2024年6月24週の脆弱性まとめ

1. 深圳威特利ッジ工業有限公司が開発したアクセス管理スペシャリストプロジェクトに存在する脆弱性により、リモートアタッカーが機密情報を取得できる。 2. WordPressのWP Maps Display Google Maps Perfectly with Easeプラグインに存在するSQL Injection脆弱性は、貢献者レベル以上のアクセスを持つ認証されたアタッカーによって悪用されることができる。 3. WordPressのQuiz Makerプラグインに存在するSQL Injection脆弱性は、貢献者レベル以上のアクセスを持つ認証されたアタッカーによって悪用されることができる。 4. GitLab CE/EEに存在する脆弱性により、特定の状況下でアタッカーが他のユーザーとしてパイプラインをトリガーできる。 5. GitLab EEに存在する脆弱性により、アタッカーがプライベートリポジトリの内容をパブリックプロジェクトでリークできる。 6. Arista Wireless Access Pointsに存在する脆弱性により、認証されたリモートアタッカーがbashシェルをspawnし、特権昇格を引き起こすことができる。 7. Dell PowerProtect DDに存在する脆弱性により、アタッカーがadminユーザー特権を取得できる。 8. authentikアプリケーションに存在する脆弱性により、正しい権限を持たないユーザーがアプリケーションのOAuthトークンを取得し、アクセスできる。 9. HashiCorpのgo-getterライブラリに存在する脆弱性により、既に悪質に改ざんされたGit構成に対するGit更新を強制的に実行させることができ、結果的に任意のコード実行が可能になる。 10. HPE Atに存在する脆弱性により、認証されたリモートアタッカーが、脆弱なアプリケーションの基礎となるオペレーティングシステム上で、脆弱なアプリケーションの特権で任意のコードを実行できる。