Exment に複数の脆弱性 | ScanNetSecurity
2024.05.24(金)

Exment に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月24日、Exment における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月24日、Exment における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社STNetの森山響氏、株式会社エヌ・エフ・ラボラトリーズの中堂優也氏が報告を行っている。影響を受けるシステムは以下の通り。

(PHP8) exceedone/exment v5.0.2 およびそれ以前、exceedone/laravel-admin v3.0.0 およびそれ以前
(PHP7) exceedone/exment v4.4.2 およびそれ以前、exceedone/laravel-admin v2.2.2 およびそれ以前

 株式会社カジトリが提供する Exment には、下記の複数の脆弱性が存在し、次のような影響を受ける可能性がある。

・反射型クロスサイトスクリプティング(CVE-2022-38080)
→当該製品を使用しているサイトにアクセスしているユーザのWebブラウザ上で、任意のスクリプトを実行される

・SQL インジェクション(CVE-2022-37333)
→データベース内の情報を窃取されたり、改ざんされる

・格納型クロスサイトスクリプティング(CVE-2022-38089)
→当該製品を使用しているサイトにアクセスしているユーザのWebブラウザ上で、任意のスクリプトを実行される

 JVNでは、株式会社カジトリが提供する情報をもとに、Exment および laravel-admin を最新版にアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  2. Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]

    Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]PR

  3. バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

    バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

  4. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  5. ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

    ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

  6. アメリカでは「祖父母詐欺」

    アメリカでは「祖父母詐欺」

  7. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  8. ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

    ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

  9. 実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

    実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

  10. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

ランキングをもっと見る