ミニ・いんふぉめーしょん

目 次

【1】2022年4月Oracle Critical Patch Updateについて
【2】複数のCisco製品に脆弱性
【3】Drupalに複数の脆弱性
【4】JiraおよびJira Service Managementに認証回避の脆弱性
【今週のひとくちメモ】JPCERT/CCがサイバー攻撃被害に係る情報の共有・公表ガイダンス検討会に事務局として参加

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221701.html
https://www.jpcert.or.jp/wr/2022/wr221701.xml
============================================================================

【1】2022年4月Oracle Critical Patch Updateについて

情報源
CISA Current Activity
Oracle Releases April 2022 Critical Patch Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/19/oracle-releases-april-2022-critical-patch-update

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2022年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220012.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - April 2022
https://www.oracle.com/security-alerts/cpuapr2022.html

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/21/cisco-releases-security-updates-multiple-products-0

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

影響度Highの脆弱性情報に記載されている製品は次のとおりです。

- Cisco Virtualized Infrastructure Manager
- Cisco Umbrella Virtual Appliance for both VMWare ESXi and Hyper-V
- Cisco RoomOS Software in Cloud-Aware On-Premises operation
- Cisco TelePresence CE Software

上記製品以外にも、影響度Mediumの複数の脆弱性情報が公開されています。詳
細はCiscoが提供する情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】Drupalに複数の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/21/drupal-releases-security-updates

概要
Drupalには複数の脆弱性があります。結果として、第三者が許可されていない
値を注入したり、データを上書きするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.3.12より前の9.3系バージョン
- Drupal 9.2.18より前の9.2系バージョン

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Improper input validation - SA-CORE-2022-008
https://www.drupal.org/sa-core-2022-008

Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2022-009
https://www.drupal.org/sa-core-2022-009

【4】JiraおよびJira Service Managementに認証回避の脆弱性

情報源
Atlassian
Jira Security Advisory 2022-04-20
https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html

概要
JiraおよびJira Service Managementには、認証回避の脆弱性があります。結
果として、遠隔の第三者が認証を回避するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Jira Core Server、Jira Software ServerおよびJira Software Data Centerの次のバージョン
- 8.13.18より前のバージョン
- 8.14.系
- 8.15.系
- 8.16.系
- 8.17.系
- 8.18.系
- 8.19.系
- 8.20.6より前の8.20.x系
- 8.21.系

- Jira Service Management ServerおよびJira Service Management Data Centerの次のバージョン
- 4.13.18より前のバージョン
- 4.14.系
- 4.15.系
- 4.16.系
- 4.17.系
- 4.18.系
- 4.19.系
- 4.20.6より前の4.20.x系
- 4.21.系

この問題は、該当する製品をAtlassianが提供する修正済みのバージョンに更
新することで解決します。詳細は、Atlassianが提供するアドバイザリ情報を
参照してください。

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCがサイバー攻撃被害に係る情報の共有・公表ガイダンス検討会に事務局として参加

2022年4月20日、総務省、経済産業省、警察庁、内閣サイバーセキュリティ
センターから、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会
の開催について」と題する報道発表がなされました。当検討会の発足の運びは、
2020年度総務省調査研究事業としてJPCERT/CCが「サイバー攻撃被害情報の共
有と公表のあり方について」と題する調査・検討を行い、報告書にてサイバー
攻撃被害情報の共有と公表に係る目安となるガイダンスの必要性について提言
したもので、このたびJPCERT/CCが検討会の事務局を担うことになりました。
この提言を行うまでの過程などは、JPCERT/CCブログ「サイバー攻撃被害情報
の共有と公表のあり方について」として公開しています。

参考文献 (日本語)
JPCERT/CC
JPCERT/CCがサイバー攻撃被害に係る情報の共有・公表ガイダンス検討会に事務局として参加
https://www.jpcert.or.jp/press/2022/20220421-sharing_and_disclosure.html

JPCERT/CC
サイバー攻撃被害情報の共有と公表のあり方について
https://blogs.jpcert.or.jp/ja/2022/04/sharing_and_disclosure.html

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のJuniper Networks製品に脆弱性
【6】複数のCitrix製品に脆弱性
【7】Apache Struts 2に任意のコードが実行可能な脆弱性
【8】VMware Cloud Directorに任意のコードが実行可能な脆弱性
【今週のひとくちメモ】2022年1月～2022年3月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221601.html
https://www.jpcert.or.jp/wr/2022/wr221601.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases April 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/microsoft-releases-april-2022-security-updates

CISA Current Activity
Microsoft Releases Advisory to Address Critical Remote Code Execution Vulnerability (CVE-2022-26809)
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/13/microsoft-releases-advisory-address-critical-remote-code-execution

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 4 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Apr

JPCERT/CC 注意喚起
2022年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220010.html

【2】複数のアドビ製品に脆弱性

情報源
アドビ
Security update available for Adobe Commerce | APSB22-13
https://helpx.adobe.com/security/products/magento/apsb22-13.html

アドビ
Security update available for Adobe Acrobat and Reader | APSB22-16
https://helpx.adobe.com/security/products/acrobat/apsb22-16.html

アドビ
Security Updates Available for Adobe After Effects | APSB22-19
https://helpx.adobe.com/security/products/after_effects/apsb22-19.html

アドビ
Security update available for Adobe Photoshop | APSB22-20
https://helpx.adobe.com/security/products/photoshop/apsb22-20.html

概要
複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe Commerce
- Adobe After Effects
- Adobe Photoshop

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB22-16）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220009.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022041301.html

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/15/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 100.0.4896.127より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/14/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が認証
を回避するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】複数のJuniper Networks製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/14/juniper-networks-releases-security-updates-multiple-products

概要
複数のJuniper Networks製品には、脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はJuniper Networksが提供するア
ドバイザリ情報を参照してください。

この問題は、該当する製品をJuniper Networksが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Juniper Networksが提供する情報を
参照してください。

関連文書 (英語)
Juniper Networks
Juniper Support Portal Search Results - Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【6】複数のCitrix製品に脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/citrix-releases-security-updates-multiple-products

概要
複数のCitrix製品には、脆弱性があります。結果として、当該製品にアクセス
したユーザーのウェブブラウザー上で、任意のスクリプトを実行されるなどの
可能性があります。

対象となる製品は、多岐にわたります。詳細はCitrixが提供する情報を参照し
てください。

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix SD-WAN Security Bulletin for CVE-2022-27505 and CVE-2022-27506
https://support.citrix.com/article/CTX370550

Citrix
Citrix StoreFront Security Bulletin for CVE-2022-27503
https://support.citrix.com/article/CTX377814

Citrix
Citrix Endpoint Management (XenMobile Server) Security Bulletin for CVE-2021-44519, CVE-2021-44520, and CVE-2022-26151
https://support.citrix.com/article/CTX370551

Citrix
Citrix Gateway Plug-in for Windows Security Bulletin for CVE-2022-21827
https://support.citrix.com/article/CTX341455

【7】Apache Struts 2に任意のコードが実行可能な脆弱性

情報源
CISA Current Activity
Apache Releases Security Advisory for Struts 2
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/apache-releases-security-advisory-struts-2

概要
The Apache Software Foundationが提供するApache Struts 2には、不適切な
入力確認に起因する任意のコードが実行可能な脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Struts 2.0.0から2.5.29までのバージョン

この問題は、Apache Struts 2をThe Apache Software Foundationが提供する
修正済みのバージョンに更新することで解決します。詳細はThe Apache Software
Foundationが提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96910606
Apache Struts 2において任意のコードを実行される脆弱性（S2-062）
https://jvn.jp/vu/JVNVU96910606/

JPCERT/CC 注意喚起
Apache Struts 2の脆弱性（S2-062）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220011.html

関連文書 (英語)
The Apache Software Foundation
S2-062
https://cwiki.apache.org/confluence/display/WW/S2-062

【8】VMware Cloud Directorに任意のコードが実行可能な脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for Cloud Director
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/15/vmware-releases-security-updates-cloud-director

概要
VMware Cloud Directorには、任意のコードが実行可能な脆弱性があります。
結果として、遠隔の第三者が該当するサーバーにアクセスする可能性がありま
す。

対象となるバージョンは次のとおりです。

- VMware Cloud Director バージョン10.3系
- VMware Cloud Director バージョン10.2系
- VMware Cloud Director バージョン10.1系

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0013
https://www.vmware.com/security/advisories/VMSA-2022-0013.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○2022年1月～2022年3月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

2022年4月14日、JPCERT/CCは2022年1月～2022年3月分の「活動四半期レポート」
「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
事例などについてまとめています。参考資料としてご活用ください。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC 活動四半期レポート [2022年1月1日～2022年3月31日]
https://www.jpcert.or.jp/pr/2022/PR_Report2021Q4.pdf

JPCERT/CC
JPCERT/CC インシデント報告対応レポート [2022年1月1日～2022年3月31日]
https://www.jpcert.or.jp/pr/2022/IR_Report2021Q4.pdf

目 次

【1】複数のMozilla製品に脆弱性
【2】Google Chromeに脆弱性
【3】複数のCitrix製品に脆弱性
【4】複数のVMware製品に脆弱性
【5】トレンドマイクロ製ウイルスバスター for Macに権限昇格の脆弱性
【今週のひとくちメモ】IPAが「組織における内部不正防止ガイドライン」第5版を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221501.html
https://www.jpcert.or.jp/wr/2022/wr221501.xml
============================================================================

【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/06/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が製品をク
ラッシュさせるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 99より前のバージョン
- Mozilla Firefox ESR 91.8より前のバージョン
- Mozilla Thunderbird 91.8より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 99
https://www.mozilla.org/en-US/security/advisories/mfsa2022-13/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.8
https://www.mozilla.org/en-US/security/advisories/mfsa2022-14/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.8
https://www.mozilla.org/en-US/security/advisories/mfsa2022-15/

【2】Google Chromeに脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/06/google-releases-security-updates-chrome

概要
Google Chromeには、型の取り違えの脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 100.0.4896.75より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop.html

【3】複数のCitrix製品に脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/06/citrix-releases-security-updates-hypervisor

概要
複数のCitrix製品には、脆弱性があります。結果として、ハイパーバイザーの
ホストがクラッシュするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix Hypervisor 8.2 CU1 LTSRより前のバージョン
- Citrix Hypervisor 8.2より前のバージョン
- Citrix XenServer 7.1 CU2 LTSRより前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのパッチを適用するこ
とで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX390511

【4】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/07/vmware-releases-security-updates

概要
複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者がコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。対象となるバージョンは多岐にわたります。
詳細はVMwareが提供するアドバイザリ情報を参照してください。

- VMware Workspace ONE Access (Access)
- VMware Identity Manager (vIDM)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
- VMware Horizon Client for Linux

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)
VMware
VMSA-2022-0011
https://www.vmware.com/security/advisories/VMSA-2022-0011.html

VMware
VMSA-2022-0012
https://www.vmware.com/security/advisories/VMSA-2022-0012.html

【5】トレンドマイクロ製ウイルスバスター for Macに権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97833256
トレンドマイクロ製ウイルスバスター for Macにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU97833256/

概要
トレンドマイクロ株式会社が提供するウイルスバスター for Macには、権限昇
格の脆弱性があります。結果として、ローカルのユーザーが任意のコードを実
行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター for Mac バージョン11.5
- ウイルスバスター for Mac バージョン11.0

この問題は、該当する製品にトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社
が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター for Mac の脆弱性について(CVE-2022-27883)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10976

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「組織における内部不正防止ガイドライン」第5版を公開

2022年4月6日、IPAが「組織における内部不正防止ガイドライン」第5版を公開。
5年ぶりの改訂となる本版では、個人情報保護法や不正競争防止法等の法改正
に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加しています。

参考文献 (日本語)
情報処理推進機構（IPA）
「組織における内部不正防止ガイドライン」第5版を公開
https://www.ipa.go.jp/about/press/20220406.html

目 次

【1】Google Chromeに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】Spring Frameworkに任意のコード実行の脆弱性
【4】Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにファイルコンテンツの検証不備の脆弱性
【5】オムロン製CX-Positionに複数の脆弱性
【6】複数の三菱電機製FA製品に脆弱性
【7】アタッシェケースにDLL読み込み不備の脆弱性
【8】WordPress用プラグインAdvanced Custom Fieldsに認証欠如の脆弱性
【9】ぜろちゃんねるプラスにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPAが「クラウドサービスのサプライチェーンリスクマネジメント調査」の結果を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221401.html
https://www.jpcert.or.jp/wr/2022/wr221401.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/30/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 100.0.4896.60より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_29.html

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/01/apple-releases-security-updates-0

概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 15.4.1より前のバージョン
- iPadOS 15.4.1より前のバージョン
- macOS Monterey 12.3.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年4月）
https://www.jpcert.or.jp/newsflash/2022040102.html

Apple
iOS 15.4.1 および iPadOS 15.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213219

Apple
macOS Monterey 12.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213220

【3】Spring Frameworkに任意のコード実行の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94675398
Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性
https://jvn.jp/vu/JVNVU94675398/

概要
Spring Frameworkには、データバインディングで使用するPropertyDescriptor
オブジェクトを安全に処理しない脆弱性があります。結果として、遠隔の第三
者がアプリケーションの権限で任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Spring Framework バージョン5.3.0から5.3.17
- Spring Framework バージョン5.2.0から5.2.19

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Spring Frameworkの任意のコード実行の脆弱性（CVE-2022-22965）について
https://www.jpcert.or.jp/newsflash/2022040101.html

関連文書 (英語)
VMWare
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965

VMWare
Spring Framework RCE, Early Announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

【4】Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにファイルコンテンツの検証不備の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99107357
Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにおけるファイルコンテンツの検証不備の脆弱性
https://jvn.jp/vu/JVNVU99107357/

概要
トレンドマイクロ株式会社が提供するTrend Micro Apex CentralおよびTrend
Micro Apex Central as a Service（Apex One SaaSのApex Central機能部分）
には、ファイルコンテンツの検証不備の脆弱性があります。結果として、遠隔
の第三者が任意のファイルをアップロードし、任意のコードを実行する可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- Trend Micro Apex Central 2019 Build 6016より前のバージョン
- Trend Micro Apex Central as a Service（Apex One SaaSのApex Central機能部分）Build 202203より前のバージョン

この問題は、該当する製品にトレンドマイクロ株式会社が提供する修正パッチ
を適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する
情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Trend Micro Apex Central製品の脆弱性（CVE-2022-26871）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220008.html

トレンドマイクロ株式会社
アラート/アドバイザリ：CVE-2022-26871 Apex CentralおよびApex Central (SaaS)で任意のファイルがアップロードされる脆弱性について(2022年3月)
https://success.trendmicro.com/jp/solution/000290660

トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex Centralの脆弱性を悪用した攻撃を確認したことによる修正プログラム適用のお願い（CVE-2022-26871)
https://appweb.trendmicro.com/supportNews/NewsDetail.aspx?id=4435

【5】オムロン製CX-Positionに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96756124
オムロン製CX-Positionにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96756124/

概要
オムロン株式会社が提供するCX-Positionには、複数の脆弱性があります。結
果として、第三者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- CX-Position 2.5.3およびそれ以前のバージョン

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョ
ンに更新することで解決します。詳細は、オムロン株式会社が提供する情報を
参照してください。

関連文書 (日本語)
オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html

【6】複数の三菱電機製FA製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#96577897
三菱電機製FA製品における複数の脆弱性
https://jvn.jp/vu/JVNVU96577897/

概要
三菱電機株式会社が提供する複数のFA製品には、脆弱性があります。結果と
して、遠隔の第三者が当該製品へ不正ログインするなどの可能性があります。

対象となる製品は次のとおりです。

- iQ-Fシリーズ FX5U(C) CPUユニット 全機種 全バージョン
- iQ-Fシリーズ FX5UJ CPUユニット 全機種 全バージョン

この問題について、三菱電機株式会社より脆弱性の影響を軽減するための回避
策に関する情報が提供されています。詳細は、三菱電機株式会社が提供する情
報を参照してください。

関連文書 (日本語)
三菱電機株式会社
複数の FA 製品における認証回避、情報漏えい及び情報改ざんの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-031.pdf

【7】アタッシェケースにDLL読み込み不備の脆弱性

情報源
Japan Vulnerability Notes JVN#10140834
アタッシェケースにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN10140834/

概要
HiBARA Softwareが提供するアタッシェケースには、DLL読み込みに関する脆弱
性があります。結果として、第三者がアタッシュケースの実行ファイルを実行
している権限で、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- アタッシェケース ver.4.0.2.7およびそれ以前のバージョン
- アタッシェケース ver.3.6.1.0およびそれ以前のバージョン

この問題は、該当する製品をHiBARA Softwareが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、HiBARA Softwareが提供する情報を
参照してください。

関連文書 (日本語)
HiBARA Software
アタッシェケース４（ 正式版 ）
https://hibara.org/software/attachecase/

【8】WordPress用プラグインAdvanced Custom Fieldsに認証欠如の脆弱性

情報源
Japan Vulnerability Notes JVN#42543427
WordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性
https://jvn.jp/jp/JVN42543427/

概要
WordPress用プラグインAdvanced Custom Fieldsには、認証欠如の脆弱性があ
ります。結果として、遠隔の第三者がデータベース上のアクセス権限のないデー
タを閲覧する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Advanced Custom Fields 5.12.1より前のバージョン
- Advanced Custom Fields Pro 5.12.1より前のバージョン

この問題は、該当する製品をDelicious Brainsが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Delicious Brainsが提供する情報を
参照してください。

関連文書 (日本語)
Delicious Brains
Advanced Custom Fields
https://ja.wordpress.org/plugins/advanced-custom-fields/

関連文書 (英語)
Delicious Brains
Edit smarter with Advanced Custom Fields for WordPress Developers.
https://www.advancedcustomfields.com/

【9】ぜろちゃんねるプラスにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#59576930
ぜろちゃんねるプラスにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN59576930/

概要
ぜろちゃんねるプラスには、クロスサイトスクリプティングの脆弱性がありま
す。結果として、当該製品の管理画面にアクセスしたユーザーのウェブブラウ
ザー上で、任意のスクリプトを実行され、管理アカウントを作成されるなどの
可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ぜろちゃんねるプラス 0.7.4およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
ぜろちゃんねるプラス開発チーム
zerochplus 0.7.5
https://osdn.net/projects/zerochplus/releases/77053