米CISAが脆弱性4件をKEVカタログに追加 D-LinkやDrayTekのルーター、Motion Spell GPAC、SAP Commerce Cloudが対象に
Security Affairs – October 01, 2024
米CISAが、新たに4件の脆弱性をKEVカタログ(悪用が確認済みの脆弱性カタログ)に追加した。今回は、D-Link製DIR-820ルーターや複数のDrayTek製Vigorルーター、Motion SpellのGPAC、SAP Commerce Cloudに存在するバグが対象となっている。
同カタログに追加された欠陥は以下のとおり。
- CVE-2023-25280:D-Link製DIR-820ルーターに存在するOSコマンドインジェクションの脆弱性。
- CVE-2020-15415:複数のDrayTek製Vigorルーターに存在するOSコマンドインジェクションの脆弱性。
- CVE-2021-4043:Motion Spell GPACに存在するNULLポインタ参照の脆弱性。
- CVE-2019-0344:SAP Commerce Cloudに存在する信頼できないデータのデシリアライゼーションに関する脆弱性。
なお、CVE-2023-25280とCVE-2020-15415はそれぞれ、Miraiボットネットの亜種による悪用行為が観測されているという。
CISAは連邦政府各機関に対し、今月21日までに上記の脆弱性に対処するよう指示した。
また専門家らは民間組織もこのカタログをレビューし、自組織のインフラに存在する脆弱性に対処することを推奨している。