日々の情報収集で気になった記事を雑に書き残すエントリ。脆弱性情報は極力毎日、インシデント報告や分析レポートなどは余裕のある時に徘徊する、予定。 毎日と言っておきながらさっそく土日サボったわけだが。
- CVE-2024-27268,CVE-2023-50312(IBM WebSphere Application Server)
- 所感
- ソフトウェアが有名所なので気になった。
- が、隣接限定だったりDoSだったりでそこまで注目はされなそう。
- URL
- https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-019446.html
- https://jvndb.jvn.jp/ja/contents/2023/JVNDB-2023-028174.html
- 所感
- CVE-2025-24437(Adobe)
- 所感
- Magentoの文字を久々に見たしCommerce系なので気になった。
- が、権限昇格らしいので誰でも攻撃できるわけではなさそう。
- あと公開日結構前だった。他にもっとまずいのでてるしこれが目立つことはなさそう。どこが情報早いか整理しながらやっていきたい。
- URL
- https://jvndb.jvn.jp/ja/contents/2025/JVNDB-2025-001811.html
- https://www.cve.org/CVERecord?id=CVE-2025-24437
- https://helpx.adobe.com/jp/security/products/magento/apsb25-08.html
- 所感
- CVE-2024-1527(CMS Made Simple)
- 所感
- CMSなのでちょっと気になった、くらい。
- URL
- https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-019433.html
- 所感
- CVE-2025-27110(ModSecurity)
- 所感
- WAFの特定の処理が回避されるとのこと。WAF使う側として気になった。
- URL
- http://modsecurity.org/20250225/html-entity-decoding-regression-cve-2025-27110-2025-february/
- 所感
- CVE-2025-20059(PingAM)
- 所感
- ちょっと前に公開されてた。いまいち掴めないがパスとラバーサルでパラメータインジェクションができるらしい。
- エージェントだし攻撃シーンが限定的なのかと思ったらそういうわけでもなさそう?よくわからん。
- URL
- https://backstage.forgerock.com/knowledge/advisories/article/a61848355
- 所感