ミニ・いんふぉめーしょん

目　次
【1】TensorFlowベースのKerasモデルに含まれるLambdaレイヤにコードインジェクションが発生する問題
【2】LINEヤフー社製Armeria-samlにおけるSAMLメッセージ取り扱い不備
【3】LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性
【4】2024年4月Oracle Critical Patch Updateについて
【5】PuTTY SSHクライアントのECDSA署名処理に脆弱性
【6】WordPress用プラグインForminatorにおける複数の脆弱性
【7】Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性
【8】バッファロー製無線LANルーターに複数の脆弱性
【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」の英訳版を公表
【10】IPAが「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃」に関する注意喚起を公表
【11】CISAが「Deploying AI Systems Securely」を公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】TensorFlowベースのKerasモデルに含まれるLambdaレイヤにコードインジェクションが発生する問題
情報源
https://jvn.jp/ta/JVNTA95942420/

概要
Keras 2.13より前のバージョンで作成されたTensorFlowベースのKerasモデルには、モデルに含まれるLambdaレイヤの安全性を確認できない問題があります。この問題は、バージョン 2.13以上のKeras 2またはKeras 3を利用し、モデルをロードする際はsafe_modeをTrueに設定することで解決します。詳細は、CERT/CCが提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/253266

【2】LINEヤフー社製Armeria-samlにおけるSAMLメッセージ取り扱い不備
情報源
https://jvn.jp/vu/JVNVU91216202/

概要
LINEヤフー株式会社が提供するArmeria-samlには、SAMLメッセージの取り扱いに不備があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2024-1735/

https://github.com/line/armeria/security/advisories/GHSA-4m6j-23p2-8c54

【3】LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU91696361/

概要
LINE client for iOSに組み込まれている金融系モジュールには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2023-5554/

【4】2024年4月Oracle Critical Patch Updateについて
情報源
https://www.cisa.gov/news-events/alerts/2024/04/18/oracle-releases-critical-patch-update-advisory-april-2024

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.oracle.com/security-alerts/cpuapr2024.html

【5】PuTTY SSHクライアントのECDSA署名処理に脆弱性
情報源
https://jvn.jp/vu/JVNVU91264077/

概要
PuTTY SSHクライアントには、ECDSA署名処理の実装に脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。また、NIST P521秘密鍵を使用している場合は、鍵対の更新も必要になります。詳細は、ベンダーが提供する情報を参照してください。
関連文書
https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-p521-bias.html

https://winscp.net/tracker/2285

https://gitlab.com/tortoisegit/tortoisegit/-/commit/e9c1f3f4d4e15060821978d7bf80a2ee9b6d1235

https://sourceforge.net/p/tortoisesvn/code/29685/

https://svn.filezilla-project.org/filezilla?revision=11142&view=revision

【6】WordPress用プラグインForminatorにおける複数の脆弱性
情報源
https://jvn.jp/jp/JVN50132400/

概要
WPMU DEVが提供するWordPress用プラグインForminatorには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/forminator/

https://wpmudev.com/

【7】Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN23835228/

概要
Proscend Communications Inc.が提供するM330-WおよびM330-W5には、脆弱性があります。この問題は、修正済みのファームウェアに更新することで解決します。
関連文書
https://drive.google.com/file/d/1ouGAh6ty7G2VDlA5fc0aC246BsgcAzw6/view?usp=sharing

【8】バッファロー製無線LANルーターに複数の脆弱性
情報源
https://jvn.jp/jp/JVN58236836/

概要
株式会社バッファローが提供する無線LANルーターの複数のモデルには、脆弱性があります。対象となる製品は、多岐にわたります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.buffalo.jp/news/detail/20240410-01.html

【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」の英訳版を公表
情報源
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html

概要
2024年4月17日、経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」の英訳版を公表しました。本ガイドラインでは、工場システムのセキュリティ対策を実施する上で参照すべき考え方やステップを手引きとして示し 、必要最小限と考えられる対策事項として脅威に対する技術的な対策から運用・管理面の対策までを明記しています。

【10】IPAが「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃」に関する注意喚起を公表
情報源
https://www.ipa.go.jp/security/security-alert/2024/alert_orb.html

概要
2024年4月18日、独立行政法人情報処理推進機構（IPA）は、「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃」と題して注意喚起を公表しました。IPAによると、本脆弱性を悪用した攻撃による被害を確認しており、国内の複数組織においてwebshellが設置されていたとのことです。IPAは、当該製品を修正済みバージョンに更新することや、通信ログなどからの攻撃の被害を確認することを推奨しています。
関連文書
https://helpx.adobe.com/jp/security/products/coldfusion/apsb23-40.html

【11】CISAが「Deploying AI Systems Securely」を公表
情報源
https://www.cisa.gov/news-events/alerts/2024/04/15/joint-guidance-deploying-ai-systems-securely

概要
2024年4月15日、CISAが「Deploying AI Systems Securely」と題してガイダンスを公表しました。本ガイダンスは、外部で開発された人工知能（AI）システムを導入および運用するためのベストプラクティスを取りまとめたものです。

目　次
【1】XenServerおよびCitrix Hypervisorに複数の脆弱性
【2】複数のJuniper Networks製品に脆弱性
【3】複数のプログラミング言語にWindows環境でのコマンドインジェクションの脆弱性
【4】a-blog cmsに複数の脆弱性
【5】複数のアドビ製品に脆弱性
【6】複数のFortinet製品に脆弱性
【7】複数のHTTP/2実装にCONTINUATIONフレームの取り扱い不備
【8】OpenSSLにサービス運用妨害（DoS）の脆弱性
【9】WordPress用プラグインNinja Formsに複数の脆弱性
【10】Palo Alto Networks社製PAN-OS GlobalProtect機能にOSコマンドインジェクションの脆弱性（CVE-2024-3400）
【11】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】XenServerおよびCitrix Hypervisorに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/04/12/citrix-releases-security-updates-xenserver-and-citrix-hypervisor

概要
Cloud Software Groupが提供するXenServerおよびCitrix Hypervisorには、複数の脆弱性があります。当該製品の修正済みのバージョン、またはHotfixの提供状況など詳細について、開発者が提供するアドバイザリを参照して対処をご検討ください。
関連文書
https://support.citrix.com/article/CTX633151/xenserver-and-citrix-hypervisor-security-update-for-cve202346842-cve20242201-and-cve202431142

【2】複数のJuniper Networks製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/04/12/juniper-releases-security-bulletin-multiple-juniper-products

概要
Juniper Networksは同社製品における脆弱性に関するアドバイザリを複数公開しました（Critical 3件を含む）。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&f:ctype=[Security%20Advisories]

【3】複数のプログラミング言語にWindows環境でのコマンドインジェクションの脆弱性
情報源
https://kb.cert.org/vuls/id/123335

概要
複数のプログラミング言語において、Microsoft Windows環境で任意のコマンドが実行可能となる脆弱性が指摘されています。幾つかの製品ベンダーは、この問題への対策に関する情報を提供しています。CERT/CCは、この問題に関して製品ベンダーの対応状況を横断的に示していますので、ご確認のうえ対処をご検討ください。
関連文書
https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/

https://jvn.jp/vu/JVNVU94343502/

【4】a-blog cmsに複数の脆弱性
情報源
https://jvn.jp/jp/JVN70977403/

概要
有限会社アップルップルが提供するa-blog cmsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://developer.a-blogcms.jp/blog/news/JVN-70977403.html

【5】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/04/09/adobe-releases-security-updates-multiple-products-0

概要
複数のアドビ製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security.html

【6】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/04/09/fortinet-releases-security-updates-multiple-products

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを複数公開しました（Critical 1件含む）。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt

【7】複数のHTTP/2実装にCONTINUATIONフレームの取り扱い不備
情報源
https://jvn.jp/vu/JVNVU99012560/

概要
複数のHTTP/2実装において、CONTINUATIONフレームの取り扱い不備によりサービス運用妨害（DoS）攻撃が可能となる問題が指摘されています。幾つかの製品ベンダーは、この問題への対策に関する情報を提供しています。各製品ベンダーの対応状況については、JVNおよびCERT/CCの情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/421644

https://nowotarski.info/http2-continuation-flood-technical-details/

【8】OpenSSLにサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU96443143/

概要
OpenSSLには、TLSv1.3セッションの処理時にメモリを多量に消費し、サービス運用妨害（DoS）状態を引き起こす脆弱性があります。2024年4月17日現在、修正版は提供されていませんが、今後公開されるバージョンにおいて修正される予定です。 詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240408.txt

【9】WordPress用プラグインNinja Formsに複数の脆弱性
情報源
https://jvn.jp/jp/JVN50361500/

概要
Saturday Driveが提供するWordPress用プラグインNinja Formsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/ninja-forms/

https://ninjaforms.com/

【10】Palo Alto Networks社製PAN-OS GlobalProtect機能にOSコマンドインジェクションの脆弱性（CVE-2024-3400）
情報源
https://www.jpcert.or.jp/at/2024/at240009.html

概要
Palo Alto Networksは、PAN-OSのGlobalProtect機能におけるOSコマンドインジェクションの脆弱性（CVE-2024-3400）のアドバイザリを公開しました。GlobalProtectはリモートアクセス（VPN）などを提供する機能です。同社は本脆弱性を悪用する攻撃を確認しているとのことです。バージョンにより提供時期は異なりますが、同社は本脆弱性を修正するHotfixの提供を開始しています。最新の情報を確認の上、推奨される対策を適用してください。
関連文書
https://security.paloaltonetworks.com/CVE-2024-3400

https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/

https://www.cisa.gov/news-events/alerts/2024/04/12/palo-alto-networks-releases-guidance-vulnerability-pan-os-cve-2024-3400

【11】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240008.html

概要
複数のマイクロソフト製品に関する脆弱性（一部悪用あり）が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.cisa.gov/news-events/alerts/2024/04/09/microsoft-releases-april-2024-security-updates

目　次
【1】Apache HTTP Server 2.4に複数の脆弱性
【2】Ivanti Connect SecureおよびIvanti Policy Secureに複数の脆弱性
【3】NEC Atermシリーズに複数の脆弱性
【4】Centeミドルウェアに複数の脆弱性
【5】プラネックス製無線LANルータMZK-MF300Nに複数の脆弱性
【6】複数のCisco製品に脆弱性
【7】フルノシステムズ製マネージド・スイッチACERA 9010（MSモード以外で使用時）に初期パスワードに関する脆弱性
【8】XZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）について
【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」を公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Apache HTTP Server 2.4に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99032532/

概要
Apache HTTP Server 2.4系には、複数の脆弱性があります。これらの問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.59

https://kb.cert.org/vuls/id/421644

【2】Ivanti Connect SecureおよびIvanti Policy Secureに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/04/04/ivanti-releases-security-update-ivanti-connect-secure-and-policy-secure-gateways

概要
Ivanti Connect Secure（旧：Pulse Connect Secure）およびIvanti Policy Secureゲートウェイには、複数の脆弱性があります。この問題は、当該製品に修正パッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/SA-CVE-2024-21894-Heap-Overflow-CVE-2024-22052-Null-Pointer-Dereference-CVE-2024-22053-Heap-Overflow-and-CVE-2024-22023-XML-entity-expansion-or-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

https://forums.ivanti.com/s/article/New-CVE-2024-21894-Heap-Overflow-CVE-2024-22052-Null-Pointer-Dereference-CVE-2024-22053-Heap-Overflow-and-CVE-2024-22023-XML-entity-expansion-or-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

【3】NEC Atermシリーズに複数の脆弱性
情報源
https://jvn.jp/jp/JVN82074338/

概要
日本電気株式会社が提供するAtermシリーズには、複数の脆弱性があります。一部の問題は、当該製品を修正済みのバージョンに更新するまたは回避策を適用することで解決します。なお、一部製品はすでにサポートが終了しており、開発者は後続製品への乗り換えなどの検討を推奨しています。詳細は開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv24-001.html

【4】Centeミドルウェアに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94016877/

概要
DMG MORI Digital株式会社が開発し、NEXT株式会社が提供するCenteミドルウェアTCP/IPネットワークシリーズの一部製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.cente.jp/obstacle/4956/

https://www.cente.jp/obstacle/4960/

https://www.cente.jp/obstacle/4963/

【5】プラネックス製無線LANルータMZK-MF300Nに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU91975826/

概要
プラネックスコミュニケーションズ株式会社が提供する無線LANルータMZK-MF300Nには、複数の脆弱性があります。開発者によると、当該製品の販売は終了しており、修正アップデートは提供されません。開発者は当該製品の使用停止を推奨しています。

【6】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-dir-trav-SSn3AYDw

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計12件（High 1件、Medium 11件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【7】フルノシステムズ製マネージド・スイッチACERA 9010（MSモード以外で使用時）に初期パスワードに関する脆弱性
情報源
https://jvn.jp/vu/JVNVU99285099/

概要
株式会社フルノシステムズが提供するマネージド・スイッチACERA 9010には、工場出荷時設定においてパスワードが設定されていません。当該製品をMSモード以外で使用している場合、本脆弱性の影響を受ける可能性があります。当該製品のパスワードを出荷時設定のまま変更せずに使用している場合、CLIコマンドを使用してパスワードを設定してください。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.furunosystems.co.jp/news/info/vulner20240401.html

【8】XZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）について
情報源
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

概要
2024年3月29日（現地時間）、複数のLinuxディストリビューションなどで利用されているファイル可逆圧縮ツールであるXZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）が確認されたとして、ツールの開発元であるThe Tukaani Projectの開発者などが情報を公開しています。同問題の影響を受けるバージョンのツールがインストールされたシステムでは、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性があります。同ツールの開発者などが公開する最新の情報を参照し、影響の有無の調査や必要な対処の実施をご検討ください。
関連文書
https://www.jpcert.or.jp/newsflash/2024040101.html

https://tukaani.org/xz-backdoor/

【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」を公表
情報源
https://www.meti.go.jp/press/2024/04/20240404002/20240404002.html

概要
2024年4月4日、経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」を公表しました。2022年11月に公表されたガイドラインの拡充版として、主に工場のスマート化を進める企業を読者に想定し、スマート工場の概要とともに、ガイドライン本編に示した各ステップの対策におけるスマート化を進めるにあたっての留意点や具体例を示しています。

目　次
【1】スマートフォンアプリ「Yahoo! JAPAN」にクロスサイトスクリプティングの脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のApple製品に脆弱性
【4】WordPress用プラグインSurvey Makerに複数の脆弱性
【5】エレコム製無線ルーターに複数の脆弱性
【6】WordPress用プラグインeasy-popup-showにクロスサイトリクエストフォージェリの脆弱性
【7】JPCERT/CCが「インシデント相談・情報提供窓口」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】スマートフォンアプリ「Yahoo! JAPAN」にクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN23528780/

概要
LINEヤフー株式会社が提供するスマートフォンアプリ「Yahoo! JAPAN」には、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。

【2】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/28/cisco-releases-security-updates-multiple-products

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計17件（High 10件、Medium 7件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【3】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/27/apple-released-security-updates-safari-and-macos

概要
複数のApple製品には、脆弱性があります。Safari、macOS Sonoma、macOS Venturaが対象です。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT214094

https://support.apple.com/ja-jp/HT214096

https://support.apple.com/ja-jp/HT214095

【4】WordPress用プラグインSurvey Makerに複数の脆弱性
情報源
https://jvn.jp/jp/JVN51098626/

概要
AYS Pro Pluginsが提供するWordPress用プラグインSurvey Makerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/survey-maker/

【5】エレコム製無線ルーターに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU95381465/

概要
エレコム株式会社が提供する無線ルーターには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240326-01/

【6】WordPress用プラグインeasy-popup-showにクロスサイトリクエストフォージェリの脆弱性
情報源
https://jvn.jp/jp/JVN86206017/

概要
Ari Susantoが提供するWordPress用プラグインeasy-popup-showには、クロスサイトリクエストフォージェリの脆弱性があります。当該製品のサポートは既に終了しているため、恒久的な対策として製品の使用を停止してください。

【7】JPCERT/CCが「インシデント相談・情報提供窓口」を公開
情報源
https://www.jpcert.or.jp/ir/consult.html

概要
2024年3月25日、JPCERT/CCは「インシデント相談・情報提供窓口」を公開しました。サイバー攻撃の高度化などにより、断片的な情報でインシデント対応の判断をしなければならない事案が増えています。本窓口では、このような事案に対するインシデント初動対応支援やセカンドオピニオンを行っています。なお、ご相談は被害組織からだけではなく、調査を支援するセキュリティベンダー、システム運用会社などからも受け付けています。