2025 CyberScoop 50賞のノミネーションが受け付けられます。
- 人気のAIシステム開発プラットフォームが、攻撃者にリモートコード実行権限を与える可能性のある脆弱性を修正しました。
- Nomaの研究者は、Lightning.AIの開発プラットフォームのJavaScriptコードに埋め込まれた欠陥について詳細に説明しました。
- 攻撃者はURL内のJavaScriptコードの隠しパラメータ「command」を操作することで、特定の被害者やスタジオ向けに悪意のあるフィッシングリンクを作成できます。
- 脆弱性は2024年10月14日に発見され、翌日にはLightning.AIの代表者と連絡を取り始め、10月25日までにパッチが適用されました。
- 脆弱性は根本的な権限を持つ9.4のCVSS深刻度評価を持ち、AWSクラウドメタデータへのアクセスも可能です。
私の考え: この記事は、セキュリティ上の深刻な問題を取り上げており、新興AI製品の急速な採用が企業を重大な欠陥にさらす可能性があることを示しています。セキュリティへの重要性を再確認させられる内容です。
元記事: https://cyberscoop.com/lightningai-vulnerability-noma-cloud-phishing/