「SharePoint」「FortiWeb」の脆弱性悪用に警告 - 即日対応の緊急要請も
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、「SharePoint」や「FortiWeb」に確認された脆弱性へ対策を講じるよう注意喚起を行った。
現地時間7月18日から20日にかけて「悪用が確認された脆弱性カタログ(KEV)」を更新したもの。7月18日に「FortiWeb」に関するSQLインジェクションの脆弱性「CVE-2025-25257」を追加。同月20日には「SharePoint」で確認された「CVE-2025-53770」を追加している。
とくに「CVE-2025-53770」は、信頼できないデータをデシリアライズする脆弱性で、リモートから任意のコードを実行することが可能。一部では別名「ToolShell」とも呼ばれている。
認証を必要とすることなく、攻撃者によってファイルシステムや内部構成を含む「SharePoint」のコンテンツに対して完全なアクセスを取得でき、危険性の高さが指摘されている。
「KEV」は、米国内の行政機関へ指定期間内に修正することを促し、法的な拘束力も持つが、「CVE-2025-53770」については現地時間7月20日の登録に対し、翌21日までにアップデートや緩和策を実施するよう求めるなど、非常に緊急性が高い。
(Security NEXT - 2025/07/22 )
ツイート
PR
関連記事
Pixarの3D記述フレームワーク「OpenUSD」に深刻な脆弱性 - PoCも公開
「Sitecore」や「Linuxカーネル」の脆弱性悪用に注意喚起 - 米当局
「Android」の2025年9月パッチが公開 - ゼロデイ脆弱性2件を解消
「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
コンテナセキュ基盤「NeuVector」に脆弱性 管理者パスワードの変更を
「ImageMagick」に脆弱性 - 不特定多数の画像処理で影響大
セイコーソリューションズ製IoT機器向けルータに深刻な脆弱性
「WhatsApp」とApple製品の脆弱性、連鎖させて攻撃か
「Argo CD」に深刻な脆弱性 - APIで認証情報漏洩のおそれ
米当局、TP-Link製ルータ2件の脆弱性悪用を確認 - 利用中止も勧告
