2022年8月8日 サイバー脅威インテリジェンス

日次の脆弱性動向:KEV 追加、公開 exploit、重大開示、EPSS リスクの変化。

日次サマリー

  • WordPress プラグインの RCE/悪用動向:本日 2 件の CVE をフラグ。
  • 7 件の新規 Critical 公開 — 露出サービスのパッチ状況を確認してください。

本日の重点脅威

最優先の 3 件の変化 — アナリストによる短評。CVE ダンプではありません。

重大な露出リスク

CVE-2022-2269 Wpwhitesecurity Website File Changes Monitor SQL Injection

  • CVSS 9.8
  • インターネット公開 CMS への影響

新たな重大 Wpwhitesecurity Website File Changes Monitor SQL Injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2022-2460 Digital Product Labs Wpdating SQL Injection

  • CVSS 9.8
  • インターネット公開 CMS への影響

新たな重大 Digital Product Labs Wpdating SQL Injection(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

重大な露出リスク

CVE-2022-35490 Zammad 5.2.0 is vulnerable to privilege escalation.

  • CVSS 9.8
  • 管理者/root への権限昇格の可能性

新たな重大 Zammad Privilege Escalation(CVSS 9.8)— 公開直後のウィンドウ。成熟した悪用チェーンの前にインターネットスキャンが先行しがちです。

実際の悪用

CISA KEV — 実環境での悪用が確認

本ダイジェストではこのカテゴリに該当なし。

KEV 新規掲載を見る

エクスプロイト・PoC

本ダイジェストではこのカテゴリに該当なし。

新規エクスプロイト紐づけを見る

悪用動態

本ダイジェストではこのカテゴリに該当なし。

EPSS 上昇を見る

新規 Critical 公開

CVE-2021-41615 CVSS 9.8

websda.c in GoAhead WebServer 2.1.8 has insufficient nonce entropy because the nonce calculation relies on the hardcoded onceuponatimeinp...

CVE-2022-2269 CVSS 9.8

The Website File Changes Monitor WordPress plugin before 1.8.3 does not sanitise and escape user input before using it in a SQL statement...

CVE-2022-2460 CVSS 9.8

The WPDating WordPress plugin before 7.4.0 does not properly escape user input before concatenating it to certain SQL queries, leading to...

CVE-2022-2713 CVSS 9.8

Insufficient Session Expiration in GitHub repository cockpit-hq/cockpit prior to 2.2.0.

CVE-2022-35490 CVSS 9.8

Zammad 5.2.0 is vulnerable to privilege escalation.

CVE-2022-36264 CVSS 9.1

In Airspan AirSpot 5410 version 0.3.4.1-4 and under there exists an Unauthenticated remote Arbitrary File Upload vulnerability which allo...

CVE-2022-36267 CVSS 9.8

In Airspan AirSpot 5410 version 0.3.4.1-4 and under there exists a Unauthenticated remote command injection vulnerability.

Critical 公開を見る

cvelogic Threat Intelligence