研究者によると、サイバー攻撃者はオープンソースソフトウェア(OSS)のファイル転送サービス「ownCloud」の重大な脆弱(ぜいじゃく)性を悪用しており、管理者パスワードやメールサーバの認証情報、ライセンスキーなどの機密データが漏えいする可能性があるという。 ownCloudは「CVE-2023-49103」と指定されたこの脆弱性を2023年11月21日(現地時間、以下同)に公開した(注1)。共通脆弱性評価システム(CVSS)における評価は、10点満点中10点である。 ownCloudは「悪用なし」と主張するも……SANSの研究者らから反対意見 同社の広報担当者は2023年12月1日に、電子メールの中で次のように述べた。 「この脆弱性は同年9月中旬に外部の研究者によって発見され、同年9月19日にパッチが適用され、同年9月20日に顧客に通知された。脆弱性が公開される前に当社はセキュリティギャ
CWE-200: コンテナ化されたデプロイにおける機密性の高いアカウント情報と構成情報の漏えいを引き起こす脆弱性。深刻度「緊急」(Critical)で、CVSS v3のスコア値が10.0に評価されている。「Graph API 」のバージョン0.2.0~0.3.0が対象。Graph API の特定のURLにアクセスすることで環境変数などの情報にアクセスでき、これらに管理者のパスワードやメールサーバのアカウント情報、ライセンスキーなどの情報が含まれている場合がある CWE-665: 署名付きURLを使用したWebDAV API認証バイパスの脆弱性。深刻度「緊急」(Critical)で、CVSS v3のスコア値が9.8に評価されている。core 10.6.0~10.13.0が対象。攻撃対象のユーザー名が分かっていて、ユーザーが署名キーの設定をしていない場合、認証なしでファイルへのアクセスや変更、
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
今度は「ownCloud」で発生 ファイル転送サービスを狙うサイバー攻撃が相次ぐ
CVSS v3スコアは10.0 オンラインストレージownCloudに深刻なリスク