JPCERT コーディネーションセンター

Weekly Report 2023-08-30号

JPCERT-WR-2023-0830
JPCERT/CC
2023-08-30

<<< JPCERT/CC WEEKLY REPORT 2023-08-30 >>>

■08/20(日)〜08/26(土) のセキュリティ関連情報

目 次

【1】メールフォームプロCGIに正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性

【2】すかいらーくアプリにアクセス制限不備の脆弱性

【3】Google Chromeに複数の脆弱性

【4】Rakuten WiFi Pocketに認証不備の脆弱性

【5】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性

【6】JPCERT/CCがブログ「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】メールフォームプロCGIに正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性

情報源

https://jvn.jp/jp/JVN86484824/

概要

シンクグラフィカが提供するメールフォームプロCGIには、正規表現を用いたサービス運用妨害(ReDoS)の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.synck.com/blogs/news/newsroom/detail_1691668841.html

【2】すかいらーくアプリにアクセス制限不備の脆弱性

情報源

https://jvn.jp/jp/JVN03447226/

概要

スマートフォンアプリ「すかいらーくアプリ」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://play.google.com/store/apps/details?id=jp.co.skylark.app.gusto

https://apps.apple.com/jp/app/%E3%81%99%E3%81%8B%E3%81%84%E3%82%89%E3%83%BC%E3%81%8F%E3%82%A2%E3%83%97%E3%83%AA/id906930478

【3】Google Chromeに複数の脆弱性

情報源

https://chromereleases.googleblog.com/2023/08/chrome-desktop-stable-update.html

概要

Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【4】Rakuten WiFi Pocketに認証不備の脆弱性

情報源

https://jvn.jp/jp/JVN55217369/

概要

楽天モバイル株式会社が提供するRakuten WiFi Pocketの管理画面には、認証不備の脆弱性があります。当該製品のサポートは終了しており、修正アップデートが提供される予定はありません。開発者は代替製品への移行を推奨しています。詳細は、開発者が提供する情報を確認してください。

関連文書

https://network.mobile.rakuten.co.jp/product/internet/rakuten-wifi-pocket/support/

【5】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性

情報源

https://jvn.jp/jp/JVN98946408/

概要

WordPress用プラグインAdvanced Custom Fieldsには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.advancedcustomfields.com/blog/acf-6-1-8/

【6】JPCERT/CCがブログ「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -」を公開

情報源

https://blogs.jpcert.or.jp/ja/2023/08/maldocinpdf.html

概要

2023年8月22日、JPCERT/CCはブログ「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -」を公開しました。JPCERT/CCが7月に発生した攻撃で確認した、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニックについて、詳細とその対策を解説しています。

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter