悪用が確認された脆弱性カタログ(KEV)
【訳】NIST、悪用される脆弱性のバックログは解消されたが、全リストの年内目標は困難と発表 【要約】 NIST(米国立標準技術研究所)は、未解析の悪用された脆弱性(KEV)のバックログを解消したと発表しましたが、全脆弱性の完全分析と年内のバックログ解消…
【KEV追加リスト】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/07/10 2024/06/12 CVE-2024-5910 NVD ベンダー 9.8(NVD) CWE-306 重要な機能に対する認証の欠如 Palo Alto Expedition 2024/10/29 2024/10/29 CVE-2024-51567 NVD ベン…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/07/09 2024/06/11 CVE-2024-38094 NVD Microsoft 7.2(Microsoft) CWE-502 信頼できないデータのデシリアライゼーション Exploit Code あり 2024/07/09 2024/06/11 CVE-2024-38023…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/08/05 2024/06/20 CVE-2024-38856 NVD Apache 8.1(CISA-ADP) CWE-863 不正な認証 【ニュース】 ◆「Apache OFBiz」の脆弱性が標的に - 今月2件目の悪用リスト追加 (Security NEXT,…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/01/24 2024/01/23 CVE-2024-23897 NVD Jenkins 9.8(NVD)9.8(CISA-ADP) CWE-22CWE-27 パス・トラバーサルパストラバーサル (dir/../../filename) ■KEV リスト cveID プロジェクト …
malware-log.hatenablog.com【目次】 ■2021年 ■2022年 ■2023年 ◇2023年1月 ◇2023年2月 ◇2023年4月 ◇2023年5月 ◇2023年6月 ◇2023年7月 ◇2023年8月 ◇2023年9月 ◇2023年10月 ◇2023年11月 ◇2023年12月 ■2024年 ◇2024年1月 ◇2024年2月 ◇2024年3月 ◇2024年4月 ◇202…
malware-log.hatenablog.com 【ニュース】■2022年◇2022年3月 ◆CISAによる既知の脆弱性大量登録、攻撃を増やす逆効果の懸念も (マイナビニュース, 2022/03/15 20:49) https://news.mynavi.jp/techplus/article/20220315-2293568/ ◇2022年9月 ◆米政府の悪用済…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/08/13 2024/06/11 CVE-2024-38106 NVD ベンダー 7.0(Microsoft) CWE-591 不適切なロックがかけられたメモリへの機密データ保存 Windowsカーネルの特権昇格脆弱性 2024/08/13 2024…
【ニュース】 ◆米当局、Linuxカーネルの脆弱性など3件を悪用リストに追加 (Security NEXT, 2024/05/31) https://www.security-next.com/157792 【参考情報】 ◆Known Exploited Vulnerabilities Catalog (CISA) https://www.cisa.gov/known-exploited-vulnera…
【公開情報】 ◆アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~ (IPA, 2024/04/18) https://www.ipa.go.jp/security/security-alert/2024/alert_orb.html
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/05/09 2023/01/31 CVE-2023-24955 NVD Microsoft 7.2(Microsoft) - - 【ニュース】 ◆「SharePoint Server」の脆弱性悪用に要警戒 - 米当局が注意喚起 (Security NEXT, 2024/03/27)…
【訳】CISAは、Microsoft SharePointのRCEバグを積極的に悪用されているとしている 【要約】 CISAは、Microsoft SharePointのコードインジェクションの脆弱性を積極的に悪用されていると判断し、重大な特権昇格の欠陥と連鎖してリモートコード実行攻撃を警告…
【訳】フォーティネットの重大な欠陥、15万台の露出したデバイスに影響か 【図表】 FortiOSおよびFortiProxyの脆弱なバージョンを持つデバイス (Shadowserver Foundation) 出典: https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/06/13 2023/04/04 CVE-2023-29360 NVD Microsoft 8.4(Microsoft) - - 【ニュース】 ◆「Microsoft Streaming Service」の脆弱性に対する攻撃に注意 (Security NEXT, 2024/03/01) h…
malware-log.hatenablog.com 【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/05/24 2023/05/11 CVE-2023-33246 NVD ベンダー 9.8(NVD) CWE-94 コード・インジェクション 【ニュース】 ◆「Apache RocketMQ」に対する攻撃が発生 -…
【ニュース】 ◆国内メーカー製太陽光発電計測機器の脆弱性が標的に - 米当局が注意喚起 (Security NEXT, 2023/07/14) https://www.security-next.com/147847 【関連まとめ記事】◆全体まとめ ◆アプリケーション (まとめ) ◆SolarView (まとめ) https://vul.hat…
【概要】 公開日 登録日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2023/07/06 2021/03/26 CVE-2021-29256 NVD 8.8(NVD) CWE-416 解放済みメモリの使用 https://developer.arm.com/support/arm-security-updates/mali-gpu-kernel-driver 【ニュース】 ◆Arm製GPU…
【ニュース】 ◆米政府、脆弱性6件の悪用について注意喚起 (Security NEXT, 2023/06/23) https://www.security-next.com/147238 【関連まとめ記事】◆全体まとめ ◆悪用が確認された脆弱性カタログ(KEV) (まとめ) https://vul.hatenadiary.com/entry/KEV
【訳】CISA、スパイウェア攻撃に悪用されたiPhoneのバグにパッチを当てるよう各機関に命令 【ニュース】 ◆CISA orders agencies to patch iPhone bugs abused in spyware attacks (BleepingComputer, 2023/06/23 14:06) [CISA、スパイウェア攻撃に悪用された…
【訳】CISA、政府機関にロシアのハッカーに悪用されたバグのパッチを当てるよう命令 【ニュース】 ◆CISA orders govt agencies to patch bugs exploited by Russian hackers (BleepingComputer, 2023/06/22 15:04) [CISA、政府機関にロシアのハッカーに悪用…
【ニュース】 ◆米政府、印刷管理ソフトの脆弱性で注意喚起 - ランサムグループも悪用 (Security NEXT, 2023/05/12) https://www.security-next.com/146068 【関連情報】 ◆米政府、印刷管理ソフトの脆弱性で注意喚起 - ランサムグループも悪用 (Security NEXT…
【概要】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2023/05/01 CVE-2023-21839 NVD 7.5(Oracle) - - 2023/05/01 CVE-2021-45046 NVD 9.0(NVD) CWE-502 信頼できないデータのデシリアライゼーション https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-005429…
OWASSRF
【概要】 CVE番号 脆弱性内容 CVE-2022-41091 Microsoft Windows Mark of the Web (MOTW) には、セキュリティ機能をバイパスする脆弱性があり、セキュリティ機能の完全性と可用性が制限された状態で失われます。 CVE-2022-41073 Microsoft Windows Print Spo…
【ニュース】 ◆米政府、脆弱性2件に注意喚起 - 悪用確認済み、早急に対応を (Security NEXT, 2022/10/21) https://www.security-next.com/140749 【関連まとめ記事】◆全体まとめ ◆セキュリティ機関 (まとめ) ◆CISA (まとめ) https://vul.hatenadiary.com/ent…
【ニュース】 ◆Microsoft Exchange Serverなどの脆弱性の活発な悪用を確認、更新を (マイナビニュース, 2022/10/03) https://news.mynavi.jp/techplus/article/20221003-2468025/ 【関連まとめ記事】◆全体まとめ ◆セキュリティ機関 (まとめ) ◆CISA (まとめ) …
【概要】 CVE-2022-3075:Chromium(Google) CVE-2022-28958:DIR-816L(D-Link) CVE-2022-27593:Photo Station(QNAP Systems) CVE-2022-26258:DIR-820L(D-Link) CVE-2020-9934:macOS、iOS、iPadOS(Apple) CVE-2018-7445:RouterOS(MikroTik) C…
【ニュース】 ◆CISAによる既知の脆弱性大量登録、攻撃を増やす逆効果の懸念も (マイナビニュース, 2022/03/15 20:49) https://news.mynavi.jp/techplus/article/20220315-2293568/ 【関連まとめ記事】◆全体まとめ ◆セキュリティ機関 (まとめ) ◆CISA (まとめ)…