【図表】 出典: https://twitter.com/Shadowserver/status/1684498882506412038 【ニュース】 ◆Metabaseに「極めて深刻」なRCEの脆弱性、国内の200以上のインスタンスが脆弱（CVE-2023-38646） (Codebook, 2023/07/28) https://codebook.machinarecord.com/t…

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/07/25 2023/06/20 CVE-2023-35980 NVD Aruba 9.8(HP) 2023/07/25 2023/06/20 CVE-2023-35981 NVD Aruba 9.8(HP) 2023/07/25 2023/06/20 CVE-2023-35982 NVD Aruba 9.8(HP) 【ニュ…

【概要】 公開日 登録日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2021/04/07 2020/11/13 CVE-2021-1479 NVD 9.8(NVD)7.8(Cisco) CWE-119 バッファエラー cisco-sa-vmanage-YuTVWqy 2021/04/07 2020/11/13 CVE-2021-1137 NVD 7.8(NVD)7.8(Cisco) CWE-20CWE-119 …

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/07/11 2023/06/27 CVE-2023-36884 NVD ベンダー 8.8(NVD)8.3(Microsoft) - - Windows, Microsoft Office 【ニュース】■2023年 ◆WindowsとMicrosoft Officeに未修正のゼロデイ脆弱…

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2022/05/22 2022/04/16 CVE-2022-29303 NVD ベンダー 9.8(NVD) CWE-77 コマンドインジェクション 【ニュース】■2023年 ◆太陽光発電測定システム「SolarView」の多くが脆弱な状態で運用…

【目次】 概要 【概要】 【CVE_DB】 【最新情報】 記事 【ニュース】 【ブログ】 【公開情報】 【検索】 関連情報 【関連まとめ記事】 概要 【概要】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2021/12/14 CVE-2021-25036 NVD 8.8 CWE-287 特権昇格 2021/12/1…

【SolarView】 ◆CVE-2022-29303 (まとめ) https://vul.hatenadiary.com/entry/CVE-2022-29303 【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2022/05/22 2022/04/16 CVE-2022-29303 NVD ベンダー 9.8(NVD) CWE-77 コマンドインジェ…

【要点】 ◎文字列を格納する配列より前の位置にデータを格納すること。データの書き換えが可能で、致命的な脆弱性となる場合がある 【概要】 Javaでは通常発生しない 【辞書】 ◆バッファアンダーラン (Wikipedia) https://ja.wikipedia.org/wiki/%E3%83%90%E…

【概要】 公開日 登録日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2023/04/20 2022/11/01 CVE-2023-20864 NVD 9.8(NVD) CWE-502 信頼できないデータのデシリアライゼーション https://www.vmware.com/security/advisories/VMSA-2023-0007.html 【ニュース】 ◆VM…

【辞書】 ◆SoftEther VPN (Wikipedia) https://ja.wikipedia.org/wiki/SoftEther_VPN 【ニュース】■2023年 ◆オープンソースのVPNソフト「SoftEther VPN」、Ciscoの協力で6件の脆弱性を修正 (窓の杜, 2023/07/03 09:37) https://forest.watch.impress.co.jp/d…

【概要】 公開日 登録日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2017/03/14 2016/10/18 CVE-2016-8747 NVD 7.5(NVD) CWE-200 情報漏えい 2017/04/12 2017/01/29 CVE-2017-5647 NVD 7.5(NVD) CWE-200 情報漏えい 2017/04/12 2017/01/29 CVE-2017-5648 NVD 9.1(…

cveID vendorProject product vulnerabilityName dateAdded shortDescription requiredAction dueDate notes CVE-2021-27104 Accellion FTA Accellion FTA OS Command Injection Vulnerability 2021-11-03 Accellion FTA contains an OS command injection v…

【要点】 ◎VMware Aria Operations for Networksに存在するコマンドインジェクションの脆弱性。PoCが存在。攻撃が発生 【概要】 登録日 公開日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2022/11/01 2023/06/07 CVE-2023-20887 NVD 9.8(VMware) CWE-77 コマンド…

malware-log.hatenablog.com 【概要】 登録日 公開日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2023/06/02 2023/05/31 CVE-2023-34362 NVD 9.8(NVD) CWE-89 SQLインジェクション 2023/06/12 2023/06/09 CVE-2023-35036 NVD 9.1(NVD) CWE-89 SQLインジェクション…

【要点】 ◎2023年5月に発見された Barracuda ESG の脆弱性 malware-log.hatenablog.com 【図表】 図1：侵入のタイムライン 出典: https://www.mandiant.jp/resources/blog/barracuda-esg-exploited-globally 【概要】 公開日 登録日 CVE番号 NVD ベンダー CV…

【概要】 公開日 登録日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2023/06/13 2023/03/09 CVE-2023-27997 NVD 9.8(Fortinet) CWE-787 境界外書き込み FG-IR-23-097 【ニュース】 ◆Fortinetの「SSL VPN」に深刻な脆弱性 - アップデートの実施を (Security NEXT, …

【半導体】 ◆QualcommのDSPチップの脆弱性 (まとめ) https://vul.hatenadiary.com/entry/Qualcomm_DSP 【関連まとめ記事】 ◆全体まとめ https://vul.hatenadiary.com/entry/root

【図表】 2023/06/08 現在 出典: https://curl.se/docs/vulnerabilities.html【概要】 登録日 公開日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2022/06/01 2022/12/06 CVE-2022-32221 NVD 9.8(NVD) CWE-668CWE-200 誤った領域に資源を露出情報漏えい https://cu…

【概要】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2023/04/20 CVE-2023-27350 NVD 9.8(Zero Day Initiative) CWE-284 不適切なアクセス制御 2023/04/20 CVE-2023-27351 NVD 8.2(Zero Day Initiative) CWE-284 不適切なアクセス制御 【ニュース】 ◆人気の印…

【要点】 ◎バックアップツール 【CVE】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2021/03/01 CVE-2021-27877 NVD 9.8(NVD)8.2(NVD) CWE-287 不適切な認証 【ニュース】 ◆CISA orders agencies to patch Backup Exec bugs used by ransomware gang (BleepingC…

【要点】 ◎AndroidのSystemコンポーネントの脆弱性。入力検証が不適切なため存在し、任意のコードが実行可能 【公式情報】 ◆Android のセキュリティに関する公開情報 - 2023 年 4 月 (Android.com, 2023/04/03) https://source.android.com/docs/security/bu…

malware-log.hatenablog.com security-tools.hatenablog.com 【目次】 概要 【図表】 【概要】 【最新情報】 記事 【ニュース】 【ブログ】 【公開情報】 【図表】 【検索】 関連情報 【関連まとめ記事】 概要 【図表】 一般的なCSPにおける脆弱なOpenSSLイ…

【ニュース】 ◆Microsoft、Outlookの脆弱性CVE-2023-23397に関するガイダンスを公開 (マイナビニュース, 2023/03/29 08:21) https://news.mynavi.jp/techplus/article/20230329-2638347/ ⇒ https://vul.hatenadiary.com/entry/2023/03/29/000000_3 【ブログ…

malware-log.hatenablog.com 【ニュース】 ◆「Outlook」にゼロデイ脆弱性、MSが悪用確認スクリプトを用意 (Security NEXT, 2023/03/16) https://www.security-next.com/144551 ⇒ https://vul.hatenadiary.com/entry/2023/03/16/000000 【ブログ】 ◆Outlook f…

【NTLM】 ◆NTLMリレー攻撃 (まとめ) https://vul.hatenadiary.com/entry/NTLM_Relay_Attack 【ニュース】■2017年 ◆「Windows」のNTLMプロトコルに2件の脆弱性 (ZDnet, 2017/07/13 10:29) https://japan.zdnet.com/article/35104175/ ⇒ https://vul.hatenadia…

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2022/03/12 2022/03/06 CVE-2022-26500 NVD kb4288 8.8(NVD) CWE-22 パストラバーサル 2022/03/12 2022/03/06 CVE-2022-26501 NVD kb4288 9.8(NVD) CWE-863 不正確な認証 2023/03/10 2…

パスワードマネージャー

【辞書】 ◆脆弱性報奨金制度 (Wikipedia) https://ja.wikipedia.org/wiki/%E8%84%86%E5%BC%B1%E6%80%A7%E5%A0%B1%E5%A5%A8%E9%87%91%E5%88%B6%E5%BA%A6 【ニュース】■2021年 ◆グーグルのバグ報奨金プログラム、2020年の支払額は過去最高の670万ドル (ZDNet, …

malware-log.hatenablog.com【目次】 概要 【脆弱性リスト】 【Fortinet まとめ】 【最新情報】 記事 【ニュース】 【公開情報】 【資料】 【検索】 概要 【脆弱性リスト】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2019/06/04 2018/07/…

【概要】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2020/03/07 CVE-2020-10189 NVD 9.8(NVD)9.8(MITRE) CWE-502 信頼できないデータのデシリアライゼーション 2021/12/12 CVE-2021-44526 NVD 9.8(NVD) - - https://pitstop.manageengine.com/portal/en/commu…