Windowsで動く複数のプログラミング言語の脆弱性に注意喚起、JPCERT/CC
マイナビニュース / 2024年4月17日 8時9分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月15日、「JVNVU#94343502: 複数のプログラミング言語のWindows環境におけるコマンド実行処理において引数のエスケープ処理が適切でない問題」において、Windows上で動作する複数のプログラミング言語に引数を適切にエスケープしない脆弱性が存在するとして、注意を喚起した。この脆弱性はアプリケーションのコマンドインジェクションにつながる可能性がある。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows
Windowsで動くプログラミング言語に脆弱性、引数の扱い方の穴を突いて攻撃 | TECH+(テックプラス)
脆弱性に関連した情報(CVE)は次のとおり。
CVE-2024-1874 - PHPのproc_openにコマンドインジェクションの脆弱性
CVE-2024-22423 - yt-dlpにコマンドインジェクションの脆弱性。オプション「-exec %q」には不適切なエスケープ処理が存在する(参考:「--exec command injection when using %q in yt-dlp on Windows (CVE-2023-40581 bypass) Advisory yt-dlp/yt-dlp GitHub」)
CVE-2024-24576 - RustのCommand APIに不適切なエスケープの脆弱性。Rustの開発者は適切にエスケープする方法はないと判断し、安全ではない引数を入力エラーとして処理する方法で対策した。この修正は悪意のない有効な引数をエラーとみなす可能性がある
CVE-2024-27980 - Node.jsの「child_process.spawn」および「child_process.spawnSync」にコマンドインジェクションの脆弱性。攻撃者は悪意のあるコマンドライン引数を使用して任意のコマンドを実行する可能性がある
CVE-2024-3566 - コマンドインジェクションの脆弱性。CreateProcess関数に間接的に依存するWindowsアプリケーションに影響する可能性がある
-
- 1
- 2
この記事に関連するニュース
-
バッファロー製Wi-Fiルーターに脆弱性 対象機種は今すぐファームウェア更新を
ITmedia PC USER / 2024年4月17日 15時40分
-
バッファローの無線LANルータに複数の脆弱性、アップデートを
マイナビニュース / 2024年4月16日 16時31分
-
パロアルトネットワークスのファイアウォールに緊急の脆弱性、アップデートを
マイナビニュース / 2024年4月16日 8時47分
-
Windowsで動くプログラミング言語に脆弱性、引数の扱い方の穴を突いて攻撃
マイナビニュース / 2024年4月12日 7時43分
-
HTTP/2プロトコルの脆弱性を警告、Goなど複数製品に影響 - JPCERT/CC
マイナビニュース / 2024年4月11日 9時15分
ランキング
-
1佐野正弘のケータイ業界情報局 第125回 SIMフリーに消極的だったサムスン電子、なぜ「Galaxy S24」で方針を一転させた?
マイナビニュース / 2024年4月30日 11時30分
-
2「絶対美味しいじゃん」とXで話題! おかずにもなる「春キャベツと鶏そぼろのお味噌汁」がおいしそう
ねとらぼ / 2024年4月30日 7時0分
-
3『スト6』での“瞬獄殺”もかっこよすぎ!追加キャラ「豪鬼」5月22日配信決定&ゲームプレイ映像公開
インサイド / 2024年4月29日 19時24分
-
4Google検索から「Facebook」の詐欺広告を確認、注意を
マイナビニュース / 2024年4月29日 15時45分
-
5東京駅の中身ってこうなってたんだ! 豆知識が詰まった手描きの断片図に「これ凄い!」「見ながら散策したい」の声
ねとらぼ / 2024年4月28日 19時45分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください