Craft CMS における遠隔からの任意のコード実行につながるパラメータ検証不備の脆弱性(Scan Tech Report) 1枚目の写真・画像 | ScanNetSecurity
2025.12.18(木)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 エクスプロイト 記事 写真・画像

Craft CMS における遠隔からの任意のコード実行につながるパラメータ検証不備の脆弱性(Scan Tech Report) 1枚目の写真・画像

 脆弱性は、セキュリティの観点から現在はデフォルトで無効化されているオプションが有効化されている場合にのみ発現するものですが、公式に提供されている Docker イメージなどで有効化されているオプションであると報告されています。phpinfo 関数などにより register_argc_argv オプションが有効化されていないかを確認するとともに、ソフトウェアのバージョンアップデートによる対策の検討を推奨します。

脆弱性と脅威
https://craftcms.com/
https://craftcms.com/

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

外務省が不審な日本文化イベントに注意呼びかけ、架空イベントの入場券購入させ金銭を騙し取る事案発生 画像

外務省が不審な日本文化イベントに注意呼びかけ、架空イベントの入場券購入させ金銭を騙し取る事案発生
PowerDNS Recursor に外部からのサービス不能(DoS)攻撃が可能になる脆弱性 画像

PowerDNS Recursor に外部からのサービス不能(DoS)攻撃が可能になる脆弱性
法人口座を狙ったボイスフィッシング 楽天銀行 注意呼びかけ 画像

法人口座を狙ったボイスフィッシング 楽天銀行 注意呼びかけ
Adobe ColdFusion に入力検証不備の脆弱性 画像

Adobe ColdFusion に入力検証不備の脆弱性
QND に権限昇格の脆弱性 画像

QND に権限昇格の脆弱性
Windows ファイルエクスプローラーにおける NTLM 認証通信の強制が可能となる .lnk ファイル処理の不備(Scan Tech Report) 画像

Windows ファイルエクスプローラーにおける NTLM 認証通信の強制が可能となる .lnk ファイル処理の不備(Scan Tech Report)

インシデント・事故 記事一覧へ

スポーツクラブNASで誤った宛先に 5 回メール誤送信、ダブルチェック義務化しヒューマンエラー撲滅に努める 画像

スポーツクラブNASで誤った宛先に 5 回メール誤送信、ダブルチェック義務化しヒューマンエラー撲滅に努める
アスクル社長「可能な限り詳細にご報告いたします。サイバー攻撃対策の一助となりましたら幸い」 画像

アスクル社長「可能な限り詳細にご報告いたします。サイバー攻撃対策の一助となりましたら幸い」
ハウステンボスへの不正アクセス、サーバ内のファイルの一部が暗号化 画像

ハウステンボスへの不正アクセス、サーバ内のファイルの一部が暗号化
信和の子会社で資金流出、損失最大約 2 億 5 千万円となる見込み 画像

信和の子会社で資金流出、損失最大約 2 億 5 千万円となる見込み
FCLコンポーネントの海外子会社に不正アクセス 画像

FCLコンポーネントの海外子会社に不正アクセス
ネットワーク機器設定ミスが原因 ~ EMシステムズ運営のクラウド版システムで障害 画像

ネットワーク機器設定ミスが原因 ~ EMシステムズ運営のクラウド版システムで障害

調査・レポート・白書・ガイドライン 記事一覧へ

7 割強が取引先選定時にセキュリティ対策実施状況を重視 ~ 情報セキュリティ担当者 700 名調査 画像

7 割強が取引先選定時にセキュリティ対策実施状況を重視 ~ 情報セキュリティ担当者 700 名調査
約 4 割が「二段階認証使いにくい」金融取引の認証意識調査結果 画像

約 4 割が「二段階認証使いにくい」金融取引の認証意識調査結果
日本の Okta ユーザー企業、MFA 導入率が 53 %から 62 %に向上 画像

日本の Okta ユーザー企業、MFA 導入率が 53 %から 62 %に向上
5 歳未満で命を落とす子どもが 21 世紀で初めて増加の見通し ~ ゲイツ財団「Goalkeepers 2025 Report」 画像

5 歳未満で命を落とす子どもが 21 世紀で初めて増加の見通し ~ ゲイツ財団「Goalkeepers 2025 Report」
サイバー攻撃、他人事(ひとごと)でなく自社に起こり得る現実的脅威 画像

サイバー攻撃、他人事(ひとごと)でなく自社に起こり得る現実的脅威
期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン 画像

期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

研修・セミナー・カンファレンス 記事一覧へ

セコムトラストシステムズ、オンラインセミナー「明日ランサム攻撃に遭ったら?」1 / 14・1 5 開催 画像

セコムトラストシステムズ、オンラインセミナー「明日ランサム攻撃に遭ったら?」1 / 14・1 5 開催
HENNGE、オンラインセミナー「あなたの Microsoft 365 は大丈夫?見落としがちな設定の落とし穴」12 / 24 開催 画像

HENNGE、オンラインセミナー「あなたの Microsoft 365 は大丈夫?見落としがちな設定の落とし穴」12 / 24 開催
来るべきその日に備え、何からどう手を付ける? PQC に備えた現実的な一歩とは ~ JPAAWG 8th General Meeting レポート #01 画像

来るべきその日に備え、何からどう手を付ける? PQC に備えた現実的な一歩とは ~ JPAAWG 8th General Meeting レポート #01
解説 岡本勝之 ~ トレンドマイクロ「2026年サイバーリスク脅威予測」12 / 19 開催 画像

解説 岡本勝之 ~ トレンドマイクロ「2026年サイバーリスク脅威予測」12 / 19 開催
「サイバーインシデント演習 in 北海道」講師 川口設計 川口洋氏 1/23開催 画像

「サイバーインシデント演習 in 北海道」講師 川口設計 川口洋氏 1/23開催
HENNGE、オンラインセミナー「もう迷わない!クラウドストレージの情報漏えい対策~File DLPで実現する、安全かつ効率的なファイル管理~」 12/17 開催 画像

HENNGE、オンラインセミナー「もう迷わない!クラウドストレージの情報漏えい対策~File DLPで実現する、安全かつ効率的なファイル管理~」 12/17 開催

製品・サービス・業界動向 記事一覧へ

プルーフポイントが Hornetsecurity Group の買収完了、Human-Centric セキュリティプラットフォーム拡大 画像

プルーフポイントが Hornetsecurity Group の買収完了、Human-Centric セキュリティプラットフォーム拡大
GMOサイバーセキュリティ byイエラエ、note のペネトレーションテスト実施 画像

GMOサイバーセキュリティ byイエラエ、note のペネトレーションテスト実施
AeyeScan アップデート、「React Server Components の脆弱性(CVE-2025-55182)」対応スキャンルール追加 画像

AeyeScan アップデート、「React Server Components の脆弱性(CVE-2025-55182)」対応スキャンルール追加
緊急性の高い「React2Shell」脆弱性(CVE-2025-55182)、SHIFT SECURITY対応状況 画像

緊急性の高い「React2Shell」脆弱性(CVE-2025-55182)、SHIFT SECURITY対応状況
2025 年 Gartner マジック・クアドラント、Eメールセキュリティ部門に 2 年連続 Proofpoint を リーダーに選出 画像

2025 年 Gartner マジック・クアドラント、Eメールセキュリティ部門に 2 年連続 Proofpoint を リーダーに選出
経産省、アクセス制御機能に関する技術の研究開発情報を募集 画像

経産省、アクセス制御機能に関する技術の研究開発情報を募集

おしらせ 記事一覧へ

創刊 27 周年記念キャンペーンのおしらせ(5)後出し特典「Black Hat USA 2025 参加者用バックパック」 画像

創刊 27 周年記念キャンペーンのおしらせ(5)後出し特典「Black Hat USA 2025 参加者用バックパック」
創刊 27 周年記念キャンペーンのおしらせ(4)編集部ドジっ子伝説 画像

創刊 27 周年記念キャンペーンのおしらせ(4)編集部ドジっ子伝説
創刊 27 周年記念キャンペーンのおしらせ(3)5 万人に一人のエリートからぞくぞくとお問い合わせをいただいております 画像

創刊 27 周年記念キャンペーンのおしらせ(3)5 万人に一人のエリートからぞくぞくとお問い合わせをいただいております
創刊 27 周年記念キャンペーンのおしらせ(2)「 X 年後の 12 月 1 日以降に御連絡ください」来るかもと思ってはいましたがやっぱり来た問い合わせの件 画像

創刊 27 周年記念キャンペーンのおしらせ(2)「 X 年後の 12 月 1 日以降に御連絡ください」来るかもと思ってはいましたがやっぱり来た問い合わせの件
創刊 27 周年記念キャンペーンのおしらせ(1)PayPal と銀行振込は一部のコースを除いてご利用できませんすみません 画像

創刊 27 周年記念キャンペーンのおしらせ(1)PayPal と銀行振込は一部のコースを除いてご利用できませんすみません
ScanNetSecurity 創刊27周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊27周年御礼の辞(上野宣)
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×