「Magento」「VMware vCenter」など脆弱性3件の悪用を確認 - 米当局が注意喚起

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、脆弱性3件について悪用が確認されているとし、注意喚起を行った。

現地時間7月17日に3件の脆弱性を「悪用が確認された脆弱性カタログ（KEV）」へあらたに登録し、行政機関へ対応を促すとともに、広く利用者へ注意喚起を行ったもの。

具体的には、eコマースプラットフォームの「Adobe Commerce」やオープンソースである「Magento」に判明したリモートよりコードの実行が可能となるXML外部実体参照（XXE）の脆弱性「CVE-2024-34102」を追加した。

Adobeでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」とし、6月に脆弱性を修正するアップデートをリリースしている。

またファイル転送やファイル共有などの機能を提供するサーバソフトウェア「SolarWinds Serv-U」に判明したパストラバーサルの脆弱性「CVE-2024-28995」を同リストへ登録した。脆弱性を悪用するとホスト上のファイルを読み取られ、重要な情報が漏洩するおそれがある。

さらに2022年に判明した「VMware vCenter Server」の脆弱性「CVE-2022-22948」についてもカタログへ加えた。デフォルトのファイル権限に問題があり、リモートの攻撃者によって機密情報を取得されるおそれがある。

（Security NEXT - 2024/07/19 ）ツイート