Feb 27, 2023

K.E.V. Dec - Jan

 書きかけ ↓


2022-4262         Google Chromium V8 Engine

Google Chromium V8 Type Confusion Vulnerability

2022-12-05

Google Chromium V8 contains a type confusion vulnerability. Specific impacts from exploitation are not available at this time.

Google Chromium V8 には、型崩れの脆弱性が存在します。この脆弱性を利用した具体的な影響については、現時点では未定です。

Apply updates per vendor instructions by 2022-12-26       

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

 

CVE-2022-42475           Fortinet              FortiOS

Fortinet FortiOS Heap-Based Buffer Overflow Vulnerability

2022-12-13

Multiple versions of Fortinet FortiOS SSL-VPN contain a heap-based buffer overflow vulnerability which can allow an unauthenticated, remote attacker to execute arbitrary code or commands via specifically crafted requests.

Fortinet FortiOS SSL-VPN の複数のバージョンには、ヒープベースのバッファオーバーフローの脆弱性があり、認証されていないリモートの攻撃者が、特別に細工したリクエストを介して任意のコードまたはコマンドを実行できる可能性があります。

Apply updates per vendor instructions by 2023-01-03

https://www.fortiguard.com/psirt/FG-IR-22-398

 

CVE-2022-27518           Citrix    Application Delivery Controller (ADC) and Gateway

Citrix Application Delivery Controller (ADC) and Gateway Authentication Bypass Vulnerability

2022-12-13

Citrix Application Delivery Controller (ADC) and Gateway, when configured with SAML SP or IdP configuration, contain an authentication bypass vulnerability which allows an attacker to execute code as administrator.

Citrix Application Delivery Controller (ADC) および Gateway  SAML SP または IdP 設定時に、攻撃者が管理者としてコードを実行できる認証回避の脆弱性が存在します。

Apply updates per vendor instructions by 2023-01-03

https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/

 

CVE-2022-42856           Apple    iOS

Apple iOS Type Confusion Vulnerability

2022-12-14

Apple iOS contains a type confusion vulnerability when processing maliciously crafted web content leading to code execution.

Apple iOS には、悪意を持って細工されたウェブコンテンツを処理する際に、コードが実行される型崩れの脆弱性が存在します。

Apply updates per vendor instructions by 2023-01-04

https://support.apple.com/en-us/HT213516

 

# ----------------------------------------------

CVE-2022-26500           Veeam Backup & Replication

Veeam Backup & Replication Remote Code Execution Vulnerability

2022-12-13

The Veeam Distribution Service in the Backup & Replication application allows unauthenticated users to access internal API functions. A remote attacker can send input to the internal API which may lead to uploading and executing of malicious code.

Backup & ReplicationアプリケーションのVeeam Distribution Serviceは、未認証のユーザーが内部API機能にアクセスすることを許可します。リモートの攻撃者は、内部APIに悪意のあるコードのアップロードと実行につながる入力を送信する事が出来ます。

Apply updates per vendor instructions by 2023-01-03       

https://www.veeam.com/kb4288

 

CVE-2022-26501           Veeam Backup & Replication

Veeam Backup & Replication Remote Code Execution Vulnerability

2022-12-13

The Veeam Distribution Service in the Backup & Replication application allows unauthenticated users to access internal API functions. A remote attacker can send input to the internal API which may lead to uploading and executing of malicious code.

Backup & ReplicationアプリケーションのVeeam Distribution Serviceは、未認証のユーザーが内部API機能にアクセスすることを許可します。リモートの攻撃者は、内部APIに入力を送信し、悪意のあるコードのアップロードと実行につながる可能性があります。

Apply updates per vendor instructions by 2023-01-03

https://www.veeam.com/kb4288

 

# ----------------------------------------------

CVE-2018-5430              TIBCO  JasperReports

TIBCO JasperReports Server Information Disclosure Vulnerability

2022-12-29

TIBCO JasperReports Server contain a vulnerability which may allow any authenticated user read-only access to the contents of the web application, including key configuration files.

TIBCO JasperReports Server には、認証されたユーザが、主要な設定ファイルを含むウェブアプリケーションのコンテンツに読み取り専用でアクセスすることができる脆弱性が存在します。

Apply updates per vendor instructions by 2023-01-19

https://www.tibco.com/support/advisories/2018/04/tibco-security-advisory-april-17-2018-tibco-jasperreports-2018-5430

 

CVE-2018-18809           TIBCO  JasperReports

TIBCO JasperReports Library Directory Traversal Vulnerability

2022-12-29

TIBCO JasperReports Library contains a directory-traversal vulnerability that may allow web server users to access contents of the host system.

TIBCO JasperReports Library には、ディレクトリトラバーサルの脆弱性があり、ウェブサーバのユーザがホストシステムのコンテンツにアクセスすることが可能です。

Apply updates per vendor instructions by 2023-01-19

https://www.tibco.com/support/advisories/2019/03/tibco-security-advisory-march-6-2019-tibco-jasperreports-library-2018-18809

 

# ----------------------------------------------

CVE-2022-44698           Microsoft           Defender

Microsoft Defender SmartScreen Security Feature Bypass Vulnerability

2022-12-13

Microsoft Defender SmartScreen contains a security feature bypass vulnerability that could allow an attacker to evade Mark of the Web (MOTW) defenses via a specially crafted malicious file.

Microsoft Defender SmartScreen には、セキュリティ機能回避の脆弱性があり、特別に細工された悪意のあるファイルを介して、攻撃者が Mark of Web (MOTW) の防御を回避することが可能です。

Apply updates per vendor instructions by 2023-01-03

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44698

 

CVE-2022-41080           Microsoft           Exchange Server

Microsoft Exchange Server Privilege Escalation Vulnerability

2023-01-10

Microsoft Exchange Server contains an unspecified vulnerability that allows for privilege escalation. This vulnerability is chainable with CVE-2022-41082, which allows for remote code execution.

Microsoft Exchange Server には、特権の昇格を可能にする未指定の脆弱性が存在します。この脆弱性は、CVE-2022-41082 と連鎖し、リモートでコードが実行される可能性があります。

Apply updates per vendor instructions by 2023-01-31

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41080

 

CVE-2023-21674           Microsoft           Windows

Microsoft Windows Advanced Local Procedure Call (ALPC) Privilege Escalation Vulnerability

2023-01-10

Microsoft Windows Advanced Local Procedure Call (ALPC) contains an unspecified vulnerability that allows for privilege escalation.

Microsoft Windows Advanced Local Procedure Call (ALPC) には、権限昇格の可能性がある未特定の脆弱性が存在します。

Apply updates per vendor instructions by 2023-01-31

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21674

 

# ----------------------------------------------