ファイル転送共有ソフトウェア「ZendTo」に深刻な脆弱性が明らかになった。2021年当時のアップデートで修正済みだが、これまでCVE番号が発行されておらず、危険性などの認知も進んでいないとして注意が呼びかけられている。
認証を必要とすることなく、任意のコマンドを実行できる脆弱性「CVE-2021-47667」が確認されたもの。同脆弱性は「ZendTo 6.10-4」から「同5.24-3」までのバージョンに存在し、「同6.10-7」以降で修正されている。
問題とされる「CVE-2021-47667」は、外部より組織内のユーザーへファイルを送信するために利用される「ファイルドロップオフ機能」に存在。「POSTリクエスト」において、OSコマンドインジェクションにより攻撃者によって任意のコマンドが実行されるおそれがある。
同脆弱性のCVE番号は、MITREによって2025年4月5日に採番された。共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値である「10.0」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
今回CVE番号が採番されたのは、セキュリティ研究者が、同ソフトのアップデートにおける変更内容をログより確認していた際、2021年の修正に気付いたことがきっかけだったという。
(Security NEXT – 2025/04/08 )
ツイート
関連リンク
ZendTo
PR
関連記事
Bitdefenderのセキュリティ管理ツールにRCE脆弱性
管理者権限奪われる「CrushFTP」脆弱性の悪用に注意喚起 – 米当局
DB管理ツール「pgAdmin」に深刻な脆弱性 – アップデートで修正
米当局、Ivanti製品の脆弱性に注意喚起 – 侵害痕跡なくとも初期化検討を
あらたなIvanti脆弱性 – パッチ分析で特定し、3月中旬より攻撃展開か
「MS Edge」にアップデート – 独自含む複数脆弱性を解消
Apple、「macOS Sequoia 15.4」など公開 – 多数脆弱性を解消
「CrushFTP」脆弱性、すでに被害も – 開示過程でトラブル
「CrushFTP」に認証回避の脆弱性 – 早急にアップデートを
「Ivanti Connect Secure」などにあらたなRCE脆弱性 – すでに悪用も