米CISA、ファイル共有ツールなどの脆弱性3件を悪用リストに追加
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は12月3日、あらたに3件の脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加した。
ファイル共有ツール「ProjectSend」において認証なしにアプリケーションの設定を変更できる脆弱性「CVE-2024-11680」や、Zyxel製ファイアウォールに判明したパストラバーサルの脆弱性「CVE-2024-11667」を追加した。
また2023年に明らかとなったノースグリッドの「Proself」におけるXML外部実体参照(XXE)の脆弱性「CVE-2023-45727」を追加。同脆弱性に関してはゼロデイ攻撃も確認されている。
同庁では、同国行政機関に対し、指定期間内にこれら脆弱性へ対処するよう求めるとともに、脆弱性そのものは広く悪用されるおそれがあるとして、利用者に注意を呼びかけた。
また同庁は、「Lunar Peek作戦」に関連する脆弱性「CVE-2024-0012」「CVE-2024-9474」に関する情報についても確認し、対策を講じるようあわせて注意を呼びかけている。
(Security NEXT - 2024/12/04 )
ツイート
PR
関連記事
動物保護管理センターで緊急連絡用携帯電話を一時紛失 - 新潟県
HPE Arubaの「AOS」に複数の脆弱性 - アップデートを公開
「Node.js」に複数脆弱性 - 1月21日にアップデート予定
「Node.js」のEOL版に重大な脆弱性 - すみやかに更新を
委託先で法定調書作成用の資料を誤送信 - 東急グループ会社
保護者の同意書を紛失、小学校職員室の机で保管 - 神戸市
「Sentry」のSSOに脆弱性 - なりすましのおそれ
Ivanti、3製品でアップデートを公開 - 脆弱性を解消
「Aviatrix Controller」の脆弱性悪用に注意喚起 - 米当局
「NVIDIA Container Toolkit」に複数脆弱性 - アップデートを公開