Scan Tech Report | ScanNetSecurity
2022.05.25(水)

Scan Tech Report

Redis の Lua スクリプティング機能におけるサンドボックス機構が回避可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Redis の Lua スクリプティング機能におけるサンドボックス機構が回避可能となる脆弱性(Scan Tech Report)

2022 年 1 月に、データベースソフトウェアである Redis に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report)

2022 年 1 月に、Microsoft Windows のカーネルに管理者権限の奪取につながる脆弱性が報告されています。

Spring Cloud Function における HTTP ヘッダの処理に起因する遠隔からの任意のコード実行につながる脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Spring Cloud Function における HTTP ヘッダの処理に起因する遠隔からの任意のコード実行につながる脆弱性(Scan Tech Report)

2021 年 4 月に、Java のアプリケーションフレームワークとして世界的に利用されている Spring Framework の関連ソフトウェアである Spring Cloud Function に、遠隔コード実行につながる脆弱性が公開されています。

Linux Kernel の watch_queue event notification サブシステムにおける境界外メモリ書き込みの脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Linux Kernel の watch_queue event notification サブシステムにおける境界外メモリ書き込みの脆弱性(Scan Tech Report)

2021 年 3 月に、Linux カーネルに権限昇格につながる脆弱性が公開されています。

Linux Kernel における pipe オブジェクトの初期化処理の不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Linux Kernel における pipe オブジェクトの初期化処理の不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)

2022 年 3 月に、Linux Kernel に管理者権限への昇格が可能となる脆弱性が報告されています。

PolicyKit において環境変数での境界外メモリ書き込みの脆弱性により管理者権限で任意のコードが実行されてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

PolicyKit において環境変数での境界外メモリ書き込みの脆弱性により管理者権限で任意のコードが実行されてしまう脆弱性(Scan Tech Report)

2022 年 1 月に、OS の権限管理ツールである PolicyKit に管理者権限の奪取につながる脆弱性が存在することが公開されています。

Microsoft Windows にプリンタの設定値検証不備により管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Microsoft Windows にプリンタの設定値検証不備により管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)

本脆弱性は 2022 年 2 月に、Microsoft Windows での権限昇格につながる脆弱性が公開されています。

GoAhead において遠隔からの任意のコード実行につながる環境変数のフィルタ処理不備の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

GoAhead において遠隔からの任意のコード実行につながる環境変数のフィルタ処理不備の脆弱性(Scan Tech Report)

本脆弱性は 2021 年 10 月に、IoT 製品向け Web サーバソフトウェアである GoAhead に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

Microsoft Windows において Encrypting File System での検証不備により任意のファイルのアップロードや操作が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Microsoft Windows において Encrypting File System での検証不備により任意のファイルのアップロードや操作が可能となる脆弱性(Scan Tech Report)

2021 年 12 月に、Microsoft Windows OS に任意のファイルが操作可能となる脆弱性が公開されています。

Grafana において API にリクエストされた URI 文字列の検証不備により任意のファイルが読み取り可能となるディレクトリトラバーサルの脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Grafana において API にリクエストされた URI 文字列の検証不備により任意のファイルが読み取り可能となるディレクトリトラバーサルの脆弱性(Scan Tech Report)

脆弱性は 2021 年 12 月に、データ分析ソフトウェアである Grafana に、任意のファイルが閲覧可能となるディレクトリとラバーサルの脆弱性が報告されています。

ManageEngine の複数の製品における遠隔からの任意のコード実行につながる API への制御不備の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

ManageEngine の複数の製品における遠隔からの任意のコード実行につながる API への制御不備の脆弱性(Scan Tech Report)

2021 年 12 月に、サービスの管理や問い合わせの管理をするためのツールである ManageEngine ServiceDesk Plus および Manage Engine Support Center に、遠隔からの任意のコード実行につながる脆弱性が報告されています。

GitLab においてメタデータの削除処理に起因する遠隔コード実行の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

GitLab においてメタデータの削除処理に起因する遠隔コード実行の脆弱性(Scan Tech Report)

開発用ソフトウェアである GitLab に、2021 年 4 月に報告された遠隔コード実行の脆弱性のエクスプロイトコードが公開されています。

Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report)

2021 年 10 月に、世界的に利用されている Web サーバである Apache HTTP Server に、遠隔からの任意のコード実行につながる可能性がある脆弱性が報告されています。

Microsoft Windows において NtGdiResetDC API 関数のコールバック関数の検証不備により管理者権限の奪取が可能となる Use-After-Free の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Microsoft Windows において NtGdiResetDC API 関数のコールバック関数の検証不備により管理者権限の奪取が可能となる Use-After-Free の脆弱性(Scan Tech Report)

2021 年 10 月に、Microsoft Windows のカーネルに管理者権限の奪取につながる脆弱性が報告されています。

GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

2021 年 9 月に、画像処理ソフトウェアである GhostScript に、任意のコードが実行可能となる脆弱性が報告されています。

Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性(Scan Tech Report)

2021 年 5 月に、Linux カーネルに権限昇格の脆弱性が報告されています。

Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report)

2021 年 4 月に、Google Chrome に任意のコード実行が可能となる脆弱性が報告されています。

Atlassian Confluence において遠隔からの任意のコード実行が可能となる OGNL Injection の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Atlassian Confluence において遠隔からの任意のコード実行が可能となる OGNL Injection の脆弱性(Scan Tech Report)

2021 年 8 月に、Atlassian 社の Confluence に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

Microsoft Windows OS において Print Spooler サービスの権限設定不備により特権昇格が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Microsoft Windows OS において Print Spooler サービスの権限設定不備により特権昇格が可能となる脆弱性(Scan Tech Report)

2021 年 6 月に、Microsoft Windows の Print Spooler サービスに、特権昇格につながる脆弱性が報告されています。

Microsoft Windows OS においてレジストリに任意のアカウントからの読み取り権限が設定されている脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

Microsoft Windows OS においてレジストリに任意のアカウントからの読み取り権限が設定されている脆弱性(Scan Tech Report)

2021 年 7 月に、Microsoft Windows に、レジストリへのアクセス権限設定不備が報告されています。

DELL Client Firmware Update Utility のカーネルドライバにおいて管理者権限の奪取につながる任意のカーネル空間メモリの読み書きが可能な脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテスト部

DELL Client Firmware Update Utility のカーネルドライバにおいて管理者権限の奪取につながる任意のカーネル空間メモリの読み書きが可能な脆弱性(Scan Tech Report)

2021 年 5 月に、DELL 社の PC にインストールされている DELL Client Firmware Update Utility に権限昇格につながる脆弱性が公開されています。

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 10
  8. 最後
Page 1 of 19
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×