タグ: ローカルファイルインクルージョン

google-threat-intel

公開クラウドファンクションのリスクと堅牢化の方法

執筆: Corné de Jong はじめに  Mandiantのセキュリティ評価では、特定のビジネス要件を理由として、認証を欠いたまま公開されているサーバーレスアプリケーションが頻繁に確認されています。サーバーレスの展開では通常、サードパーティ製パッケージを組み込んだ独自開発コードが実行されるため、次のよう

cyberpress.org

ChatGPTの機密情報漏洩の欠陥、ファイルダウンロード機構を悪用

ChatGPTにはすでに修正済みの脆弱性が存在し、ガードレールのバイパスとパストラバーサルの欠陥を組み合わせることで、OpenAIのサンドボックス実行環境内でローカルファイルインクルージョン(LFI)を実現できる状態にありました。 zer0dacというハンドルネームで活動する研究者は、この問題をOWASP LLM02

cyberpress.org

CactiフレームワークにCritical脆弱性——認証不要のSQLインジェクション攻撃にさらされるリスク

ネットワーク監視フレームワークのCactiに、深刻度の高い複数のセキュリティ脆弱性が相次いで公表されました。バージョン1.2.30以前を対象に、認証不要のSQLインジェクションやローカルファイルインクルージョン(LFI)など、CriticalおよびHighレベルの欠陥が確認されています。 最も深刻な脆弱性はCVE-2