JPCERT-WR-2022-1401
2022-04-06
2022-03-27
2022-04-02
Google Chromeに複数の脆弱性
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 100.0.4896.60より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_29.html
複数のApple製品に脆弱性
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- iOS 15.4.1より前のバージョン
- iPadOS 15.4.1より前のバージョン
- macOS Monterey 12.3.1より前のバージョン
この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年4月)
https://www.jpcert.or.jp/newsflash/2022040102.html
Apple
iOS 15.4.1 および iPadOS 15.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213219
Apple
macOS Monterey 12.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213220
Spring Frameworkに任意のコード実行の脆弱性
Spring Frameworkには、データバインディングで使用するPropertyDescriptor
オブジェクトを安全に処理しない脆弱性があります。結果として、遠隔の第三
者がアプリケーションの権限で任意のコードを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Spring Framework バージョン5.3.0から5.3.17
- Spring Framework バージョン5.2.0から5.2.19
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
JPCERT/CC CyberNewsFlash
Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について
https://www.jpcert.or.jp/newsflash/2022040101.html
VMWare
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965
VMWare
Spring Framework RCE, Early Announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにファイルコンテンツの検証不備の脆弱性
トレンドマイクロ株式会社が提供するTrend Micro Apex CentralおよびTrend
Micro Apex Central as a Service(Apex One SaaSのApex Central機能部分)
には、ファイルコンテンツの検証不備の脆弱性があります。結果として、遠隔
の第三者が任意のファイルをアップロードし、任意のコードを実行する可能性
があります。
対象となる製品およびバージョンは次のとおりです。
- Trend Micro Apex Central 2019 Build 6016より前のバージョン
- Trend Micro Apex Central as a Service(Apex One SaaSのApex Central機能部分)Build 202203より前のバージョン
この問題は、該当する製品にトレンドマイクロ株式会社が提供する修正パッチ
を適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する
情報を参照してください。
JPCERT/CC 注意喚起
Trend Micro Apex Central製品の脆弱性(CVE-2022-26871)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220008.html
トレンドマイクロ株式会社
アラート/アドバイザリ:CVE-2022-26871 Apex CentralおよびApex Central (SaaS)で任意のファイルがアップロードされる脆弱性について(2022年3月)
https://success.trendmicro.com/jp/solution/000290660
トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex Centralの脆弱性を悪用した攻撃を確認したことによる修正プログラム適用のお願い(CVE-2022-26871)
https://appweb.trendmicro.com/supportNews/NewsDetail.aspx?id=4435
オムロン製CX-Positionに複数の脆弱性
オムロン株式会社が提供するCX-Positionには、複数の脆弱性があります。結
果として、第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- CX-Position 2.5.3およびそれ以前のバージョン
この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョ
ンに更新することで解決します。詳細は、オムロン株式会社が提供する情報を
参照してください。
オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html
複数の三菱電機製FA製品に脆弱性
三菱電機株式会社が提供する複数のFA製品には、脆弱性があります。結果と
して、遠隔の第三者が当該製品へ不正ログインするなどの可能性があります。
対象となる製品は次のとおりです。
- iQ-Fシリーズ FX5U(C) CPUユニット 全機種 全バージョン
- iQ-Fシリーズ FX5UJ CPUユニット 全機種 全バージョン
この問題について、三菱電機株式会社より脆弱性の影響を軽減するための回避
策に関する情報が提供されています。詳細は、三菱電機株式会社が提供する情
報を参照してください。
三菱電機株式会社
複数の FA 製品における認証回避、情報漏えい及び情報改ざんの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-031.pdf
アタッシェケースにDLL読み込み不備の脆弱性
HiBARA Softwareが提供するアタッシェケースには、DLL読み込みに関する脆弱
性があります。結果として、第三者がアタッシュケースの実行ファイルを実行
している権限で、任意のコードを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- アタッシェケース ver.4.0.2.7およびそれ以前のバージョン
- アタッシェケース ver.3.6.1.0およびそれ以前のバージョン
この問題は、該当する製品をHiBARA Softwareが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、HiBARA Softwareが提供する情報を
参照してください。
HiBARA Software
アタッシェケース4( 正式版 )
https://hibara.org/software/attachecase/
WordPress用プラグインAdvanced Custom Fieldsに認証欠如の脆弱性
WordPress用プラグインAdvanced Custom Fieldsには、認証欠如の脆弱性があ
ります。結果として、遠隔の第三者がデータベース上のアクセス権限のないデー
タを閲覧する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Advanced Custom Fields 5.12.1より前のバージョン
- Advanced Custom Fields Pro 5.12.1より前のバージョン
この問題は、該当する製品をDelicious Brainsが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Delicious Brainsが提供する情報を
参照してください。
Delicious Brains
Advanced Custom Fields
https://ja.wordpress.org/plugins/advanced-custom-fields/
Delicious Brains
Edit smarter with Advanced Custom Fields for WordPress Developers.
https://www.advancedcustomfields.com/
ぜろちゃんねるプラスにクロスサイトスクリプティングの脆弱性
ぜろちゃんねるプラスには、クロスサイトスクリプティングの脆弱性がありま
す。結果として、当該製品の管理画面にアクセスしたユーザーのウェブブラウ
ザー上で、任意のスクリプトを実行され、管理アカウントを作成されるなどの
可能性があります。
対象となる製品およびバージョンは次のとおりです。
- ぜろちゃんねるプラス 0.7.4およびそれ以前のバージョン
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
ぜろちゃんねるプラス開発チーム
zerochplus 0.7.5
https://osdn.net/projects/zerochplus/releases/77053
IPAが「クラウドサービスのサプライチェーンリスクマネジメント調査」の結果を公開
2022年3月30日、独立行政法人情報処理推進機構(IPA)は、「クラウドサービ
スのサプライチェーンリスクマネジメント調査」の結果を公開しました。クラ
ウドサービスの利用が増加するなか、特に利用されているSaaSに焦点を当て、
SaaS事業者へのインタビュー調査などを実施し、ITサプライチェーンのリスク
マネジメントの向上に資するため、SaaSのサプライチェーンのインシデント情
報の収集と分析および脅威、リスク、今後の課題などを明らかにした内容となっ
ています。
独立行政法人情報処理推進機構
クラウドサービスのサプライチェーンリスクマネジメント調査
https://www.ipa.go.jp/security/fy2021/reports/scrm/index-cloud.html