「Adobe ColdFusion」や「Windows」の脆弱性悪用に注意喚起 - 米当局
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、「Adobe ColdFusion」や「Windows」における既知の脆弱性が悪用されているとして注意喚起を行った。
前日のCleoの複数製品に判明した「CVE-2024-50623」の登録に続いて、あらたに脆弱性2件「CVE-2024-20767」「CVE-2024-35250」を「悪用が確認された脆弱性カタログ(KEV)」へ追加したもの。米国内の行政機関へ対応を促すとともに、注意を呼びかけた。
「CVE-2024-20767」は、「Adobe ColdFusion」に明らかとなったアクセス制御不備の脆弱性。インターネット上に公開されている管理画面を通じてファイルの読み込みが可能となる。
Adobeでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.2」、重要度を「クリティカル(Critical)」として3月の月例セキュリティパッチで修正。利用者に対応を呼びかけていた。
一方「Windows」のカーネルモードドライバにおいて信頼されないポインタを参照するために権限昇格が可能となる「CVE-2024-35250」についても悪用されている。
マイクロソフトではCVSS基本値を「7.8」、重要度を上から2番目にあたる「重要(Important)」とし、6月の月例セキュリティ更新で対応していた。
(Security NEXT - 2024/12/17 )
ツイート
PR
関連記事
「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を
スパム対策機器にゼロデイ攻撃、ディレクトリサーバに横展開 - 慶応大
高齢者調査名簿や調査票が所在不明に - 名古屋市
ボランティア連絡用端末で誤送信、メアドが流出 - 奈良県
寝台列車「TWILIGHT EXPRESS」の乗客情報を消失 - 誤操作か
メール転送エージェント「Exim」に脆弱性 - 「クリティカル」評価も
「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性
ワークフローツール「n8n」に今月3件目の「クリティカル」脆弱性
先週注目された記事(2025年12月21日〜2025年12月27日)
「IBM API Connect」に認証回避の脆弱性 - 暫定修正を提供
