2022年7月22日 サイバー脅威インテリジェンス

日次の脆弱性動向:KEV 追加、公開 exploit、重大開示、EPSS リスクの変化。

日次サマリー

  • 10 件の新規 Critical 公開 — 露出サービスのパッチ状況を確認してください。

本日の重点脅威

最優先の 3 件の変化 — アナリストによる短評。CVE ダンプではありません。

重大な露出リスク

CVE-2022-25759 Convert-svg-core Project Convert-svg-core

  • CVSS 9.9

新たな重大公開(CVSS 9.9)— 深刻度が高く、エクスプロイト出現前の認知ウィンドウが短いです。

重大な露出リスク

CVE-2022-34500 Pypi Code Execution

  • CVSS 9.8
  • リモートコード実行の露出リスク

新たな重大 Pypi Code Execution(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2022-34501 Pypi Code Execution

  • CVSS 9.8
  • リモートコード実行の露出リスク

新たな重大 Pypi Code Execution(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

実際の悪用

CISA KEV — 実環境での悪用が確認

本ダイジェストではこのカテゴリに該当なし。

KEV 新規掲載を見る

エクスプロイト・PoC

本ダイジェストではこのカテゴリに該当なし。

新規エクスプロイト紐づけを見る

悪用動態

本ダイジェストではこのカテゴリに該当なし。

EPSS 上昇を見る

新規 Critical 公開

CVE-2022-25759 CVSS 9.9

The package convert-svg-core before 0.6.2 are vulnerable to Remote Code Injection via sending an SVG file containing the payload.

CVE-2022-30998 CVSS 9.1

Multiple Authenticated (subscriber or higher user role) SQL Injection (SQLi) vulnerabilities in WooPlugins.co's Homepage Product Organize...

CVE-2022-34113 CVSS 9.8

An issue in the component /api/plugin/upload of Dataease v1.11.1 allows attackers to execute arbitrary code via a crafted plugin.

CVE-2022-34115 CVSS 9.8

DataEase v1.11.1 was discovered to contain a arbitrary file write vulnerability via the parameter dataSourceId.

CVE-2022-34500 CVSS 9.8

The bin-collect package in PyPI before v0.1 included a code execution backdoor inserted by a third party.

CVE-2022-34501 CVSS 9.8

The bin-collection package in PyPI before v0.1 included a code execution backdoor inserted by a third party.

CVE-2022-34509 CVSS 9.8

The wikifaces package in PyPI v1.0 included a code execution backdoor inserted by a third party.

CVE-2022-34981 CVSS 9.8

The PyCrowdTangle package in PyPI before v0.0.1 included a code execution backdoor inserted by a third party.

CVE-2022-34982 CVSS 9.8

The eziod package in PyPI before v0.0.1 included a code execution backdoor inserted by a third party.

CVE-2022-34983 CVSS 9.8

The scu-captcha package in PyPI v0.0.1 to v0.0.4 included a code execution backdoor inserted by a third party.

Critical 公開を見る

cvelogic Threat Intelligence