2022年7月7日 サイバー脅威インテリジェンス

日次の脆弱性動向:KEV 追加、公開 exploit、重大開示、EPSS リスクの変化。

日次サマリー

  • 10 件の新規 Critical 公開 — 露出サービスのパッチ状況を確認してください。

本日の重点脅威

最優先の 3 件の変化 — アナリストによる短評。CVE ダンプではありません。

重大な露出リスク

CVE-2021-35283 Atoms183 Cms Project Atoms183 Cms SQL Injection

  • CVSS 9.8

新たな重大 Atoms183 Cms Project Atoms183 Cms SQL Injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2022-1245 A privilege escalation flaw was found in the token exchange feature of keycloak.

  • CVSS 9.8
  • 管理者/root への権限昇格の可能性

新たな重大 Redhat Keycloak Privilege Escalation(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2022-25046 Control-webpanel Webpanel Path Traversal

  • CVSS 9.8

新たな重大 Control-webpanel Webpanel Path Traversal(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

実際の悪用

CISA KEV — 実環境での悪用が確認

本ダイジェストではこのカテゴリに該当なし。

KEV 新規掲載を見る

エクスプロイト・PoC

本ダイジェストではこのカテゴリに該当なし。

新規エクスプロイト紐づけを見る

悪用動態

本ダイジェストではこのカテゴリに該当なし。

EPSS 上昇を見る

新規 Critical 公開

CVE-2021-29281 CVSS 9.8

File upload vulnerability in GFI Mail Archiver versions up to and including 15.1 via insecure implementation of Telerik Web UI plugin whi...

CVE-2021-35283 CVSS 9.8

SQL Injection vulnerability in product_admin.php in atoms183 CMS 1.0, allows attackers to execute arbitrary commands via the Name, Fname,...

CVE-2021-46825 CVSS 9.1

Symantec Advanced Secure Gateway (ASG) and ProxySG are susceptible to an HTTP desync vulnerability.

CVE-2022-1245 CVSS 9.8

A privilege escalation flaw was found in the token exchange feature of keycloak.

CVE-2022-25046 CVSS 9.8

A path traversal vulnerability in loader.php of CWP v0.9.8.1122 allows attackers to execute arbitrary code via a crafted POST request.

CVE-2022-32054 CVSS 9.8

Tenda AC10 US_AC10V1.0RTL_V15.03.06.26_multi_TD01 was discovered to contain a remote code execution (RCE) vulnerability via the lanIp par...

CVE-2022-32056 CVSS 9.8

Online Accreditation Management v1.0 was discovered to contain a SQL injection vulnerability via the USERNAME parameter at process.php.

CVE-2022-32207 CVSS 9.8

When curl < 7.84.0 saves cookies, alt-svc and hsts data to local files, it makes the operation atomic by finalizing the operation with a...

CVE-2022-32449 CVSS 9.8

TOTOLINK EX300_V2 V4.0.3c.7484 was discovered to contain a command injection vulnerability via the langType parameter in the setLanguageC...

CVE-2022-34592 CVSS 9.8

Wavlink WL-WN575A3 RPT75A3.V4300.201217 was discovered to contain a command injection vulnerability via the function obtw.

Critical 公開を見る

cvelogic Threat Intelligence