アメリカ合衆国サイバーセキュリティとインフラ・セキュリティ・エージェンシー(CISA(実際に使用されたことが確認されているもの)抜け穴(KEV)カタログに6つの新しいセキュリティ脆弱性が追加された。
その中には次のようなものがある:
- CVE-2023-27524 (CVSS スコア: 8.9)この危険度の高い脆弱性は、オープンソースのデータ可視化ソフトウェア Apache Superset に影響し、攻撃者がリモートでコードを実行できる可能性があります。この脆弱性はバージョン2.1で修正されています。この脆弱性に関する情報は2023年4月に初めて公開され、Horizon3.aiのNaveen Sunkavallyは「Apache Supersetの危険なデフォルト設定は、認証されていない攻撃者がリモートでコードを実行し、認証情報を盗み、データを破損することを可能にする。".この脆弱性がどのように悪用されているかは不明である。
- CVE-2023-38203 (CVSSスコア: 9.8)Adobe ColdFusion のデシリアライゼーションに信頼されないデータの脆弱性。
- CVE-2023-29300(CVSSスコア:9.8)Adobe ColdFusion のデシリアライゼーションに信頼されないデータの脆弱性。
- CVE-2023-41990(CVSSスコア:7.8)複数のアップル製品にコード実行の脆弱性。
- CVE-2016-20017(CVSSスコア:9.8): D-Link DSL-2750B デバイスコマンドインジェクション脆弱性。
- CVE-2023-23752 (CVSS スコア: 5.3)不適切なアクセス制御の脆弱性。
注目すべきことに、CVE-2023-41990の脆弱性はiOS 15.7.8およびiOS 16.3でAppleによって修正されているが、未知の攻撃者によって(細工されたiMessage PDF添付ファイルを介して)「三角測量」スパイウェア攻撃で悪用されている。リモートコード実行。
CISAは、連邦民事行政機関(FCEB)に対し、2024年1月29日までに上記の脆弱性の修正プログラムを適用し、積極的な脅威からネットワークを保護することを推奨している。
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/cisa-updates-kev-catalog-with-6-vulnerabilities.html。
