Scan Tech Report(3 ページ目)

Microsoft Windows において許可されていないアカウントに高権限動作を許可してしまう LSA サービスの権限処理不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.7.25 Mon 8:15

Microsoft Windows において許可されていないアカウントに高権限動作を許可してしまう LSA サービスの権限処理不備の脆弱性（Scan Tech Report）

2022 年 6 月に、Microsoft Windows における権限昇格につながる脆弱性が公開されています。

Microsoft Windows において DiagnosticProfile COM オブジェクトを悪用して UAC を回避し特権ディレクトリに任意のファイルを作成する手法（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.7.7 Thu 8:10

Microsoft Windows において DiagnosticProfile COM オブジェクトを悪用して UAC を回避し特権ディレクトリに任意のファイルを作成する手法（Scan Tech Report）

2022 年 6 月に、Microsoft Windows OS に、UAC による権限制御が回避可能となる手法が公開されています。

Atlassian Confluence において URI の検証不備により遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.6.22 Wed 8:10

Atlassian Confluence において URI の検証不備により遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

2022 年 6 月に、Atlassian 社の Confluence に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

Apache Struts においてタグに含まれた OGNL 式の二重評価により遠隔からの任意のコード実行が可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.6.13 Mon 8:10

Apache Struts においてタグに含まれた OGNL 式の二重評価により遠隔からの任意のコード実行が可能となる脆弱性（Scan Tech Report）

2022 年 4 月に、Apache Struts の、遠隔からの任意のコードが実行可能となる脆弱性が公開されています。

Redis の Lua スクリプティング機能におけるサンドボックス機構が回避可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.5.25 Wed 8:10

Redis の Lua スクリプティング機能におけるサンドボックス機構が回避可能となる脆弱性（Scan Tech Report）

2022 年 1 月に、データベースソフトウェアである Redis に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.5.11 Wed 8:10

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性（Scan Tech Report）

2022 年 1 月に、Microsoft Windows のカーネルに管理者権限の奪取につながる脆弱性が報告されています。

Spring Cloud Function における HTTP ヘッダの処理に起因する遠隔からの任意のコード実行につながる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.4.22 Fri 8:10

Spring Cloud Function における HTTP ヘッダの処理に起因する遠隔からの任意のコード実行につながる脆弱性（Scan Tech Report）

2021 年 4 月に、Java のアプリケーションフレームワークとして世界的に利用されている Spring Framework の関連ソフトウェアである Spring Cloud Function に、遠隔コード実行につながる脆弱性が公開されています。

Linux Kernel の watch_queue event notification サブシステムにおける境界外メモリ書き込みの脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.4.13 Wed 8:10

Linux Kernel の watch_queue event notification サブシステムにおける境界外メモリ書き込みの脆弱性（Scan Tech Report）

2021 年 3 月に、Linux カーネルに権限昇格につながる脆弱性が公開されています。

Linux Kernel における pipe オブジェクトの初期化処理の不備により任意のファイルが上書き可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.3.28 Mon 8:15

Linux Kernel における pipe オブジェクトの初期化処理の不備により任意のファイルが上書き可能となる脆弱性（Scan Tech Report）

2022 年 3 月に、Linux Kernel に管理者権限への昇格が可能となる脆弱性が報告されています。

PolicyKit において環境変数での境界外メモリ書き込みの脆弱性により管理者権限で任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.3.11 Fri 8:15

PolicyKit において環境変数での境界外メモリ書き込みの脆弱性により管理者権限で任意のコードが実行されてしまう脆弱性（Scan Tech Report）

2022 年 1 月に、OS の権限管理ツールである PolicyKit に管理者権限の奪取につながる脆弱性が存在することが公開されています。

Microsoft Windows にプリンタの設定値検証不備により管理者権限で任意のコードが実行可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.2.24 Thu 8:10

Microsoft Windows にプリンタの設定値検証不備により管理者権限で任意のコードが実行可能となる脆弱性（Scan Tech Report）

本脆弱性は 2022 年 2 月に、Microsoft Windows での権限昇格につながる脆弱性が公開されています。

GoAhead において遠隔からの任意のコード実行につながる環境変数のフィルタ処理不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.2.8 Tue 8:10

GoAhead において遠隔からの任意のコード実行につながる環境変数のフィルタ処理不備の脆弱性（Scan Tech Report）

本脆弱性は 2021 年 10 月に、IoT 製品向け Web サーバソフトウェアである GoAhead に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

Microsoft Windows において Encrypting File System での検証不備により任意のファイルのアップロードや操作が可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.1.27 Thu 8:15

Microsoft Windows において Encrypting File System での検証不備により任意のファイルのアップロードや操作が可能となる脆弱性（Scan Tech Report）

2021 年 12 月に、Microsoft Windows OS に任意のファイルが操作可能となる脆弱性が公開されています。

Grafana において API にリクエストされた URI 文字列の検証不備により任意のファイルが読み取り可能となるディレクトリトラバーサルの脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2022.1.12 Wed 8:15

Grafana において API にリクエストされた URI 文字列の検証不備により任意のファイルが読み取り可能となるディレクトリトラバーサルの脆弱性（Scan Tech Report）

脆弱性は 2021 年 12 月に、データ分析ソフトウェアである Grafana に、任意のファイルが閲覧可能となるディレクトリとラバーサルの脆弱性が報告されています。

ManageEngine の複数の製品における遠隔からの任意のコード実行につながる API への制御不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2021.12.27 Mon 8:15

ManageEngine の複数の製品における遠隔からの任意のコード実行につながる API への制御不備の脆弱性（Scan Tech Report）

2021 年 12 月に、サービスの管理や問い合わせの管理をするためのツールである ManageEngine ServiceDesk Plus および Manage Engine Support Center に、遠隔からの任意のコード実行につながる脆弱性が報告されています。

GitLab においてメタデータの削除処理に起因する遠隔コード実行の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2021.12.7 Tue 8:20

GitLab においてメタデータの削除処理に起因する遠隔コード実行の脆弱性（Scan Tech Report）

開発用ソフトウェアである GitLab に、2021 年 4 月に報告された遠隔コード実行の脆弱性のエクスプロイトコードが公開されています。

Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2021.11.26 Fri 8:15

Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性（Scan Tech Report）

2021 年 10 月に、世界的に利用されている Web サーバである Apache HTTP Server に、遠隔からの任意のコード実行につながる可能性がある脆弱性が報告されています。

Microsoft Windows において NtGdiResetDC API 関数のコールバック関数の検証不備により管理者権限の奪取が可能となる Use-After-Free の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2021.11.16 Tue 8:15

Microsoft Windows において NtGdiResetDC API 関数のコールバック関数の検証不備により管理者権限の奪取が可能となる Use-After-Free の脆弱性（Scan Tech Report）

2021 年 10 月に、Microsoft Windows のカーネルに管理者権限の奪取につながる脆弱性が報告されています。

GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2021.10.25 Mon 8:10

GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性（Scan Tech Report）

2021 年 9 月に、画像処理ソフトウェアである GhostScript に、任意のコードが実行可能となる脆弱性が報告されています。

Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2021.10.12 Tue 8:20

Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性（Scan Tech Report）

2021 年 5 月に、Linux カーネルに権限昇格の脆弱性が報告されています。

Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2021.9.22 Wed 8:25

Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性（Scan Tech Report）

2021 年 4 月に、Google Chrome に任意のコード実行が可能となる脆弱性が報告されています。