TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

米当局、「PAN-OS」を標的とするDoS攻撃に注意喚起

【概要】 DNSセキュリティ機能に存在。細工された「DNSパケット」を処理するとファイアウォールが再起動し、繰り返し攻撃を受けるとメンテナンスモードに移行 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/04/05 CVE-2024-3393 NVD Pal…

Apache Tomcat (まとめ)

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2017/03/14 2016/10/18 CVE-2016-8747 NVD Apache 7.5(NVD) CWE-200 情報漏えい 2017/04/12 2017/01/29 CVE-2017-5647 NVD Apache 7.5(NVD) CWE-200 情報漏えい 2017/04/12 2017/01/29…

「Apache Tomcat」に脆弱性 - 前回修正の不備が判明

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/20 2024/12/20 CVE-2024-56337 NVD Apache - CWE-367 Time-of-check Time-of-use (TOCTOU) 競合状態 【ニュース】 ◆「Apache Tomcat」に脆弱性 - 前回修正の不備が判明 (Secur…

Sophos (まとめ)

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/19 2024/12/17 CVE-2024-12727 NVD Sophos 9.8(Sophos) CWE-89 SQLインジェクション Sophos Firewall 2024/12/19 2024/12/17 CVE-2024-12728 NVD Sophos 9.8(Sophos) CWE-1391…

「Sophos Firewall」に複数の深刻な脆弱性 - 影響は1%未満

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/19 2024/12/17 CVE-2024-12727 NVD Sophos 9.8(Sophos) CWE-89 SQLインジェクション 2024/12/19 2024/12/17 CVE-2024-12728 NVD Sophos 9.8(Sophos) CWE-1391 弱い認証情報の…

中国製ネットワークカメラとDVRが攻撃者に狙われている、FBIが警告

【ニュース】 ◆中国製ネットワークカメラとDVRが攻撃者に狙われている、FBIが警告 (マイナビニュース, 2024/12/19 08:50) https://news.mynavi.jp/techplus/article/20241219-3089132/

Fortinetの複数製品に脆弱性 - 「クリティカル」も

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/18 2023/06/09 CVE-2023-34990 NVD FG-IR-23-144 9.8(Fortinet)9.8(CISA-ADP) CWE-94CWE-23 コード・インジェクション相対パストラバーサル FortiWLM 2024/12/18 2024/10/09 C…

「Apache Tomcat」に競合状態からコード実行が可能となる脆弱性

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/17 2024/10/23 CVE-2024-50379 NVD Apache 9.8(CISA-ADP) CWE-367 Time-of-check Time-of-use (TOCTOU) 競合状態 2024/12/17 2024/12/05 CVE-2024-54677 NVD Apache 5.3(CISA-…

NTTドコモ「home 5G HR02」などシャープ製ホームルーター、モバイルルーター6製品に複数の脆弱性。最新版ファームウェアに更新を

【ニュース】 ◆NTTドコモ「home 5G HR02」などシャープ製ホームルーター、モバイルルーター6製品に複数の脆弱性。最新版ファームウェアに更新を (Internet Watch, 2024/12/17 11:15) https://internet.watch.impress.co.jp/docs/news/1648167.html

CVE-2024-35250 / MSKSSRV特権昇格 (まとめ)

【ニュース】 ◆Windows kernel bug now exploited in attacks to gain SYSTEM privileges (BleepingComputer, 2024/12/16 14:50) [Windowsカーネルのバグが、SYSTEM特権を獲得するための攻撃に悪用される] https://www.bleepingcomputer.com/news/security/w…

NTTドコモ「home 5G HR02」などシャープ製ホームルーター、モバイルルーター6製品に複数の脆弱性。最新版ファームウェアに更新を

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/16 2024/12/02 CVE-2024-45721 NVD Sharp 7.7(JVN) CWE-78 ホスト名設定画面におけるOSコマンドインジェクション https://jvn.jp/jp/JVN61635834/index.html 2024/12/16 2024/…

Windows kernel bug now exploited in attacks to gain SYSTEM privileges

【訳】Windowsカーネルのバグが、SYSTEM特権を獲得するための攻撃に悪用される 【図表】 出典: https://www.bleepingcomputer.com/news/security/windows-kernel-bug-now-exploited-in-attacks-to-gain-system-privileges/ 【ニュース】 ◆Windows kernel bug…

「curl」にパスワードが漏洩する脆弱性 - アップデートを公開

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/11 2024/11/09 CVE-2024-11053 NVD Curl 3.4(CISA-ADP) - - 【ニュース】 ◆「curl」にパスワードが漏洩する脆弱性 - アップデートを公開 (Security NEXT, 2024/12/16) https:/…

「Splunk Enterprise」に複数の脆弱性 - アップデートで解消

【ニュース】 ◆「Splunk Enterprise」に複数の脆弱性 - アップデートで解消 (Security NEXT, 2024/12/13) https://www.security-next.com/165263

Adobe AcrobatとReaderに脆弱性、アップデートを

【ニュース】 ◆Adobe AcrobatとReaderに脆弱性、アップデートを (マイナビニュース, 2024/12/13 11:19) https://news.mynavi.jp/techplus/article/20241213-3084529/

Windows XP以降にセキュリティ検出回避の可能性、注意を

【ニュース】 ◆Windows XP以降にセキュリティ検出回避の可能性、注意を (マイナビニュース, 2024/12/13 08:29) https://news.mynavi.jp/techplus/article/20241213-3084724/

Apache Struts2 (まとめ)

【目次】 リスト 【脆弱性リスト】 CVE 【Apache Struts2】 記事 【ニュース】 【ブログ】 【公開情報】 【Exploit Code】 関連情報 【関連まとめ記事】 リスト 【脆弱性リスト】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2007/08/27 20…

Researchers find security flaws in Skoda cars that may let hackers remotely track them

【訳】研究者がシュコダ車のセキュリティ上の欠陥を発見、ハッカーによる遠隔追跡が可能に 【要約】 セキュリティ研究者がシュコダ車のインフォテインメントユニットに12件の脆弱性を発見し、ハッカーがBluetooth経由で遠隔から車両のGPSデータの追跡、会話…

「Apache Struts」に深刻な脆弱性 - リモートよりコード実行のおそれ

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/11 2024/11/21 CVE-2024-53677 NVD S2-067 9.5(Apache)[CVSS4.0] CWE-434 危険なタイプのファイルの無制限アップロード S2-067 【ニュース】 ◆「Apache Struts」に深刻な脆弱…

New Windows zero-day exposes NTLM credentials, gets unofficial patch

【訳】Windowsの新たなゼロデイによりNTLM認証情報が暴露され、非公式パッチが提供される 【要約】 Windowsのゼロデイ脆弱性により、ユーザーが悪意のあるファイルを閲覧するだけでNTLM認証情報が漏洩する可能性が発見されました。この脆弱性はWindows 7から…

I-O Data (まとめ)

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/04 2024/11/22 CVE-2024-45841 NVD I-O Data 6.5(JVN) CWE-732 不適切なアクセス権限付加 https://jvn.jp/jp/JVN46615026/ 2024/12/04 2024/11/22 CVE-2024-47133 NVD I-O Dat…

アイ・オーのLTEルーター「UD-LT1」「UD-LT1/EX」に複数の脆弱性、ファームウェア更新と設定の確認を

【図表】 出典: https://internet.watch.impress.co.jp/docs/news/1644924.html 【ニュース】 ◆アイ・オーのLTEルーター「UD-LT1」「UD-LT1/EX」に複数の脆弱性、ファームウェア更新と設定の確認を (Internet Watch, 2023/12/04 16:00) 悪用した攻撃が確認さ…

11月は脆弱性22件の悪用に注意を喚起 - 米当局

【図表】 出典: https://www.security-next.com/164916 【ニュース】 ◆11月は脆弱性22件の悪用に注意を喚起 - 米当局 (Security NEXT, 2024/12/04) https://www.security-next.com/164916

アイ・オー製ルータ「UD-LT1」などに脆弱性 - すでに悪用も

【ニュース】 ◆アイ・オー製ルータ「UD-LT1」などに脆弱性 - すでに悪用も (Security NEXT, 2024/12/04) https://www.security-next.com/164959 【関連まとめ記事】◆全体まとめ ◆ベンダー (まとめ) ◆I-O Data (まとめ) https://vul.hatenadiary.com/entry/I-…

アイ・オー・データ製ルーターUD-LT1およびUD-LT1/EXにおける複数の脆弱性

【概要】 CVE CVSS v3 CWE 内容 CVE-2024-45841 6.5 CWE-732 不適切なアクセス権限付加 CVE-2024-47133 7.2 CWE-78 OSコマンドインジェクション CVE-2024-52564 7.5 CWE-1242 ドキュメント化されていない機能 【公開情報】 ◆アイ・オー・データ製ルーターUD-…

Japan warns of IO-Data zero-day router flaws exploited in attacks

【訳】日本、IO-Data製ゼロデイ脆弱性を突いた攻撃が発生したルーターに警告 【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/04 2024/11/22 CVE-2024-45841 NVD I-O Data 6.5(JVN) CWE-732 不適切なアクセス権限付加 https:/…

アイ・オー・データ機器のルータに緊急の脆弱性、すぐに対応を

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/12/04 2024/11/22 CVE-2024-45841 NVD I-O Data 6.5(JVN) CWE-732 不適切なアクセス権限付加 https://jvn.jp/jp/JVN46615026/ 2024/12/04 2024/11/22 CVE-2024-47133 NVD I-O Dat…

【訳】Veeam、サービスプロバイダコンソールにおける重大なRCEバグを警告 【要約】 Veeamは、サービスプロバイダコンソール(VSPC)における重大なリモートコード実行(RCE)脆弱性(CVE-2024-42448、深刻度9.9)と、NTLMハッシュの盗難に関連する脆弱性(CV…

New Windows Server 2012 zero-day gets free, unofficial patches

【訳】Windows Server 2012の新たなゼロデイ脆弱性、非公式パッチが無料公開 【ニュース】 ◆New Windows Server 2012 zero-day gets free, unofficial patches (BleepingComputer, 2024/11/29 12:00) [Windows Server 2012の新たなゼロデイ脆弱性、非公式パ…

Microsoft re-releases Exchange updates after fixing mail delivery

【訳】マイクロソフト、メール配信の不具合を修正したExchangeの更新プログラムを再リリース 【ニュース】 ◆Microsoft re-releases Exchange updates after fixing mail delivery (BleepingComputer, 2024/11/27 17:34) [マイクロソフト、メール配信の不具合…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022