-
注目すべき脆弱性:Forma Learning Management System に存在する SQL インジェクション脆弱性
脅威リサーチ
Cisco Talos は最近、Formal Learning Management System の認証された部分で、SQL インジェクションに関する脆弱性を 3 つ発見しました。LMS は、企業が従業員向けにさまざまなトレーニングコースを構築して主催できるようにする一連のソフトウェアです。このソフトウェアは、オープンソースのライセンスモデルで動作し、現在は Forma が管理しています。
続きを読む
-
注目すべき脆弱性:Accusoft ImageGear の PNG IHDR におけるコード実行の脆弱性
脅威リサーチAccusoft ImageGear には、リモートからコードが実行される脆弱性が 2 つ存在しています。ImageGear は、Accusoft 社が提供しているドキュメント/画像処理ライブリです。アプリケーションの開発に利用でき、ドキュメント/画像処理のライフサイクル全体が含まれています。
続きを読む
-
注目すべき脆弱性:EmbedThis GoAhead に存在する 2 つの脆弱性
脅威リサーチEmbedThis 社の GoAhead Web サーバには、脆弱性が 2 つ存在します。いずれも、multi-part/form-data HTTP リクエストを処理しようとした際に発生します。これらの脆弱性がエクスプロイトされると、侵入されたマシンでリモートからコードが実行されるか、サービス妨害状態になる危険性があります。
続きを読む
-
注目の脆弱性:Xcftools で 2 件発見されたリモートコード実行の脆弱性
脅威リサーチXcftools では、flattenIncrementally 関数に起因するリモートコード実行の脆弱性が 2 件発見されました。 Xcftoolsは GIMP の XCF ファイルを処理するための一連のツールです。各ツールを使うことで XCF ファイルから情報を抽出し、そこから XCF ファイルを PNG ファイルまたは PNM ファイルに変換できます。
続きを読む
-
注目の脆弱性:Exhibitor の UI に存在するコマンドインジェクションのバグ
脅威リサーチExhibitor の Web UI が備えている設定エディタには、コマンドインジェクションによってエクスプロイトされ得る脆弱性が存在します。Exhibitor は、ZooKeeper の遠隔監視プロセスです。Exhibitor の Web UI には、どのような形式の認証も導入されておらず、1.7.0 よりも前のバージョンでは、リッスン対象のインターフェイスを指定する手段がありませんでした。
続きを読む
-
注目の脆弱性:YouPHPTube で発見された複数の脆弱性
脅威リサーチYouPHPTube には、さまざまな攻撃に利用されかねない複数の脆弱性が含まれています。一部のケースでは、細工をした Web リクエストを使って、アプリケーションに SQL コードを挿入する攻撃が可能です。YouPHPTube は、ユーザが自分自身で独自の動画サイトを作成できるオープンソースのプログラムです。ソフトウェアの Web サイトを見ると、YouTube、Netflix、Vimeo などの有名な動画配信サービスを念頭に置いていることがわかります。
続きを読む
-
Microsoft セキュリティ更新プログラム(月例):2019 年 10 月の脆弱性開示と Snort カバレッジ
脅威リサーチMicrosoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の同社製品に含まれるさまざまな脆弱性を公開しました。最新のセキュリティ更新プログラムでは 60 件の脆弱性が公開されています。そのうち 9 件は「緊急」、他の 51 件は「重要」と評価されています。
続きを読む
-
注目の脆弱性:Epignosis eFront の 2 つの脆弱性
脅威リサーチCisco Talos は、Epignosis eFront に 2 件の脆弱性が存在することを発見しました。1 つは攻撃者によるリモートでのコード実行を可能にするもので、もう 1 つは、対象のマシンでの SQL インジェクションを可能にするものです。eFront は、仮想トレーニング環境とデータを管理できる LMS プラットフォームです。このソフトウェアを使用することで、大企業であっても、研修を従業員に迅速かつ効率的に実施できます。
続きを読む
バグ
シスコをフォロー
Cisco Japan Official
