2022年7月5日 サイバー脅威インテリジェンス

日次の脆弱性動向:KEV 追加、公開 exploit、重大開示、EPSS リスクの変化。

日次サマリー

  • 8 件の新規 Critical 公開 — 露出サービスのパッチ状況を確認してください。

本日の重点脅威

最優先の 3 件の変化 — アナリストによる短評。CVE ダンプではありません。

重大な露出リスク

CVE-2022-31856 Newsletter Module Project Newsletter Module SQL Injection

  • CVSS 9.8

新たな重大 Newsletter Module Project Newsletter Module SQL Injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2022-32311 Ingredient Stock Management System Project Ingredient Stock Management System SQL Injection

  • CVSS 9.8

新たな重大 Ingredient Stock Management System Project Ingredient Stock Management System SQL Injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2022-34972 So Filter Shop By Project So Filter Shop By SQL Injection

  • CVSS 9.8

新たな重大 So Filter Shop By Project So Filter Shop By SQL Injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

実際の悪用

CISA KEV — 実環境での悪用が確認

本ダイジェストではこのカテゴリに該当なし。

KEV 新規掲載を見る

エクスプロイト・PoC

本ダイジェストではこのカテゴリに該当なし。

新規エクスプロイト紐づけを見る

悪用動態

本ダイジェストではこのカテゴリに該当なし。

EPSS 上昇を見る

新規 Critical 公開

ASUS RT-A88U 3.0.0.4.386_45898 is vulnerable to Cross Site Scripting (XSS).

CVE-2022-2321 CVSS 9.8

Improper Restriction of Excessive Authentication Attempts in GitHub repository heroiclabs/nakama prior to 3.13.0.

CVE-2022-31836 CVSS 9.8

The leafInfo.match() function in Beego v2.0.3 and below uses path.join() to deal with wildcardvalues which can lead to cross directory risk.

CVE-2022-31856 CVSS 9.8

Newsletter Module v3.x was discovered to contain a SQL injection vulnerability via the zemez_newsletter_email parameter at /index.php.

CVE-2022-32310 CVSS 9.8

An access control issue in Ingredient Stock Management System v1.0 allows attackers to take over user accounts via a crafted POST request...

CVE-2022-32311 CVSS 9.8

Ingredient Stock Management System v1.0 was discovered to contain a SQL injection vulnerability via the id parameter at /isms/admin/stock...

CVE-2022-32413 CVSS 9.8

An arbitrary file upload vulnerability in Dice v4.2.0 allows attackers to execute arbitrary code via a crafted file.

CVE-2022-34972 CVSS 9.8

So Filter Shop v3.x was discovered to contain multiple blind SQL injection vulnerabilities via the att_value_id , manu_value_id , opt_val...

Critical 公開を見る

cvelogic Threat Intelligence