米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は7月29日(米国時間)、「CISA Adds One Known Exploited Vulnerability to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に脆弱性を追加したと伝えた。対象の脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。
-
CISA Adds One Known Exploited Vulnerability to Catalog|CISA
影響を受ける主な製品やサービスは次のとおり。
- CVE-2022-26138 Atlassian - Confluence
脆弱性の主な内容は次のとおり。
| CVE番号 | 脆弱性内容 |
|---|---|
| CVE-2022-26138 | Atlassian Questions For Confluence App has hard-coded credentials, exposing the username and password in plaintext. A remote unauthenticated attacker can use these credentials to log into Confluence and access all content accessible to users in the confluence-users group. |
今回カタログに追加された脆弱性は比較的最近公表されたものだ。詳細が明らかになった脆弱性はサイバー犯罪者によって悪用されやすい。脆弱性は発表されるとともに直ちに内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。
