脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年1月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
2023年1月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
=========================================================
■■■ Microsoft
Crowdstrike によると、Play ランサムウェアの運営者は OWASSRF と呼ばれる新しいエクスプロイト・チェーンを用いて、ProxyNotShell 脆弱性に対する緩和策をバイパスすることで、Microsoft Exchange サーバをターゲットにしているようです。この脆弱性の悪用に成功した認証済の攻撃者は、Exchange Server 2013/2016/2019 で権限を昇格を行い、そのシステムのコンテキストで PowerShell を実行し、脆弱なサーバ上で任意コード実行またはリモートコード実行の可能性を生じるといわれています。
CVE-2022-41040
CWE-918(サーバサイド・リクエスト・フォージェリ)
CVSS 8.8
CVE-2022-41082
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
===================================
■■■ Microsoft
ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定しています。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものです。
CVE-2021-31207
CVSS 6.6
CVE-2021-34473
CVSS 9.1
CVE-2021-34523
CVSS 9.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
===================================
■■■ Ghost CMS
Ghost CMS のニュースレター・サブスクリプション・システムに存在する致命的な脆弱性により、外部ユーザーによるニュースレターの作成や、既存のニュースレターへの悪意の JavaScript の注入などが可能になります。このような行為により、通常は無害なサイトから、大規模なフィッシング攻撃が行われる可能性が生じます。さらに、JavaScript を注入することで、XSS 脆弱性を発生させ、標的サイトへの脅威アクターによるフルアクセスを引き起こす可能性があります。
https://iototsecnews.jp/2022/12/23/ghost-cms-vulnerable-to-critical-authentication-bypass-flaw/
CVE-2022-41654
CWE-284(不適切なアクセス制御)
CVSS 9.6
https://vuldb.com/ja/?id.214508
https://nvd.nist.gov/vuln/detail/CVE-2022-41654
https://github.com/advisories/GHSA-9gh8-wp53-ccc6
CVE-2022-41697
CWE-204(リクエストに対するレスポンス内容の違いに起因する情報漏えい)
CVSS 5.3
https://nvd.nist.gov/vuln/detail/CVE-2022-41697
https://talosintelligence.com/vulnerability_reports/TALOS-2022-1625
===================================
■■■ Kubernetes と Kyverno
Kyverno の Admission Controller for Container Images に存在する深刻なセキュリティ脆弱性により、クラウド・プロダクション環境へ向けて、悪意の行為者が多数の不正コードを流し込める可能性があることが判明しました。Kyverno Admission Controller は、署名/検証されたコンテナ・イメージのみが、所定の Kubernetes クラスタに取り込まれることを保証するために設計された、署名検証機構を提供しています。つまり、暗号化されたコンテナ・イメージには、クリプトマイナ/ルートキット/コンテナ・エスケープ/横移動エクスプロイト・キット/クレデンシャル・スティーラーなどの、さまざまなペイロードが含まる可能性があるため、それらの悪意の行為を回避するための機能として利用されています。
CVE-2022-47633
CVSS 8.1
https://nvd.nist.gov/vuln/detail/CVE-2022-47633
===================================
■■■ Citrix
Citrix ADC/Gateway だが、この数ヶ月の間に修正された2つの脆弱性が、そのまま放置されているサーバが数千台はあるようです。1つ目の欠陥は、11月8日に修正された CVE-2022-27510 であり、Citrix の両製品に影響を与える認証バイパスの脆弱性です。その悪用に成功した攻撃者は、デバイスへの不正アクセス/リモートデスクトップの乗っ取り/ログインブルート・フォースなどの攻撃を行えるようになります。2つ目の欠陥は、12月13日に修正された CVE-2022-27518 であり、認証されていない攻撃者による、脆弱なデバイス上でのリモートコマンド実行と乗っ取りを許すものです。
https://iototsecnews.jp/2022/12/28/thousands-of-citrix-servers-vulnerable-to-patched-critical-flaws/
CVE-2022-27518
CWE-664(ライフタイム期間中の不適切なリソース制御)
CVSS 9.8
https://sensorstechforum.com/ja/cve-2022-27518-citrix-zero-day/
CVE-2022-27510
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-27510
===================================
■■■ CISA KEV 警告
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発な悪用の証拠があるとして、TIBCO Software の JasperReports 製品に影響を及ぼす、2つのセキュリティ欠陥を Known Exploited Vulnerabilities (KEV) カタログに追加しました。それらの脆弱性 CVE-2018-5430 (CVSS:7.7) および CVE-2018-18809 (CVSS:9.9) は、TIBCOにより 2018年4月と 2019年3月に対処されています。
CVE-2018-18809
CWE-22(パス・トラバーサル)
CVSS 9.9
https://nvd.nist.gov/vuln/detail/CVE-2018-18809
CVE-2018-5430
CWE-269(不適切な権限管理)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2018-5430
===================================
■■■ Microsoft
オンラインに晒されてされている 60,000 台以上の Microsoft Exchange Server において、ProxyNotShell の1つであるリモート・コード実行 (RCE) の脆弱性 CVE-2022-41082 への、パッチが適用されていないことが判明しました。インターネット・セキュリティの向上を目指す、非営利団体 Shadowserver Foundation のセキュリティ研究者たちの最新ツイートによると、バージョン情報 (サーバの x_owa_version ヘッダ) の追跡により、約 70,000 台の Microsoft Exchange Server が、ProxyNotShell 攻撃に対して脆弱であることが判明しました。
https://iototsecnews.jp/2023/01/03/over-60000-exchange-servers-vulnerable-to-proxynotshell-attacks/
CVE-2022-41040
CWE-918(サーバサイド・リクエスト・フォージェリ)
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
CVE-2022-41082
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
===================================
■■■ Synology
2022年12月に、台湾の NAS メーカーである Synology は、2つの新しい重要アドバイザリを公開しました。最初のアドバイザリは、同社が対処した最も重要なものであり、脆弱性 CVE-2022-43931 (CVSS : 10) として追跡されている、境界外書き込みの深刻な問題です。この脆弱性は、Ver 1.4.3-0534/1.4.4-0635 以前の、Synology VPN Plus Server の Remote Desktop Functionality に存在しています。この脆弱性の悪用に成功したリモートの攻撃者は、不特定のベクター経由で任意のコマンドを実行できます。
https://iototsecnews.jp/2023/01/03/synology-fixes-multiple-critical-vulnerabilities-in-its-routers/
CVE-2022-43931
CWE-787(境界外書き込み)
CVSS 10.0
https://www.synology.com/en-us/security/advisory/Synology_SA_22_26
https://nvd.nist.gov/vuln/detail/CVE-2022-43931
===================================
■■■ Fortinet
サイバー・セキュリティ・ベンダーである Fortinet は、同社製品に影響を及ぼす複数の脆弱性に対応しました。また、Application Delivery Controller である FortiADC に影響を及ぼす、深刻な コマンド・インジェクション の脆弱性 CVE-2022-39947 (CVSS 8.6) について、顧客に警告を発しています。この脆弱性 CVE-2022-39947 は、FortiADC の OS Command における特殊要素の不適切な無効化に起因し、特別に細工された HTTP リクエストを介した、任意のコード実行を許す可能性があります。
CVE-2022-35845
CWE-78(OS コマンド・インジェクション)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2022-35845
CVE-2022-39947
CWE-78(OS コマンド・インジェクション)
CVSS 8.8
https://www.fortiguard.com/psirt/FG-IR-22-061
https://nvd.nist.gov/vuln/detail/CVE-2022-39947
===================================
■■■ Zoho ManageEngine
ビジネスソフト・プロバイダーである Zoho は、複数の ManageEngine 製品に影響を及ぼす深刻なセキュリティ脆弱性を修正するよう、顧客に促しています。月曜日に Zoho は、「深刻なセキュリティ脆弱性が検出された」と記した、セキュリティ・アドバイザリを公開しました。この脆弱性 CVE-2022-47523 は、SQL インジェクションの脆弱性であり、同社の Password Manager Pro secure vault/PAM360 privileged access management software/Access Manager Plus privileged session management solution などに存在します。
https://iototsecnews.jp/2023/01/04/zoho-urges-admins-to-patch-critical-manageengine-bug-immediately/
CVE-2022-47523
CWE-89(SQL インジェクション)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2022-47523
CVE-2022-35405
CVSS 7.3
https://nvd.nist.gov/vuln/detail/CVE-2022-35405
===================================
■■■ Microsoft
マネージド・クラウド・ホスティングを提供する Rackspace Technology は、12月2日に発生した大規模なランサムウェア攻撃により、中小企業の顧客数千社のメール・サービスに障害が発生したことを発表しました。その要因は、Microsoft Exchange Server におけるサーバー・サイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2022-41080 を悪用するゼロデイ攻撃にあるようです。
https://iototsecnews.jp/2023/01/05/rackspace-ransomware-attack-bypassed-proxynotshell-mitigations/
CVE-2022-41080
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080
===================================
■■■ JsonWebToken
Auth0 が修正したリモートコード実行の脆弱性は、22,000 以上のプロジェクトで使用され、NPM からは毎月 3600 万回以上もダウンロードされている、人気のオープンソース・ライブラリ JsonWebToken に存在するものです。このライブラリは、Microsoft/Twilio/Salesforce/Intuit/Box/IBM/Docusign/Slack/SAP などのオープンソース・プロジェクトでも使用されています。
CVE-2022-23529
CWE-20(不適切な入力確認)
CVSS 9.8
https://unit42.paloaltonetworks.jp/jsonwebtoken-vulnerability-cve-2022-23529/
https://nvd.nist.gov/vuln/detail/CVE-2022-23529
===================================
■■■ Microsoft
今日の、Microsoft January 2023 Patch Tuesday により、活発に悪用されているゼロデイ脆弱性1件を含む、合計 98件の脆弱性が修正されました。2023年最初の Patch Tuesday で修正された 98件の脆弱性のうち 11件は、最も深刻なタイプの脆弱性のひとつであるリモート・コード実行/セキュリティ・バイパス/権限昇格を可能にするものであり、Critical に分類されています。
https://iototsecnews.jp/2023/01/10/microsoft-january-2023-patch-tuesday-fixes-98-flaws-1-zero-day/
CVE-2023-21549
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21549
CVE-2023-21674
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674
===================================
■■■ CISA KEV
今日に、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Known Exploited Vulnerabilities (KEV) カタログに、2つのセキュリティ脆弱性を追加しました。1つ目は、Microsoft Exchange の権限昇格の脆弱性 CVE-2022-41080 であり、別の脆弱性 ProxyNotShell CVE-2022-41082 と連鎖してリモート・コードが実行される可能性があります。先週に、テキサス州に拠点を置くクラウド・コンピューティング・プロバイダーである Rackspace は、Play ランサムウェアが CVE-2022-41082 をゼロデイとして悪用し、Microsoft の ProxyNotShell URL 書き換え緩和策をバイパスして、感染させた Exchange Server 内で権限昇格を行ったことが確認されています。
CVE-2022-41080
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080
CVE-2022-41082
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
CVE-2023-21674
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674
===================================
2023年1月10日に Google は、Chrome 109 を Stable チャネルでリリースし、外部の研究者から報告された 14件のバグを含む、全体で 17件の脆弱性にパッチを適用したと発表しました。外部から報告されたセキュリティ上の欠陥の大半は、深刻度が Medium と Low 脆弱性です。また、High と評価された2件は、Overview Mode における use-after-free の脆弱性 CVE-2023-0128 と、Network Service におけるヒープバッファ・オーバーフローの脆弱性 CVE-2023-0129 です。Google は、これらの脆弱性に対して、それぞれ $4,000 と $2,000 のバグバウンティを支払ったとしています。
https://iototsecnews.jp/2023/01/11/chrome-109-patches-17-vulnerabilities/
CVE-2023-0128, CVE-2023-0129, CVE-2023-0138
High
https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop.html
===================================
■■■ Cisco
2023年1月11日に Cisco は、EoL VPN ルーター群に影響を及ぼし、すでにエクスプロイト・コードが公開されている、深刻な認証バイパスの脆弱性について、顧客に警告を発しました。このセキュリティ上の欠陥 CVE-2023-20025 は、Cisco Small Business RV016/RV042/RV042G/RV082 ルーターの Web ベースの管理インターフェイスに存在するものであり、Qihoo 360 Netlab の Hou Liuyang により発見されています。
CVE-2023-20025
CVSS 9.0
https://nvd.nist.gov/vuln/detail/CVE-2023-20025
CVE-2023-20020
CVSS 8.6
===================================
■■■ Siemens
Siemens の Programmable Logic Controllers (PLCs) シリーズに影響を及ぼす深刻な脆弱性を、ファームウェア・セキュリティ会社である Red Balloon Security の研究者が発見しました。この脆弱性を CVE-2022-38773 の悪用に成功した攻撃者は、保護されたブート機能を回避し、コントローラの動作コードとデータを、持続的に変更することが可能になります。Red Balloon Security によると、Siemens の Simatic/Siplus S7-1500 の CPU における、一連のアーキテクチャに問題があるといわれています。
CVE-2022-38773
CWE-1326(ハードウェアの不変的なルート・オブ・トラストの欠落)
CVSS 6.8
https://nvd.nist.gov/vuln/detail/CVE-2022-38773
===================================
■■■ Fortinet FortiOS
Fortinet によると、2022年12月にパッチ適用された FortiOS SSL-VPN のゼロデイ脆弱性を悪用する脅威アクターが、政府の機関や関連組織にターゲットを狙った攻撃を行っていたことが判明しました。一連のインシデントで悪用されたのは、FortiOS SSL-VPN に存在するヒープバッファ・オーバーフローの脆弱性 CVE-2022-42475 であり、認証されていないリモートの攻撃者に対して、デバイスの毀損やコード実行を許すものです。
CVE-2022-42475
CWE-122(ヒープバッファ・オーバーフロー)
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-22-398
https://www.jpcert.or.jp/at/2022/at220032.html
===================================
■■■ Cuba
Microsoft によると、Cuba ランサムウェア/ギャングも、Exchange サーバに存在する深刻なサーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性を悪用して、Play ランサムウェア攻撃と同様に侵害を繰り返しているようです。 先日には、この脆弱性 CVE-2022-41080 を悪用する Play ランサムウェアが、 OWASSRF ゼロデイと呼ばれる攻撃により、ProxyNotShell URL リライト緩和策をバイパスした後に、Rackspace ネットワーク上のパッチ未適用の Microsoft Exchange サーバを侵害しています。
CVE-2022-41080
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080
===================================
■■■ CentOS
以前には CentOS Web Panel として知られていた、サーバ管理用ツール Control Web Panel (CWP) で発生した深刻な脆弱性が、ハッカーたちに積極的に悪用されています。このセキュリティ脆弱性 CVE-2022-44877 は、認証されない攻撃者であってもリモートコード実行が可能であるため、CVSS 値は 9.8 と評価されています。
https://iototsecnews.jp/2023/01/12/hackers-exploit-control-web-panel-flaw-to-open-reverse-shells/
CVE-2022-44877
CWE-78(OSコマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-44877
===================================
2022年7月に Imperva のセキュリティ研究者が発見し、9月にパッチを適用された Chromium の脆弱性 CVE-2022-3656 は、パッチを適用していない 25億人のユーザーに影響を与えている可能性があります。2023年1月12日に、Imperva のセキュリティ研究者である Ron Masas が、この脆弱性 (通称 SymStealer) について、ブログ記事を公開しました。具体的に言うと、ブラウザが SymLink を処理する方法を悪用する攻撃者に対して、暗号ウォレットやクラウド・プロバイダの認証情報などの、機密ファイルの窃取を許してしまう脆弱性だといわれています。
CVE-2022-4135
CWE-122(ヒープバッファ・オーバーフロー)
CVSS 6.3
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html
https://forest.watch.impress.co.jp/docs/news/1458468.html
CVE-2022-3656
Medium
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_25.html
https://nvd.nist.gov/vuln/detail/CVE-2022-3656
===================================
■■■ WordPress
WordPress が公開したのは、数万インストールされている人気プラグイン3種類に存在する、深刻な SQL インジェクションの脆弱性と、その対策です。SQLインジェクション脆弱性とは、Web サイトのセキュリティ上の欠陥のことを指します。その悪用に成功した攻撃者は、フォームフィールドや URL 経由でデータを入力し、正規のデータベース・クエリーを変更することで、データの改ざんなどを可能にします。SQL インジェクションの脆弱性を持つ Web サイトのコードに応じて、サイト・データの修正や削除/悪意のスクリプト注入/Web サイトへのフルアクセスなどにいたる恐れがあります。
CVE-2023-23488
CWE-89(SQLインジェクション)
CVSS 9.8
https://www.tenable.com/security/research/tra-2023-2
CVE-2023-23489
CWE-89(SQLインジェクション)
CVSS 9.8
https://www.tenable.com/security/research/tra-2023-2
CVE-2023-23490
CWE-89(SQLインジェクション)
CVSS 8.8
https://www.tenable.com/security/research/tra-2023-2
===================================
■■■ Cacti
Cacti は、堅牢で拡張性の高い運用監視/障害管理フレームワークを、ユーザーに提供するオープンソースのプラットフォームです。Censys の研究者が発見したのは、インターネットに公開されている Cacti サーバの大部分に、現時点で積極的に悪用されている、深刻な脆弱性 CVE-2022-46169 が存在することです。
https://iototsecnews.jp/2023/01/14/most-internet-exposed-cacti-servers-exposed-to-hacking/
CVE-2022-46169
CWE-74(インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-46169
https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf
===================================
■■■ GitLab
GitLab が、2つの深刻なセキュリティ脆弱性に対してパッチを適用しました。それらは、ヒープバッファ・オーバーフローに起因するものであり、悪用に成功した攻撃者に、任意のコード実行を許すものです。3つ目の Windows 固有の脆弱性は、信頼できない検索パスに起因するものであり、Git GUI ツールに影響を及ぼします。未認証の脅威者に対して、信頼できないコードを、容易に実行させる可能性を持っています。最初の2つの脆弱性である CVE-2022-41903 (commit formatting mechanism) と、CVE-2022-23521 (gitattributes parser) に関しては、v2.30.7 によりパッチが適用されています。
https://iototsecnews.jp/2023/01/17/git-patches-two-critical-remote-code-execution-security-flaws/
CVE-2022-23521, CVE-2022-41903
CVSS 9.8
https://about.gitlab.com/releases/2023/01/17/critical-security-release-gitlab-15-7-5-released/
https://nvd.nist.gov/vuln/detail/CVE-2022-41903
https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
CVE-2022-23521, CVE-2022-41903, CVE-2022-41953
CVSS 9.8
https://github.blog/2023-01-17-git-security-vulnerabilities-announced-2/
https://nvd.nist.gov/vuln/detail/CVE-2022-41903
https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
===================================
■■■ Zoho ManageEngine
Zoho ManageEngine のユーザーが催促されているのは、PoC エクスプロイト・コードの公開に先立って、深刻なセキュリティ脆弱性を持つインスタンスにパッチを適用することです。この脆弱性 CVE-2022-47966 は、旧来からのサードパーティ依存関係である Apache Santuario の使用により、未認証のリモート・コード実行が発生し、複数の製品に影響を与える可能性が生じるというものです。
CVE-2022-47966
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-47966
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
===================================
■■■ Sophos
インターネットに接続される 4,000 台以上の Sophos Firewall に存在する、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-3236 を狙って、サイバー攻撃が発生する可能性があることが判明しました。Sophos Webadmin/Sophos Firewall の User Portal に存在する、このコードインジェクションの脆弱性は 2022年9月に公開され、複数の Sophos Firewall バージョンに対するホットフィックスがリリースされました (正式な修正プログラムは3カ月後の2022年12月に発行)。
https://iototsecnews.jp/2023/01/17/over-4000-sophos-firewall-devices-vulnerable-to-rce-attacks/
CVE-2022-1040
CWE-287(不適切な認証)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-1040
https://www.sophos.com/ja-jp/security-advisories/sophos-sa-20220325-sfos-rce
CVE-2022-3236
CVSS 9.8
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce
https://nvd.nist.gov/vuln/detail/CVE-2022-3236
===================================
■■■ CISA KEV:CentOS CWP
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、広く使われている CentOS Control Web Panel の深刻な脆弱性 CVE-2022-44877 を、KEV(Known Exploited Vulnerabilities)カタログに追加し、連邦機関に対して2月初旬までに修正するよう指示しています。
https://iototsecnews.jp/2023/01/18/exploited-control-web-panel-flaw-added-to-cisa-must-patch-list/
CVE-2022-44877
CWE-78(OSコマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-44877
===================================
■■■ Cisco
2023年1月18日に Cisco は、Unified Communications Manager (CM) および Unified Communications Manager Session Management Edition (CM SME) に存在する、深刻な SQL インジェクションの脆弱性に対するパッチを発表しました。エンタープライズ・コールおよびセッション管理プラットフォームとして設計されたCisco Unified CM/Unified CM SME は、Webex/Jabber などのアプリとの相互運用性を確保し、可用性と安全性を維持するものです。
CVE-2023-20010
CVSS 8.1
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。