カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#90675050
トレンドマイクロ製Apex OneおよびApex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90675050/

概要

Apex OneおよびApex One SaaSには、複数の脆弱性があります。結果として、脆弱な端末にアクセスできる第三者が、昇格された権限で任意のDLLを読み込むなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Apex One 2019
– Apex One SaaS

この問題は、該当する製品にトレンドマイクロ株式会社が提供する最新版を適用することで解決します。なお、Apex One SaaSについては2022年3月のメンテナンスで修正済みとのことです。詳細はトレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One で確認された複数の脆弱性について (2022年5月)
https://success.trendmicro.com/jp/solution/000291015

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-08号」
https://www.jpcert.or.jp/wr/2022/wr222201.html

複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/01/mozilla-releases-security-updates-firefox-firefox-esr-and

概要

複数のMozilla製品には、複数の脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Mozilla Firefox 101より前のバージョン
– Mozilla Firefox ESR 91.10より前のバージョン
– Mozilla Thunderbird 91.10より前のバージョン
– Mozilla Firefox for iOS 101より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisory 2022-20
https://www.mozilla.org/en-US/security/advisories/mfsa2022-20/

Mozilla
Mozilla Foundation Security Advisory 2022-21
https://www.mozilla.org/en-US/security/advisories/mfsa2022-21/

Mozilla
Mozilla Foundation Security Advisory 2022-22
https://www.mozilla.org/en-US/security/advisories/mfsa2022-22/

Mozilla
Mozilla Foundation Security Advisory 2022-23
https://www.mozilla.org/en-US/security/advisories/mfsa2022-23/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-08号」
https://www.jpcert.or.jp/wr/2022/wr222201.html

Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/25/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

– Google Chrome 102.0.5005.61より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_24.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Products for Multiple Firefox Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/23/mozilla-releases-security-products-multiple-firefox-products

概要

複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のスクリプトを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Mozilla Firefox 100.0.2より前のバージョン
– Mozilla Firefox ESR 91.9.1より前のバージョン
– Mozilla Firefox for Android 100.3.0より前のバージョン
– Mozilla Thunderbird 91.9.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisory 2022-19
https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

Spring Securityに認証回避の脆弱性

情報源

Japan Vulnerability Notes JVNVU#96405576
Spring SecurityのRegexRequestMatcherにおける認証回避の脆弱性
https://jvn.jp/vu/JVNVU96405576/

概要

VMwareが提供するSpring Securityには、認証回避の脆弱性があります。結果として、遠隔の第三者がWebページの認証を回避し、情報を閲覧するなどの可能性があります。

対象となるバージョンは次のとおりです。

– Spring Security 5.5.7より前の5.5系のバージョン
– Spring Security 5.6.4より前の5.6系のバージョン

開発者によると、サポートが終了した上記バージョンより前のバージョンも影響を受けるとのことです。

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新することで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)

VMware
CVE-2022-22978: Authorization Bypass in RegexRequestMatcher
https://tanzu.vmware.com/security/cve-2022-22978

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

Drupalのサードパーティライブラリに脆弱性

情報源

CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/26/drupal-releases-security-updates

概要

Drupalが使用するサードパーティライブラリGuzzleには、脆弱性があります。
結果として、遠隔の第三者が機微な情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Drupal 9.3.14より前の9.3系バージョン
– Drupal 9.2.20より前の9.2系バージョン

なお、Drupal 9.2系より前の9系のバージョンはサポートが終了しており、今回のセキュリティに関する情報は提供されていません。また、Drupal 7系は本脆弱性の影響を受けないとのことです。

この問題は、Drupalを開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core – Moderately critical – Third-party libraries – SA-CORE-2022-010
https://www.drupal.org/sa-core-2022-010

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

複数のCitrix製品に脆弱性

情報源

CISA Current Activity
Citrix Releases Security Updates for ADC and Gateway
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/26/citrix-releases-security-updates-adc-and-gateway

概要

複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害(DoS)攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Citrix ADCおよびCitrix Gateway 13.1-21.50より前の13.1系のバージョン
– Citrix ADCおよびCitrix Gateway 13.0-85.19より前の13.0系のバージョン
– Citrix ADCおよびCitrix Gateway 12.1-64.17より前の12.1系のバージョン
– Citrix ADC 12.1-FIPS 12.1-55.278より前のバージョン
– Citrix ADC 12.1-NDcPP 12.1-55.278より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新することで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)

Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27507 and CVE-2022-27508
https://support.citrix.com/article/CTX457048

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

複数のRevoWorks製品に脆弱性

情報源

Japan Vulnerability Notes JVN#27256219
RevoWorks 製品における不十分な無害化処理の脆弱性
https://jvn.jp/jp/JVN27256219/

概要

ジェイズ・コミュニケーション株式会社が提供するRevoWorks SCVX、RevoWorks BrowserおよびRevoWorks Desktopには、不十分な無害化処理の脆弱性があります。結果として、ローカル環境に持ち込んだファイルを開くことで、悪意のあるマクロが実行されるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– RevoWorks SCVX ファイル無害化ライブラリ 1.043およびそれ以前のバージョン
– RevoWorks Browser 2.2.67およびそれ以前のバージョン(ファイル無害化オプションを利用している場合)
– RevoWorks Desktop 2.1.84およびそれ以前のバージョン(ファイル無害化オプションを利用している場合)

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

ジェイズ・コミュニケーション株式会社
【重要】RevoWorks製品におけるファイル無害化処理の脆弱性について
https://jscom.jp/news-20220527/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

コンテック製SolarView CompactにOSコマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVNVU#92327282
コンテック製SolarView CompactにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92327282/

概要

株式会社コンテックが提供するSolarView Compactには、OSコマンドインジェクションの脆弱性があります。結果として、設定画面にアクセス可能なユーザーが任意のOSコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

– SolarView Compact
– SV-CPT-MC310 Ver.7.21より前のバージョン
– SV-CPT-MC310F Ver.7.21より前のバージョン

この問題は、該当する製品を株式会社コンテックが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社コンテックが提供する情報を参照してください。

関連文書 (日本語)

株式会社コンテック
SolarView Compact(SV-CPT-MC310)の脆弱性について
https://www.contec.com/jp/-/media/contec/jp/support/security-info/contec_security_solarview_220526.pdf/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

WordPress用プラグインWP Statisticsにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#15241647
WordPress 用プラグイン WP Statistics におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN15241647/

概要

WordPress用プラグインWP Statisticsには、クロスサイトスクリプティングの脆弱性があります。結果として、当該製品を使用しているサイトにログインしているユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性があります。

対象となるバージョンは次のとおりです。

– WP Statistics 13.2.0より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

WP Statistics
Changelog
https://wordpress.org/plugins/wp-statistics/#developers

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html