米CISAが脆弱性4件をKEVカタログに追加:CVE-2023-25280、CVE-2020-15415他 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 米CISAが脆弱性4件をKEVカタログに追加:CVE-2023-25280、CVE-2020-15415他

Threat Report

CISA

D-Link

DrayTek

米CISAが脆弱性4件をKEVカタログに追加:CVE-2023-25280、CVE-2020-15415他

Yoshida

Yoshida

2024.10.02

米CISAが脆弱性4件をKEVカタログに追加 D-LinkやDrayTekのルーター、Motion Spell GPAC、SAP Commerce Cloudが対象に

Security Affairs – October 01, 2024

米CISAが、新たに4件の脆弱性をKEVカタログ(悪用が確認済みの脆弱性カタログ)に追加した。今回は、D-Link製DIR-820ルーターや複数のDrayTek製Vigorルーター、Motion SpellのGPAC、SAP Commerce Cloudに存在するバグが対象となっている。

同カタログに追加された欠陥は以下のとおり。

  • CVE-2023-25280:D-Link製DIR-820ルーターに存在するOSコマンドインジェクションの脆弱性。
  • CVE-2020-15415:複数のDrayTek製Vigorルーターに存在するOSコマンドインジェクションの脆弱性。
  • CVE-2021-4043:Motion Spell GPACに存在するNULLポインタ参照の脆弱性。
  • CVE-2019-0344:SAP Commerce Cloudに存在する信頼できないデータのデシリアライゼーションに関する脆弱性。

なお、CVE-2023-25280とCVE-2020-15415はそれぞれ、Miraiボットネットの亜種による悪用行為が観測されているという。

CISAは連邦政府各機関に対し、今月21日までに上記の脆弱性に対処するよう指示した。

また専門家らは民間組織もこのカタログをレビューし、自組織のインフラに存在する脆弱性に対処することを推奨している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ