Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ZendTo」旧版に深刻な脆弱性 - 4年越しにCVE採番

変更ログで「セキュリティ修正」との記載があったものの、CVE番号が割り当てられていなかった。重要度や具体的な技術的な詳細について言及されておらず、調査を行ったところ影響が大きい脆弱性であることが判明したという。

また同時に別の脆弱性「CVE-2025-32352」も発見された。「MD5ハッシュ」を持つユーザーより認証のバイパスが可能となる脆弱性で、「同5.04-7」以降で修正されており、アップデート後にパスワードのハッシュ値を更新させる必要があるという。

発見した研究者は、CVE番号が発行されていないからといって、脆弱性が存在しないわけではないと指摘。アップデート時の修正内容を見ることで、脆弱性スキャナでは検出できないリスクが明らかとなる場合もあると今回の教訓について述べている。

(Security NEXT - 2025/04/08 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Firefox」にメモリ破壊の脆弱性 - 任意コード実行のおそれ
「Cisco Unified CM」のSSRF脆弱性、悪用に注意
「macOS Tahoe 26.5.2」公開 - 脆弱性37件を修正
「IBM Db2」に深刻な脆弱性 - 暫定的な修正を提供
米当局、「SharePoint Server」の脆弱性悪用に注意喚起
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正
「Adobe Campaign Classic」に悪用リスクが高い脆弱性