「Tenable Identity Exposure」に脆弱性 - 2月の更新で修正済み
Tenableは、2月に公開した「Tenable Identity Exposure」のアドバイザリを更新し、あわせて3件の脆弱性に対処していたことを明らかにした。
同社は、現地時間2月20日に「同3.59.4」をリリース。同アドバイザリでサードパーティ製コンポーネントに起因する脆弱性2件へ対処したことを明らかにしているが、7月9日にアドバイザリを更新し、同社製品に起因する別の脆弱性も修正していたことを明らかにした。
具体的には、管理者権限を持つ場合に、ほかの管理者をだましてペイロードを実行させるフォーミュラインジェクションの脆弱性「CVE-2024-3232」が含まれていたという。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.6」と評価している。
2月当初の段階では、同製品で利用するコンポーネント「ASP.NET Core」の脆弱性「CVE-2024-0057」「CVE-2024-20672」に対処していたことを明らかにしていた。
いずれもマイクロソフトが1月の月例セキュリティ更新で対応した脆弱性。MSではCVSS基本値をそれぞれ「9.1」「7.5」としているが、Tenableは「CVE-2024-0057」を「9.8」と評価。
セキュリティアドバイザリの重要度を「クリティカル(Critical)」とレーティングし、パッチの適用を強く推奨していた。
(Security NEXT - 2024/07/26 )
ツイート
PR
関連記事
環境省公開ファイルに経産省の個人情報 - 同一委託先でデータ混入
「GitLab」にセキュリティアップデート - 複数脆弱性を修正
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
「Cisco Catalyst SD-WAN」に深刻な脆弱性 - すでに悪用も
「Firefox 148」で50件超の脆弱性を修正 - AI制御機能の追加も
「LANSCOPE エンドポイントマネージャー」に深刻なRCE脆弱性
ファイル転送製品「SolarWinds Serv-U」に複数RCE脆弱性
生徒の個人情報を飲酒後に紛失、中学校教諭を処分 - 川崎市
支援事業補助金の募集メールで誤送信 - 香川県観光協会
フィッシングサイトの撲滅競技 - 2週間で2828件をテイクダウン
