2022年1月14日 サイバー脅威インテリジェンス

日次の脆弱性動向:KEV 追加、公開 exploit、重大開示、EPSS リスクの変化。

日次サマリー

  • 10 件の新規 Critical 公開 — 露出サービスのパッチ状況を確認してください。

本日の重点脅威

最優先の 3 件の変化 — アナリストによる短評。CVE ダンプではありません。

重大な露出リスク

CVE-2021-24044 Facebook Hermes RCE

  • CVSS 9.8
  • リモートコード実行の露出リスク

新たな重大 Facebook Hermes RCE(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2021-39623 Google Android memory safety

  • CVSS 9.8

新たな重大 Google Android memory safety(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2022-0224 dolibarr is vulnerable to Improper Neutralization of Special Elements used in an SQL Command

  • CVSS 9.8

新たな重大 Dolibarr Erp\/crm SQL injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

実際の悪用

CISA KEV — 実環境での悪用が確認

本ダイジェストではこのカテゴリに該当なし。

KEV 新規掲載を見る

エクスプロイト・PoC

本ダイジェストではこのカテゴリに該当なし。

新規エクスプロイト紐づけを見る

悪用動態

本ダイジェストではこのカテゴリに該当なし。

EPSS 上昇を見る

新規 Critical 公開

CVE-2021-1049 CVSS 9.8

Hacker one bug ID: 1343975Product: AndroidVersions: Android SoCAndroid ID: A-204256722

CVE-2021-24044 CVSS 9.8

By passing invalid javascript code where await and yield were called upon non-async and non-generator getter/setter functions, Hermes wou...

CVE-2021-28500 CVSS 9.1

An issue has recently been discovered in Arista EOS where the incorrect use of EOS's AAA API’s by the OpenConfig and TerminAttr agents co...

CVE-2021-28501 CVSS 9.1

An issue has recently been discovered in Arista EOS where the incorrect use of EOS's AAA API’s by the OpenConfig and TerminAttr agents co...

CVE-2021-28506 CVSS 9.1

An issue has recently been discovered in Arista EOS where certain gNOI APIs incorrectly skip authorization and authentication which could...

CVE-2021-39623 CVSS 9.8

In doRead of SimpleDecodingSource.cpp, there is a possible out of bounds write due to an incorrect bounds check.

CVE-2021-44530 CVSS 9.8

An injection vulnerability exists in a third-party library used in UniFi Network Version 6.5.53 and earlier (Log4J CVE-2021-44228) allows...

CVE-2021-45468 CVSS 9.8

Imperva Web Application Firewall (WAF) before 2021-12-23 allows remote unauthenticated attackers to use "Content-Encoding: gzip" to evade...

CVE-2022-0224 CVSS 9.8

dolibarr is vulnerable to Improper Neutralization of Special Elements used in an SQL Command

CVE-2022-23227 CVSS 9.8

NUUO NVRmini2 Devices Missing Authentication

Critical 公開を見る

cvelogic Threat Intelligence