタログへ加えた。デフォルトのファイル権限に問題があり、リモートの攻撃者によって機密情報を取得されるおそれがある。
(Security NEXT - 2024/07/19 )
ツイート
PR
関連記事
関係者リストを誤送信、入力用様式と同一ファイル名で取り違え - 堺市
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
防災メールサービスが迷惑メール送信に悪用 - 和歌山県
会合で患者の個人情報を示唆、職員を処分 - 佐賀県医療センター好生館
グループ会社に不正アクセス、業務関連情報が流出か - ABCテレビ
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
介護サービスの評価システムにサイバー攻撃 - システムを一時停止
