2022年1月20日 サイバー脅威インテリジェンス

日次の脆弱性動向:KEV 追加、公開 exploit、重大開示、EPSS リスクの変化。

日次サマリー

  • 10 件の新規 Critical 公開 — 露出サービスのパッチ状況を確認してください。

本日の重点脅威

最優先の 3 件の変化 — アナリストによる短評。CVE ダンプではありません。

重大な露出リスク

CVE-2021-44090 Sourcecodester Online Reviewer System Project Sourcecodester Online Reviewer System SQL Injection

  • CVSS 9.8

新たな重大 Sourcecodester Online Reviewer System Project Sourcecodester Online Reviewer System SQL Injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2021-44092 Code-projects Pharmacy Management SQL Injection

  • CVSS 9.8

新たな重大 Code-projects Pharmacy Management SQL Injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2021-44244 Sourcecodester Logistic Hub Parcel\'s Management System Project Sourcecodester Logistic Hub Parcel\'s Management System SQL Injection

  • CVSS 9.8

新たな重大 Sourcecodester Logistic Hub Parcel\'s Management System Project Sourcecodester Logistic Hub Parcel\'s Management System SQL Injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

実際の悪用

CISA KEV — 実環境での悪用が確認

本ダイジェストではこのカテゴリに該当なし。

KEV 新規掲載を見る

エクスプロイト・PoC

本ダイジェストではこのカテゴリに該当なし。

新規エクスプロイト紐づけを見る

悪用動態

本ダイジェストではこのカテゴリに該当なし。

EPSS 上昇を見る

新規 Critical 公開

CVE-2021-44090 CVSS 9.8

An SQL Injection vulnerability exists in Sourcecodester Online Reviewer System 1.0 via the password parameter.

CVE-2021-44092 CVSS 9.8

An SQL Injection vulnerability exists in code-projects Pharmacy Management 1.0 via the username parameter in the administer login form.

CVE-2021-44244 CVSS 9.8

An SQL Injection vulnerabiity exists in Sourcecodester Logistic Hub Parcel's Management System 1.0 via the username parameter in login.php.

CVE-2021-44245 CVSS 9.8

An SQL Injection vulnerability exists in Courcecodester COVID 19 Testing Management System (CTMS) 1.0 via the (1) username and (2) contac...

CVE-2021-46061 CVSS 9.8

An SQL Injection vulnerability exists in Sourcecodester Computer and Mobile Repair Shop Management system (RSMS) 1.0 via the code paramet...

CVE-2022-22928 CVSS 9.8

MCMS v5.2.4 was discovered to have a hardcoded shiro-key, allowing attackers to exploit the key and execute arbitrary code.

CVE-2022-22929 CVSS 9.8

MCMS v5.2.4 was discovered to have an arbitrary file upload vulnerability in the New Template module, which allows attackers to execute a...

CVE-2022-22930 CVSS 9.8

A remote code execution (RCE) vulnerability in the Template Management function of MCMS v5.2.4 allows attackers to execute arbitrary code...

CVE-2022-23314 CVSS 9.8

MCMS v5.2.4 was discovered to contain a SQL injection vulnerability via /ms/mdiy/model/importJson.do.

CVE-2022-23315 CVSS 9.8

MCMS v5.2.4 was discovered to contain an arbitrary file upload vulnerability via the component /ms/template/writeFileContent.do.

Critical 公開を見る

cvelogic Threat Intelligence