米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は6月9日(米国時間)、「CISA Adds Three Known Exploited Vulnerabilities to Catalog |CISA」において、「Known Exploited Vulnerabilities Catalog」に3個の脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されている。
-
CISA Adds Three Known Exploited Vulnerabilities to Catalog |CISA
影響を受ける主な製品やサービスは次のとおり。
- CVE-2021-38163 SAP - NetWeaver
- CVE-2016-2386 SAP - NetWeaver
- CVE-2016-2388 SAP - NetWeaver
脆弱性の主な内容は次のとおり。
| CVE番号 | 脆弱性内容 |
|---|---|
| CVE-2021-38163 | SAP NetWeaver contains a vulnerability that allows unrestricted file upload. |
| CVE-2016-2386 | SQL injection vulnerability in the UDDI server in SAP NetWeaver J2EE Engine 7.40 allows remote attackers to execute arbitrary SQL commands via unspecified vectors. |
| CVE-2016-2388 | The Universal Worklist Configuration in SAP NetWeaver AS JAVA 7.4 allows remote attackers to obtain sensitive user information via a crafted HTTP request. |
今回カタログに追加された脆弱性は、2021年のみならず2016年に発行された脆弱性が含まれている点に注意が必要。SAP NetWeaverを使っている場合は3つすべての脆弱性に関して確認を行うとともに、必要に応じてアップデートを適用することが望まれる。
Windows Server 2025へ勝手にアップグレード、原因はサードパーティー製品か
