TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

Zoom (まとめ)

【脆弱性リスト】■2018年 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2018/11/30 CVE-2018-15715 NVD 9.8 CWE-20CWE-290 不適切な入力検証なりすましによる認証回避 ZSB-18001 ■2019年 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2019/07/09 CVE-2019-13449 NVD …

バックアップ製品「Arcserve UDP」に脆弱性 - 影響大きくPoCも公開

【ニュース】 ◆バックアップ製品「Arcserve UDP」に脆弱性 - 影響大きくPoCも公開 (Security NEXT, 2024/03/14) https://www.security-next.com/154858

SonicWallの「SonicOS」やメールセキュリティ製品に脆弱性

【ニュース】 ◆SonicWallの「SonicOS」やメールセキュリティ製品に脆弱性 (Security NEXT, 2024/03/14) https://www.security-next.com/154819

ビデオ会議サービス「Zoom Rooms」に複数の脆弱性

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/12 2024/01/26 CVE-2024-24692 NVD ZSB-24009 5.3(Zoom) CWE-367 チェック時間 使用時間 (TOCTOU) レース条件 2024/03/12 2024/01/26 CVE-2024-24693 NVD ZSB-24010 7.2(Zoom)…

FortiOS (まとめ)

【脆弱性リスト】■FortiOS 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2019/06/04 2018/07/06 CVE-2018-13379 NVD FG-IR-20-233FG-IR-18-384 9.8(NVD)9.1(Fortinet) CWE-22 パス・トラバーサル FG-IR-20-233, FG-IR-18-384 2022/10/10 202…

「FortiOS」のキャプティブポータルに深刻な脆弱性 - アップデートを

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/12 2023/09/14 CVE-2023-42789 NVD FG-IR-23-328 9.8(Fortinet) CWE-787 境界外書き込み 2024/03/12 2023/09/14 CVE-2023-42790 NVD FG-IR-23-327 8.1(Fortinet) CWE-121 ヒー…

Ivanti: Patch new Connect Secure auth bypass bug immediately

【訳】Ivanti:コネクト・セキュアの認証バイパス・バグを直ちに修正せよ 【図表】 出典: https://www.bleepingcomputer.com/news/security/ivanti-patch-new-connect-secure-auth-bypass-bug-immediately/ 【ニュース】 ◆Ivanti: Patch new Connect Secure …

「Flask App Builder」に脆弱性 - 「OpenID 2.0」使用時に影響

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/02/28 2024/02/05 CVE-2024-25128 NVD Flask 9.1(GitHub) CWE-287 不適切な認証 【ニュース】 ◆「Flask App Builder」に脆弱性 - 「OpenID 2.0」使用時に影響 (Security NEXT, 20…

IT資産管理用ツール「SKYSEA Client View」に複数の脆弱性

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/07 2024/02/27 CVE-2024-24964 NVD SKYSEA - - 2024/03/07 2024/02/27 CVE-2024-21805 NVD SKYSEA - - 【ニュース】 ◆IT資産管理用ツール「SKYSEA Client View」に複数の脆弱…

Mastodon vulnerability allows attackers to take over accounts

【訳】マストドンに脆弱性、攻撃者にアカウント乗っ取りを許す 【ニュース】 ◆Mastodon vulnerability allows attackers to take over accounts (BleepingComputer, 2024/02/03 10:09) [マストドンに脆弱性、攻撃者にアカウント乗っ取りを許す] https://www.…

Windows February 2024 updates fail to install with 0x800F0922 errors

【訳】Windowsの2024年2月の更新プログラムが0x800F0922エラーでインストールできない 【図表】Windowsの2024年2月の更新プログラムが0x800F0922エラーでインストールできない 出典: https://www.bleepingcomputer.com/news/microsoft/windows-february-2024…

DNS (まとめ)

【DNS】 ◆KeyTrap (まとめ) https://vul.hatenadiary.com/entry/KeyTrap 【関連まとめ記事】◆全体まとめ ◆ネットワークプロトコル (まとめ) https://vul.hatenadiary.com/entry/Network_Protocol

エレコム製無線ルータにOSコマンドインジェクションの脆弱性

【ニュース】 ◆エレコム製無線ルータにOSコマンドインジェクションの脆弱性 (NetSecurity, 2024/02/26 08:00) 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月20日、エレコム製無線ルータにおけ…

エレコム製無線 LAN ルータに複数の脆弱性

【ニュース】 ◆エレコム製無線 LAN ルータに複数の脆弱性 (NetSecurity, 2024/02/26 08:00) 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月20日、エレコム製無線 LAN ルータにおける複数の脆弱…

過信は禁物 生成AIが書いたソースコードの約3割に脆弱性が見つかる

【ニュース】 ◆過信は禁物 生成AIが書いたソースコードの約3割に脆弱性が見つかる (ITmedia, 2024/02/26 07:00) https://www.itmedia.co.jp/enterprise/articles/2402/26/news045.html

SonicWall「SMA 100シリーズ」の多要素認証機能に脆弱性

【ニュース】 ◆SonicWall「SMA 100シリーズ」の多要素認証機能に脆弱性 (Security NEXT, 2024/02/26) https://www.security-next.com/154137

White House urges devs to switch to memory-safe programming languages

【訳】ホワイトハウス、メモリ安全なプログラミング言語への移行を開発者に促す 【要約】 ホワイトハウスの国家サイバー局長室は、Rustなどのメモリ安全なプログラミング言語への移行をテック企業に促し、ソフトウェアのセキュリティ向上を目指す。これには…

CVE-2023-35708 (まとめ)

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/06/16 2023/06/15 CVE-2023-35708 NVD ベンダー 9.8(NVD) CWE-89 SQLインジェクション 【ニュース】 ◆ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古 (S…

CVE-2023-34362 (まとめ)

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/06/02 2023/06/02 CVE-2023-34362 NVD ベンダー 9.8(NVD) CWE-89 SQLインジェクション 【ニュース】■2023年 ◆「MOVEit Transfer」にゼロデイ脆弱性 - 侵害状況も確認を (Security…

CVE-2023-27350 (まとめ)

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/04/20 2023/02/28 CVE-2023-27350 NVD PaperCut 9.8(NVD)9.8(Zero Day Initiative) CWE-284 不適切なアクセス制御 【ニュース】■2023年 ◆人気の印刷管理ソフトウェア「PaperCut」…

CVE-2023-0669 (まとめ)

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/02/06 2023/02/03 CVE-2023-0669 NVD GoAnywhere 7.2(NVD) CWE-502 信頼できないデータのデシリアライゼーション 【データベース】 ◆CVE-2023-0669 (Mitre) https://cve.mitre.or…

CVE-2023-4966 (まとめ)

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/10/10 2023/09/14 CVE-2023-4966 NVD ベンダー 7.5(NVD)9.4(Citrix) CWE-119 バッファエラー 【ニュース】 ◆ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で…

ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/02/06 2023/02/03 CVE-2023-0669 NVD GoAnywhere 7.2(NVD) CWE-502 信頼できないデータのデシリアライゼーション 2023/04/20 2023/02/28 CVE-2023-27350 NVD PaperCut 9.8(NVD)9.…

EPSS (まとめ)

【要点】 ◎今後30日間にその脆弱性が悪用される確率を0%から100%の間で算出 【辞書】 ◆EPSSとは【用語集詳細】 (SOMPO CYBER SECURITY) https://www.sompocybersecurity.com/column/glossary/epss 【公開情報】 ◆The EPSS Model (First) https://www.first.o…

脆弱性に優先度を付けるツール「CVE_Prioritizer」 CVEやCVSSなど複数の評価指標を分析

【ニュース】 ◆脆弱性に優先度を付けるツール「CVE_Prioritizer」 CVEやCVSSなど複数の評価指標を分析 (ITmedia, 2024/02/21 11:08) 脆弱性対応が求められる昨今、どの脆弱性に優先的に対処するかは悩ましい問題だ。これを解消する新たなツールが公開されて…

ConnectWise urges ScreenConnect admins to patch critical RCE flaw

【訳】ConnectWise、ScreenConnect管理者にRCEの重大な欠陥にパッチを当てるよう促す 【ニュース】 ◆ConnectWise urges ScreenConnect admins to patch critical RCE flaw (BleepingComputer, 2024/02/20 11:48) [ConnectWise、ScreenConnect管理者にRCEの重…

VMware urges admins to remove deprecated, vulnerable auth plug-in

【訳】VMware、非推奨の脆弱な認証プラグインを削除するよう管理者に呼びかけ 【ニュース】 ◆VMware urges admins to remove deprecated, vulnerable auth plug-in (BleepingComputer, 2024/02/20 16:00) [VMware、非推奨の脆弱な認証プラグインを削除するよ…

23億人のユーザーが影響を受ける可能性 Wi-Fiソフトウェアに2つの脆弱

【ニュース】 ◆23億人のユーザーが影響を受ける可能性 Wi-Fiソフトウェアに2つの脆弱 (ITmedia, 2024/02/20 08:30) https://www.itmedia.co.jp/enterprise/articles/2402/20/news064.html

KeyTrap (まとめ)

【ニュース】 ◆「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる (ITmedia, 2024/02/19 08:00) https://www.itmedia.co.jp/enterprise/articles/2402/19/news054.html ⇒ https://vul.hatenadiary.com/entry/2024/02/19/00000…

「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる

【ニュース】 ◆「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる (ITmedia, 2024/02/19 08:00) https://www.itmedia.co.jp/enterprise/articles/2402/19/news054.html 【関連まとめ記事】◆全体まとめ ◆ネットワークプロトコ…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022