脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2022年9月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2022年9月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
===================================
■■■ Mozilla
今週に Mozilla は、Firefox および Thunderbird に存在する、複数の深刻な脆弱性に対してパッチを適用しました。Firefox 104 (Firefox ESR 91.13/102.2) に関しては、XSLT エラー処理に関連するアドレスバー偽装の可能性という深刻な欠陥にパッチが提供されました。この脆弱性 CVE-2022-38472 は、フィッシングに悪用される可能性があります。
CVE-2022-38473, CVE-2022-38477, CVE-2022-38478
CVSS: High
https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-35/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-37/
===================================
■■■ VMware
VMware Tools に存在する深刻なセキュリティ脆弱性により、企業データ/ユーザ情報/認証情報が漏洩することで、アプリケーションを格納する仮想マシンのローカル権限昇格 (LPE : local privilege escalation) および、完全な乗っ取りへの道が開かれる可能性が生じています。
CVE-2022-31676
CWE-284(不適切なアクセス制御)
CVSS: 7.0
https://www.vmware.com/security/advisories/VMSA-2022-0024.html
===================================
■■■ CISA
Delta Electronics の産業用オートメーション・ソフトウェアに影響を及ぼす脆弱性が攻撃に悪用されているため、Cybersecurity and Infrastructure Security Agency (CISA) から各組織に対して早急な対処が要求されています。
火曜日に CISA は、10件のセキュリティ欠陥を Known Exploited Vulnerabilities Catalog (KEV) に追加し、9月15日までに対処するよう、連邦政府機関に指示しました。
CVE-2020-28949
CVSS: High
https://www.drupal.org/sa-core-2020-013
https://nvd.nist.gov/vuln/detail/CVE-2020-28949
CVE-2020-36193
CWE-22(パス・トラバーサル)
CVSS: High
https://www.drupal.org/sa-core-2021-001
https://nvd.nist.gov/vuln/detail/CVE-2020-36193
CVE-2021-38406
CWE-787(境界外書き込み)
CVSS: 7.8
https://jvn.jp/vu/JVNVU95804712/
CVE-2021-39226
CWE-287(不適切な認証)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2021-39226
https://github.com/grafana/grafana/security/advisories/GHSA-69j6-29vr-p3j9
CVE-2022-2294
CVSS: High
https://chromereleases.googleblog.com/2022/07/stable-channel-update-for-desktop.html
CVE-2022-22963
CWE-94(コード・インジェクション)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-22963
https://tanzu.vmware.com/security/cve-2022-22963
CVE-2022-24112
CWE-290(成りすましによる認証バイパス)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-24112
CVE-2022-24706
CWE-1188(安全性を脅かすリソース初期化の欠落)
CVSS: 6.3
https://docs.couchdb.org/en/stable/cve/2022-24706.html
https://nvd.nist.gov/vuln/detail/CVE-2022-24706
===================================
■■■ Cisco
今週、Cisco Nexus-series Business Switches に搭載されている、NX-OS ソフトウェアに影響を及ぼす2 つの脆弱性に対するパッチが発表されました。NX-OS の OSPF バージョン 3 (OSPFv3) 機能に影響を及ぼす、1つ目の脆弱性 CVE-2022-20823 は、認証なしでリモートから悪用され、サービス拒否 (DoS) 状態を引き起こし得るというものです。
https://iototsecnews.jp/2022/08/25/cisco-patches-high-severity-vulnerabilities-in-business-switches/
CVE-2022-20823
CWE-126(バッファ・オーバーリード)
CVSS: 8.6
CVE-2022-20824
CWE-121(スタックバッファ・オーバーフロー)
CVSS: 8.8
CVE-2022-20921
CWE-285(不適切な権限付与)
CVSS: 8.8
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-prvesc-BPFp9cZs
===================================
■■■ SysAid
イラン政府に関連するとされる脅威グループが、SysAid の Log4Shell 脆弱性を悪用し、ターゲットの組織へのイニシャル・アクセスを確立したようです。Apache Log4j のロギング・ユーティリティに影響を与える脆弱性 Log4Shell は、2021年12月に明るみに出たものです。この脆弱性 CVE-2021-44228 は、リモート・コード実行に悪用される可能性があり、営利目的のサイバー犯罪者に加えて、国家に支援されるサイバー・スパイにも悪用されてきました。
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10.0
https://www.jpcert.or.jp/at/2021/at210050.html
https://logging.apache.org/log4j/2.x/security.html
https://access.redhat.com/security/cve/cve-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://github.com/apache/logging-log4j2/pull/608
https://github.com/YfryTchsGD/Log4jAttackSurface
https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/
===================================
■■■ Atlassian
Atlassian は、Bitbucket Server/Data Center ユーザーに対して、深刻なセキュリティ脆弱性を警告するセキュリティ・アドバイザリを公開しました。この脆弱性の悪用に成功した攻撃者に対して、脆弱なインスタンス上での任意のコード実行を許す可能性があるようです。Bitbucket とは、Jira と Trello が統合された、Git ベースのコード・ホスティング/マネージメント/コラボレーション・ツールのことです。
CVE-2022-36804
CVSS: Critical
===================================
■■■ TikTok
Microsoft の研究者たちは、TikTok for Android アプリに存在する、深刻度の高い脆弱性 CVE-2022-28799 を発見しました。この脆弱性の悪用に成功した攻撃者は、ユーザー・アカウントをワンクリックで乗っ取る可能性を持つことになります。ただし、専門家たちは、この脆弱性を悪用してアカウントを乗っ取るには、他の脆弱性との連携が必要になると述べています。この脆弱性は、2022年2月に Microsoft から TikTok へと報告され、すぐに問題は対処されました。 Microsoft は、このバグを悪用した攻撃が実際に行われていることを認識していないとしています。
CVE-2022-28799
CWE-1021(レンダリングされた UI レイヤまたはフレームの不適切な制限)
CVSS: 8.8
https://nvd.nist.gov/vuln/detail/CVE-2022-28799
===================================
Google は、Chrome for Windows/Mac/Linux 105.0.5195.102 をリリースし、2022年に入って攻撃に悪用された、6番目のゼロデイ脆弱性にパッチを適用しました。同社は、金曜日に公開したセキュリティ・ アドバイザリで、「我々は、脆弱性 CVE-2022-3075 が、野放し状態で悪用されていると認識している」と述べています。Google によると、この新バージョンは Stable Desktop チャンネルで展開されており、数日?数週間のうちに全ユーザーに行き渡るようです。
CVE-2022-3075
CVSS: High
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop.html
===================================
■■■ Zyxel
今日、ネットワーク・デバイス・メーカーである Zyxel は、同社の NAS 製品3モデルに存在する深刻なリモートコード実行 (RCE) 脆弱性について、顧客に警告を発しました。この脆弱性 CVE-2022-34747 は、CVSS v3 値 の9.8 であり Critical と評価されていますが、その詳細は明らかにされていません。
CVE-2022-34747
CWE-134(不適切な書式文字列)
CVSS: 9.8
https://www.zyxel.com/support/Zyxel-security-advisory-for-format-string-vulnerability-in-NAS.shtml
https://nvd.nist.gov/vuln/detail/CVE-2022-34747
===================================
■■■ D-Link
MooBot として知られる Mirai 亜種のマルウェア・ボットネットが、8月初旬から始まった新たな攻撃に再登場し、新旧のエクスプロイトを取り混ぜて、脆弱な D-Link ルーターをターゲットにしています。2021年12月に Fortinet のアナリストが発見した MooBot は、Hikvision カメラの脆弱性を標的にして急速に拡散し、多数のデバイスを DDoS (分散型サービス拒否) に陥らせてきました。
https://iototsecnews.jp/2022/09/06/moobot-botnet-is-coming-for-your-unpatched-d-link-router/
CVE-2015-2051
CWE-77(コマンド・インジェクション)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2015-2051
CVE-2018-6530
CWE-88(引数のインジェクションおよび改ざん)
CVSS: 6.3
CVE-2022-26258
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-26258
CVE-2022-28958
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-28958
===================================
■■■ Shikitega
Shikitega という新たなステルス型 Linux マルウェアが、PC や IoT デバイスにペイロードを流し込み、感染させていることが発見されました。このマルウェアは、脆弱性を悪用して権限を昇格させ、crontab を介してホスト上で永続性を確立します。そして最終的に、感染させたデバイス上で、暗号通貨マイナーを起動させます。Shikitega は非常にステルス性が高く、静的な署名ベースの検出を不可能にするポリモーフィック・エンコーダを使用して、ウイルス検出を回避します。
https://iototsecnews.jp/2022/09/06/new-linux-malware-evades-detection-using-multi-stage-deployment/
CVE-2021-3493
CWE-269(不適切な権限管理)
CVSS: 8.8
https://nvd.nist.gov/vuln/detail/CVE-2021-3493
CVE-2021-4034
CWE-190(整数オーバーフロー)
CVSS: 7.3
https://www.haproxy.com/blog/september-2021-duplicate-content-length-header-fixed/
https://nvd.nist.gov/vuln/detail/CVE-2021-40346
===================================
■■■ Cisco
Cisco の新たな発表は、中小企業向け VPN ルーターに影響をおよぼす認証バイパスの脆弱性について、デバイスが製造終了 (EoL) に達したことを理由として、パッチを適用しないというものです。このゼロデイ脆弱性 CVE-2022-20923 は、パスワード検証アルゴリズムの欠陥に起因するものであり、IPSec VPN サーバー機能が有効化されている場合に、細工された認証情報も用いる攻撃者に対して、脆弱なデバイス上の VPN にログインを許すというものです。
https://iototsecnews.jp/2022/09/07/cisco-wont-fix-authentication-bypass-zero-day-in-eol-routers/
CVE-2021-34730
CWE-121(スタックバッファ・オーバーフロー)
CVSS: 9.8
CVE-2022-20825
CWE-121(スタックバッファ・オーバーフロー)
CVSS: 9.8
CVE-2022-20923
CWE-303(認証アルゴリズムの不正確な実装)
CVSS: 4.0
===================================
■■■ CISA
CISA は、攻撃に悪用されるバグ・リストに、D-Link の2つの深刻な脆弱性と、Google Chrome および QNAP Photo Station ソフトウェアの2つの (パッチ適用済) ゼロデイを含む、全体で 12件のセキュリティ欠陥を追加しました。Google Chrome のゼロデイ (CVE-2022-3075) は、9月2日に緊急セキュリティ・アップデートでパッチが適用されたが、野放し状態での悪用を同社が認識したことで、このリストに加えられました。
CVE-2022-26258
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-26258
CVE-2022-28958
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-28958
CVE-2022-27593
CWE-610(別領域リソースに対する外部から制御された参照)
CVSS: 10.0
https://nvd.nist.gov/vuln/detail/CVE-2022-27593
https://www.qnap.com/en/security-advisory/qsa-22-24
CVE-2022-3075
CVSS: High
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop.html
===================================
■■■ Cisco
Cisco は、SD-WAN vManage ソフトウェア・コンテナのバインディング・コンフィグレーションに存在する、深刻な脆弱性に対するパッチを発表しました。脆弱性 CVE-2022-20696 は、メッセージング・サーバ・コンテナ・ポートの不十分な保護メカニズムに起因し、認証されていない攻撃者によるポートの悪用と、システムへの接続を許すものです。
https://iototsecnews.jp/2022/09/12/cisco-patches-high-severity-vulnerability-in-sd-wan-vmanage/
CVE-2022-20696
CWE-284(不適切なアクセス制御)
CVSS: 7.5
CVE-2022-28199
CWE-390(エラー処理の問題)
CVSS: 8.6
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mlx5-jbPCrqD8
===================================
2022年9月の Pixel 端末向けセキュリティ・アップデートで、Google は2件の深刻な脆弱性に対処しました。この他にも、Android プラットフォームにおいて、合計で 46件のセキュリティ脆弱性が修正されています。同社は、2件の深刻な脆弱性 CVE-2022-20231/CVE-2022-20364 について、Pixel の Trusty/kernel コンポーネントに影響を及ぼし、どちらも権限昇格につながる可能性があると説明しています。
https://iototsecnews.jp/2022/09/12/google-patches-critical-vulnerabilities-in-pixel-phones/
CVE-2022-20231, CVE-2022-20364
CVSS: Critical
https://source.android.com/docs/security/bulletin/pixel/2022-09-01
===================================
■■■ Apple
Apple は、iPhone/Mac に対する攻撃で使用された、2022年に入ってから8番目のゼロデイ脆弱性に対処するセキュリティ・アップデートを公開しました。同社は、月曜日に公開されたセキュリティ・アドバイザリの中で、この脆弱性の積極的な悪用の可能性が報告されていることを明らかにしています。この脆弱性 CVE-2022-32917 により、悪意を持って細工されたアプリケーションが、カーネル権限で任意のコードを実行する可能性があるようです。
CVE-2022-32917
CVSS: 7.5
https://support.apple.com/ja-jp/HT213446
https://forest.watch.impress.co.jp/docs/news/1439368.html
https://support.apple.com/ja-jp/HT213444
https://forest.watch.impress.co.jp/docs/news/1439368.html
https://support.apple.com/ja-jp/HT213443
https://forest.watch.impress.co.jp/docs/news/1439368.html
https://support.apple.com/ja-jp/HT213445
https://forest.watch.impress.co.jp/docs/news/1439368.html
===================================
■■■ QNAP
QNAP Systems は、同社の NAS デバイスのユーザーを標的とした、最新の DeadBolt ランサムウェア・キャンペーンと、攻撃者に悪用されている脆弱性 CVE-2022-27593 についての詳細情報を提供しました。脆弱性 CVE-2022-27593 は、意図した制御範囲外のリソースへ向けて解決される、外部制御の参照に関するものであり、広く使用されている Photo Station アプリケーションに影響を及ぼすものです。
CVE-2022-27593
CWE-610(別領域リソースに対する外部から制御された参照)
CVSS: 10.0
https://nvd.nist.gov/vuln/detail/CVE-2022-27593
https://www.qnap.com/en/security-advisory/qsa-22-24
===================================
■■■ Microsoft
今日は Microsoft の September 2022 Patch Tuesday であり、活発に悪用されている Windows の脆弱性を含めて、合計で 63件の不具合が修正されました。本日のアップデートで修正された 63件の脆弱性のうち 5件は、最も深刻なタイプの脆弱性である、リモートコード実行を許すものであり、Critical に分類されています。
CVE-2022-23960
CWE-200(情報漏えい)
CVSS: 5.6
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23960
https://nvd.nist.gov/vuln/detail/CVE-2022-23960
CVE-2022-37969
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37969
===================================
■■■ Trend Micro
今日、セキュリティ・ソフトウェア会社の Trend Micro は、積極的に悪用される Apex One のセキュリティ脆弱性に対して、早急にパッチを適用するよう顧客に警告を発しました。Apex One は、悪意のツール/マルウェア/脆弱性に対する脅威の自動検出と対処を、企業に提供するエンドポイント・セキュリティ・プラットフォームです。この脆弱性 CVE-2022-40139 の悪用に成功した攻撃者は、パッチが適用されていないソフトウェアを実行しているシステム上で、任意のコードをリモートから実行することが可能になります。
CVE-2022-40139, CVE-2022-40144
CWE-20(不適切な入力確認)、CWE-287(不適切な認証)
CVSS: 8.2
https://www.jpcert.or.jp/at/2022/at220023.html
https://jvn.jp/jp/JVN36454862/
https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000071.html
https://www.security-next.com/139721
===================================
■■■ Microsoft Windows CLFS 脆弱性
Microsoft のセキュリティ・チームが、主要 Windows プラットフォームの深刻な脆弱性を悪用するゼロデイ攻撃を検出したことを明らかにしました。同社は、9月の Patch Tuesday において、最新のゼロデイ脆弱性に対する修正を提供していますが、すでに、この脆弱性を悪用する攻撃者たちが、パッチが適用された Windows マシンでも SYSTEM 権限を獲得しているケースがあると警告しています。
https://iototsecnews.jp/2022/09/13/microsoft-raises-alert-for-under-attack-windows-flaw/
CVE-2022-3075
CVSS: High
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop.html
CVE-2022-34718
CVSS: 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34718
CVE-2022-34724
CVSS: 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34724
CVE-2022-37969
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37969
===================================
■■■ CISA
今日 CISA は、悪用されているセキュリティ脆弱性のリストに、2つの新しい脆弱性を追加した。これには、Windows の権限昇格の脆弱性と、iPhone/Mac に影響を与える任意のコード実行の脆弱性が含まれている。Windows Common Log File System Driver の権限昇格の脆弱性は CVE-2022-37969 として追跡されており、悪用に成功したローカルの攻撃者は、SYSTEM 権限の取得が可能になる。
https://iototsecnews.jp/2022/09/14/cisa-orders-agencies-to-patch-windows-ios-bugs-used-in-attacks/
CVE-2022-32917
CVSS: 7.5
https://support.apple.com/ja-jp/HT213446
https://forest.watch.impress.co.jp/docs/news/1439368.html
https://support.apple.com/ja-jp/HT213444
https://forest.watch.impress.co.jp/docs/news/1439368.html
https://support.apple.com/ja-jp/HT213443
https://forest.watch.impress.co.jp/docs/news/1439368.html
https://support.apple.com/ja-jp/HT213445
https://forest.watch.impress.co.jp/docs/news/1439368.html
CVE-2022-37969
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37969
===================================
■■■ Contec
航空機内のインターネット接続に使用される無線 LAN デバイスに、2つの深刻な脆弱性が発見されました。これらの脆弱性は、Necrum Security Labs の Thomas Knudsen と Samy Younsi が発見したものであり、Contec 社製の Flexlan FX3000/FX2000 シリーズの、無線 LAN デバイスに影響を及ぼすものです。
CVE-2022-36158
CWE-912(非公開機能の露呈)
CVSS: 8.8
https://jvn.jp/vu/JVNVU98305100/
===================================
■■■ Google Chrome
9月2日に Google は、外部の研究者から報告された7つの深刻なバグを含む、全体で 11件の脆弱性を修正する Chrome 105 アップデートのリリースを発表した。このセキュリティ問題のリストで注目されるのは、Chrome の Storage コンポーネントにおける境界外書き込みが挙げられる。続いて、PDF コンポーネントにおける3つの use-after-free の不具合と、Frames における4つ目の use-after-free の不具合が存在する。
https://iototsecnews.jp/2022/09/15/chrome-105-update-patches-high-severity-vulnerabilities/
CVE-2022-3195, CVE-2022-3197, CVE-2022-3198, CVE-2022-3199, CVE-2022-3200, CVE-2022-3201
CVSS: High
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop_14.html
===================================
■■■ CISA
CISA は、KEV (Known Exploited Vulnerabilities) カタログに6件の脆弱性を追加し、連邦政府機関に対し、ベンダーの指示に従って修正するよう求めています。カタログに追加された6件のセキュリティ脆弱性のうち、2022年になって公表されたものは、Trend Micro の自動脅威検知/対応プラットフォーム Apex One に影響を与える脆弱性の1件のみとなります。
CVE-2010-2568
CWE-20(不適切な入力確認)
CVSS: 10.0
https://nvd.nist.gov/vuln/detail/CVE-2010-2568
CVE-2013-2094
CWE-189(数値処理エラー)
CVSS: 5.1
https://nvd.nist.gov/vuln/detail/CVE-2013-2094
CVE-2013-2596
CWE-189(数値処理エラー)
CVSS: 6.9
https://nvd.nist.gov/vuln/detail/CVE-2013-2596
CVE-2013-2597
CWE-119(バッファ・エラー)
CVSS: 9.3
https://nvd.nist.gov/vuln/detail/CVE-2013-2597
CVE-2013-6282
CWE-20(不適切な入力確認)
CVSS: 7.2
http://www.securityfocus.com/bid/63734
http://www.securityfocus.com/bid/63734/exploit
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6282
CVE-2022-40139
CWE-20(不適切な入力確認)
https://www.jpcert.or.jp/at/2022/at220023.html
https://jvn.jp/jp/JVN36454862/
===================================
■■■ Kingspan
世界の組織で使用されている水槽管理システムが、リモートから悪用できる深刻な脆弱性の影響を受けるが、ベンダーはパッチを当てる気がないようです。この影響を受ける製品は、アイルランドの建材メーカーである Kingspan の Water and Energy Unit が製造したものです。Kingspan TMS300 CS 水槽管理システムは、水槽のレベル情報画面/Web サーバー/アプリケーション/オンラインポータル/電子メールなどを提供しています。有線/無線のマルチタンク・レベル測定/アラーム/インターネット接続/ローカルネットワーク接続などを特徴としています。
CVE-2022-2757
CWE-287(不適切な認証)
CVSS: 7.3
===================================
■■■ PyPI
Trellix が設立を発表した Advanced Research Center は、最新のサイバー・セキュリティ脅威を検出/対応/修復するための、リアルタイムのインテリジェンスと脅威指標の作成を目的とするものです。Trellix の最高製品責任者である Aparna Rayasam は、「脅威の状況は、洗練され、影響を与える可能性が拡大しています。我々は、デジタルと物理的な世界で全ての人々を安全にするために、この事業に取り組んでいます。脅威アクターたちは、人材と技術的ノウハウに戦略的に投資しています。したがって、サイバー・セキュリティ業界は、最も好戦的な行為者とその手法を研究し、より速い速度で革新していく義務がある」と述べています。
https://iototsecnews.jp/2022/09/21/350k-open-source-projects-at-risk-of-supply-chain-vulnerability/
CVE-2007-4559
CWE-22(パス・トラバーサル)
CVSS: 7.3
https://nvd.nist.gov/vuln/detail/CVE-2007-4559
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。