<<< JPCERT/CC WEEKLY REPORT 2021-03-24 >>>

■03/14(日)〜03/20(土) のセキュリティ関連情報

目　次

【1】Google Chromeに複数の脆弱性

【2】サイボウズ Officeに複数の脆弱性

【3】Cisco Small Business RV132WおよびRV134Wに脆弱性

【4】WordPress用プラグインPaid Memberships ProにSQLインジェクションの脆弱性

【5】富士ゼロックス製複合機およびプリンターにサービス運用妨害（DoS）の脆弱性

【今週のひとくちメモ】フィッシング対策協議会が「フィッシング詐欺のビジネスプロセス分類」を公開

【1】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/03/15/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 89.0.4389.90より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_12.html

【2】サイボウズ Officeに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#45797538
サイボウズ Office に複数の脆弱性
https://jvn.jp/jp/JVN45797538/

概要

サイボウズ株式会社が提供するサイボウズ Officeには、複数の脆弱性があり
ます。結果として、当該製品にログイン可能なユーザーが、情報を窃取したり、
改ざんしたりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Office 10.0.0から10.8.4までのバージョン

この問題は、サイボウズ Officeを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (日本語)

サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2021/007306.html

【3】Cisco Small Business RV132WおよびRV134Wに脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/18/cisco-releases-security-updates

概要

Cisco Small Business RV132WおよびRV134WのWebベース管理インタフェースに
は、脆弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行
したり、サービス運用妨害（DoS）攻撃を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- RV132W ADSL2+ Wireless-N VPN Routers ファームウェア 1.0.1.15より前のバージョン
- RV134W VDSL2 Wireless-AC VPN Routers ファームウェア 1.0.1.21より前のバージョン

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Small Business RV132W and RV134W Routers Management Interface Remote Command Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-132w134w-overflow-Pptt4H2p

【4】WordPress用プラグインPaid Memberships ProにSQLインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#08191557
WordPress 用プラグイン Paid Memberships Pro における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN08191557/

概要

WordPress用プラグインPaid Memberships Proには、SQLインジェクションの脆
弱性があります。結果として、遠隔の第三者が、情報を窃取したり、改ざんし
たりする可能性があります。

対象となるバージョンは次のとおりです。

- Paid Memberships Pro version 2.5.6より前のバージョン

この問題は、Paid Memberships Proを開発者が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)

Stranger Studios
PMPro Update 2.5.6
https://www.paidmembershipspro.com/pmpro-update-2-5-6/

Stranger Studios
Paid Memberships Pro
https://wordpress.org/plugins/paid-memberships-pro/

【5】富士ゼロックス製複合機およびプリンターにサービス運用妨害（DoS）の脆弱性

情報源

Japan Vulnerability Notes JVN#37607293
富士ゼロックス製複合機およびプリンターにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN37607293/

概要

富士ゼロックス製複合機およびプリンターには、脆弱性があります。結果とし
て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品は、多岐に渡ります。詳細は、富士ゼロックス株式会社が提供
する情報を参照してください。

この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供
する情報を参照してください。

関連文書 (日本語)

富士ゼロックス株式会社
弊社複合機・プリンターのサービス運用妨害(DoS)の脆弱性に関するお知らせ
https://www.fujixerox.co.jp/company/news/notice/2021/0319_announce.html

■今週のひとくちメモ

○フィッシング対策協議会が「フィッシング詐欺のビジネスプロセス分類」を公開

2021年3月16日、フィッシング対策協議会が、長崎県立大学との共同研究プロ
ジェクトの活動成果の1つとして、学術論文「フィッシング詐欺のビジネスプ
ロセス分類」を公開しました。

本研究では、フィッシング詐欺をビジネスであると定義し、その営利活動にお
けるプロセスを分類した上で、2つの事例分析を実施しています。フィッシン
グ詐欺の脅威分析や予測の参考にご活用ください。

参考文献 (日本語)

フィッシング対策協議会
「フィッシング詐欺のビジネスプロセス分類」を公開 (2021/03/16)
https://www.antiphishing.jp/news/info/collabo_20210316.html

■JPCERT/CCからのお願い