米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は6月22日(米国時間)、「CISA Adds Six Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に新しく6個の脆弱性を追加したと伝えた。
影響を受ける主な製品やサービスは次のとおり。
- CVE-2023-20887 VMware - Aria Operations for Networks
- CVE-2020-35730 Roundcube - Roundcube Webmail
- CVE-2020-12641 Roundcube - Roundcube Webmail
- CVE-2021-44026 Roundcube - Roundcube Webmail
- CVE-2016-9079 Mozilla - Firefox, Firefox ESR, and Thunderbird
- CVE-2016-0165 Microsoft - Win32k
脆弱性の主な内容は次のとおり。
CVE番号 | 脆弱性内容 |
---|---|
CVE-2023-20887 | VMware Aria Operations for Networks (旧名 vRealize Network Insight)におけるコマンドインジェクションのセキュリティ脆弱性。結果としてリモートからのコード実行が可能。 |
CVE-2020-35730 | Roundcube Webmailにおけるクロスサイトスクリプティング(XSS: Cross-Site Scripting)のセキュリティ脆弱性。 |
CVE-2020-12641 | Roundcube Webmailにおけるリモートコード実行のセキュリティ脆弱性。 |
CVE-2021-44026 | Roundcube WebmailにおけるSQLインジェクションのセキュリティ脆弱性。 |
CVE-2016-9079 | Mozilla Firefox、Firefox ESR、Thunderbirdにおけるセキュリティ脆弱性。 |
CVE-2016-0165 | Microsoft Win32kにおける特権昇格のセキュリティ脆弱性。 |
カタログに追加された脆弱性はすでに積極的に悪用が確認されている点に注意が必要。該当する製品を使っている場合は、提供されているCVE情報やベンダーが提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。