ニュース
「Confluence」に“最高レベル”のゼロデイ脆弱性 遠隔地から任意のコードを実行される恐れ
豪Atlassianのコラボレーションツール「Confluence」に関する一部製品で、遠隔地から任意のコードを認証不要で実行できてしまう脆弱性が見つかった。深刻度は同社基準の最高値である「Critical」で、修正プログラムは未公開。
豪Atlassianは6月2日(米西海岸時間)、同社のコラボレーションツール「Confluence」に関する一部製品で、遠隔地から任意のコードを認証不要で実行できてしまう脆弱性が見つかったと発表した。深刻度は同社基準の最高値である「Critical」で、修正プログラムは未公開。
CVE識別番号はCVE-2022-26134。Atlassianによると、ユーザー企業側のサーバで同サービスをホストする「Confluence Server」のバージョン 7.18.0で脆弱性の悪用を確認した他、IaaS上で管理するための「Confluence Data Center」バージョン7.4.0以降にも影響があるとしている。
修正プログラムは未公開だが、ユーザー側でできる一時的な対応として同社は、(1)Confluence ServerやConfluence Data Centerのインスタンスをインターネットから隔離する、(2)インスタンスを無効化する、などを案内している。同社は修正バージョンの公開に向けて最優先で取り組んでいるとしている。
脆弱性や修正プログラムなどの詳細はアドバイザリで順次報告するとしている。
関連記事
- 富士通の“政府認定クラウド”への不正アクセス、ユーザーのメール本文なども盗まれた可能性 復号されたパケットがロードバランサーを通過
クラウドサービス「ニフクラ」「FJcloud-V」が不正アクセスを受け、ユーザーの認証情報などが盗まれた可能性がある件を巡り、新たにユーザーのメールアドレスやメール本文なども窃取された恐れがあることが分かった。 - Officeに未修正のゼロデイ脆弱性 Microsoftは回避策を公開
現行のすべてのWindowsに影響するゼロデイ脆弱性について、Microsoftが回避策を公開した。Wordファイルをプレビューするだけでも悪意あるコマンドが実行される可能性がある。 - 月桂冠がランサムウェア被害に 関係者の個人情報など約2.77万件が流出した可能性も
月桂冠がランサム攻撃を受け、ECサイトユーザーや取引先、従業員などの個人情報が合計約2万7700件流出した可能性があると発表した。 - VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示
米サイバーセキュリティインフラストラクチャ安全保障局が、米VMware製品に認証回避や権限昇格の脆弱性があるとして、政府・行政機関に対策を指示した。脆弱性の深刻度は10点中9.8点に及ぶ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.