Jun 7, 2025

CISAが5つの既知の悪用済み脆弱性をカタログに追加 (06/02)

2/5個は、ASUSルータ。ベンダー案内の対策の他に、買い替えも検討しよう。

CISA Adds Five Known Exploited Vulnerabilities to Catalog | CISA (06/02)

CISA added five new vulnerabilities to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.

The administrator application on ASUS GT-AC2900 devices before 3.0.0.4.386.42643 and Lyra Mini before 3.0.0.4_384_46630 allows authentication bypass when processing remote input from an unauthenticated user, leading to unauthorized access to the administrator interface. This relates to handle_request in router/httpd/httpd.c and auth_check in web_hook.o. An attacker-supplied value of '\0' matches the device's default value of '\0' in some situations.

3.0.0.4.386.42643より前のASUS GT-AC2900デバイスおよび3.0.0.4_384_46630より前のLyra Miniの管理者アプリケーションでは、認証されていないユーザーからのリモート入力を処理するときに認証バイパスが許可され、管理者インターフェイスへの不正アクセスにつながります。これは、router/httpd/httpd.c  handle_request 0  web_hook.o  auth_check に関連しています。攻撃者が指定した値「\0」は、状況によってはデバイスのデフォルト値「\0」と一致します。』 (後段は機械翻訳)


  • CVE-2023-39780 ASUS RT-AX55 Routers OS Command Injection Vulnerability

On ASUS RT-AX55 3.0.0.4.386.51598 devices, authenticated attackers can perform OS command injection via the /start_apply.htm qos_bw_rulelist parameter.

ASUS RT-AX55 3.0.0.4.386.51598デバイスでは、認証された攻撃者が/start_apply.htm qos_bw_rulelistパラメータを介してOSコマンドインジェクションを実行できます。』


  • CVE-2025-3935 ConnectWise ScreenConnect Improper Authentication Vulnerability
  • CVE-2025-35939 Craft CMS External Control of Assumed-Immutable Web Parameter Vulnerability

投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)