Tech Insights
【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...
Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。
【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...
Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。
【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...
LinuxカーネルのTDR(Timeout Detection and Recovery)において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF(Use After Free)の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。
【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...
LinuxカーネルのTDR(Timeout Detection and Recovery)において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF(Use After Free)の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。
【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョ...
Microsoftは2024年11月12日、WindowsのNTLMハッシュ開示に関する脆弱性【CVE-2024-43451】を公開した。この脆弱性はWindows Server 2025からWindows Server 2008まで、Windows 11からWindows 10の広範なバージョンに影響を与えることが判明。CISAによる評価では攻撃の自動化は不可能とされているものの、CVSSスコア6.5の中程度の深刻度が付けられており、早急な対応が求められている。
【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョ...
Microsoftは2024年11月12日、WindowsのNTLMハッシュ開示に関する脆弱性【CVE-2024-43451】を公開した。この脆弱性はWindows Server 2025からWindows Server 2008まで、Windows 11からWindows 10の広範なバージョンに影響を与えることが判明。CISAによる評価では攻撃の自動化は不可能とされているものの、CVSSスコア6.5の中程度の深刻度が付けられており、早急な対応が求められている。
【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読...
SAPのS/4 HANA Manage Bank Statementsアプリケーションにおいて、読み取り専用フィールドがMERGEメソッドによって改変可能な脆弱性が発見された。CVE-2024-45282として識別されたこの脆弱性は、CVSS v3.1で中程度(4.3)と評価され、S4CORE 102から107までの広範なバージョンに影響を与える。整合性への影響が指摘されているが、機密性とアベイラビリティへの影響はない。
【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読...
SAPのS/4 HANA Manage Bank Statementsアプリケーションにおいて、読み取り専用フィールドがMERGEメソッドによって改変可能な脆弱性が発見された。CVE-2024-45282として識別されたこの脆弱性は、CVSS v3.1で中程度(4.3)と評価され、S4CORE 102から107までの広範なバージョンに影響を与える。整合性への影響が指摘されているが、機密性とアベイラビリティへの影響はない。
【CVE-2024-38203】Windows Package Library Manager...
MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。
【CVE-2024-38203】Windows Package Library Manager...
MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。
シンセカイテクノロジーズのMURAコミュニティが地方WEB3連携協会と提携し、地方創生の取り組...
株式会社SHINSEKAI TechnologiesのMURAコミュニティと一般社団法人地方WEB3連携協会が業務提携を実施。2024年12月1日にiU情報経営イノベーション専門職大学でRegion Link Rivals Expo #002を開催し、約20の自治体や企業、教育機関が参加予定。地域資源のデジタルアセット化やコミュニティ活性化を通じて、地方創生と地域課題解決の加速を目指す。
シンセカイテクノロジーズのMURAコミュニティが地方WEB3連携協会と提携し、地方創生の取り組...
株式会社SHINSEKAI TechnologiesのMURAコミュニティと一般社団法人地方WEB3連携協会が業務提携を実施。2024年12月1日にiU情報経営イノベーション専門職大学でRegion Link Rivals Expo #002を開催し、約20の自治体や企業、教育機関が参加予定。地域資源のデジタルアセット化やコミュニティ活性化を通じて、地方創生と地域課題解決の加速を目指す。
SailPointがマシンアイデンティティ管理の新製品を発表、セキュリティプロセスの統合による...
SailPoint Technologies, Inc.が新製品「SailPoint Machine Identity Security」を発表した。SailPoint Atlasプラットフォーム上に開発された本製品は、マシンアイデンティティとヒューマンアイデンティティのセキュリティプロセスを統合し、企業全体のアイデンティティ管理を効率化する。調査では企業の66%が手作業での管理を続けており、本製品による自動化への期待が高まっている。
SailPointがマシンアイデンティティ管理の新製品を発表、セキュリティプロセスの統合による...
SailPoint Technologies, Inc.が新製品「SailPoint Machine Identity Security」を発表した。SailPoint Atlasプラットフォーム上に開発された本製品は、マシンアイデンティティとヒューマンアイデンティティのセキュリティプロセスを統合し、企業全体のアイデンティティ管理を効率化する。調査では企業の66%が手作業での管理を続けており、本製品による自動化への期待が高まっている。
パズルリングがAIホームページ作成サービス開始、LINEチャットで10分以内に完成し低価格で提供
株式会社パズルリングが、AIアシスタント「アイラ」とLINEでチャットするだけでホームページを作成できるサービス『チャットで!かんたんホームページ』を開始。約10分での作成が可能で、年額4,950円(税込)という低価格で提供。2024年12月31日までは無料お試し期間として展開し、デジタル格差の解消を目指す。
パズルリングがAIホームページ作成サービス開始、LINEチャットで10分以内に完成し低価格で提供
株式会社パズルリングが、AIアシスタント「アイラ」とLINEでチャットするだけでホームページを作成できるサービス『チャットで!かんたんホームページ』を開始。約10分での作成が可能で、年額4,950円(税込)という低価格で提供。2024年12月31日までは無料お試し期間として展開し、デジタル格差の解消を目指す。
グラングリーン大阪でスマートフォン連動型のインタラクティブライトアップ開催、個人に合わせた光の...
株式会社ネイキッドとパナソニック株式会社エレクトリックワークス社が共同で、グラングリーン大阪うめきた公園にて新しい光の体験イベント『YOI-en』を開催。2024年12月7日から2025年1月26日まで実施され、来場者のスマートフォンと連動したインタラクティブなライトアップを展開。誕生月に応じたデジタルフラワーと光の演出により、一人ひとりに特別な体験を提供する。
グラングリーン大阪でスマートフォン連動型のインタラクティブライトアップ開催、個人に合わせた光の...
株式会社ネイキッドとパナソニック株式会社エレクトリックワークス社が共同で、グラングリーン大阪うめきた公園にて新しい光の体験イベント『YOI-en』を開催。2024年12月7日から2025年1月26日まで実施され、来場者のスマートフォンと連動したインタラクティブなライトアップを展開。誕生月に応じたデジタルフラワーと光の演出により、一人ひとりに特別な体験を提供する。
SailPointがIdentity Security Cloudの機能を強化、AIツールのプ...
SailPoint Technologies, Inc.がIdentity Security Cloudの大規模な機能拡張を発表した。データセグメンテーション、ダイナミックアクセス権限ロール、アクセス権限モデルメタデータの3つの新機能を搭載し、AIアプリケーションオンボーディング機能も強化。さらに2025年上半期には全顧客向けにエージェント型AIツールの提供を開始する予定だ。
SailPointがIdentity Security Cloudの機能を強化、AIツールのプ...
SailPoint Technologies, Inc.がIdentity Security Cloudの大規模な機能拡張を発表した。データセグメンテーション、ダイナミックアクセス権限ロール、アクセス権限モデルメタデータの3つの新機能を搭載し、AIアプリケーションオンボーディング機能も強化。さらに2025年上半期には全顧客向けにエージェント型AIツールの提供を開始する予定だ。
EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...
イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。
EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...
イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。
Mapboxドキュメントサイトが2024 DevPortal Awardsで最優秀賞を受賞、開...
MapboxのドキュメントサイトがDevPortal Awardsで「最優秀統合エンタープライズデベロッパーポータル賞」を受賞。24以上の製品情報を統一的に整理し、140以上のコード例やAPIパラメータのテスト機能を提供。インタラクティブなプレイグラウンドやAIテクニカルアシスタントなど、開発者支援機能が充実している点が高く評価された。
Mapboxドキュメントサイトが2024 DevPortal Awardsで最優秀賞を受賞、開...
MapboxのドキュメントサイトがDevPortal Awardsで「最優秀統合エンタープライズデベロッパーポータル賞」を受賞。24以上の製品情報を統一的に整理し、140以上のコード例やAPIパラメータのテスト機能を提供。インタラクティブなプレイグラウンドやAIテクニカルアシスタントなど、開発者支援機能が充実している点が高く評価された。
SailPointが新機能特権管理タスク オートメーションを発表、クレデンシャル管理の自動化と...
SailPointテクノロジーズジャパンがSailPoint Identity Security Cloudの新機能「SailPoint特権管理タスク オートメーション」を発表。ドラッグ アンド ドロップ式のワークフロー設定とテンプレートライブラリにより、特権管理タスクの自動化と委任を実現。クレデンシャル Vaultとの連携により、セキュリティを確保しながら運用効率を向上させる。
SailPointが新機能特権管理タスク オートメーションを発表、クレデンシャル管理の自動化と...
SailPointテクノロジーズジャパンがSailPoint Identity Security Cloudの新機能「SailPoint特権管理タスク オートメーション」を発表。ドラッグ アンド ドロップ式のワークフロー設定とテンプレートライブラリにより、特権管理タスクの自動化と委任を実現。クレデンシャル Vaultとの連携により、セキュリティを確保しながら運用効率を向上させる。
シンキングデータがThinkingData Summit 2024のアーカイブ配信を開始、ゲー...
シンキングデータ株式会社が2024年9月に開催したThinkingData Summit 2024 Tokyoのアーカイブ配信を開始した。「ゲームとデータで拓く、世界への扉」をテーマに、Habby社CEOやKURO GAMES社COOなど国内外の著名企業のキーマンが登壇し、7つのセッションを通じてゲームデータ分析の最新トレンドや事例、活用方法について共有している。
シンキングデータがThinkingData Summit 2024のアーカイブ配信を開始、ゲー...
シンキングデータ株式会社が2024年9月に開催したThinkingData Summit 2024 Tokyoのアーカイブ配信を開始した。「ゲームとデータで拓く、世界への扉」をテーマに、Habby社CEOやKURO GAMES社COOなど国内外の著名企業のキーマンが登壇し、7つのセッションを通じてゲームデータ分析の最新トレンドや事例、活用方法について共有している。
ファインディがFindy Team+をCloudGate UNOと連携、ゼロトラストセキュリテ...
ファインディ株式会社のFindy Team+がCloudGate UNOと連携を開始。生体認証を利用した多要素認証とシングルサインオン機能により、セキュリティを強化しながら開発者の利便性を向上。CloudGate UNO、GMOトラスト・ログイン、HENNGE One、Microsoft Entra ID、Oktaの5サービスとのシングルサインオン連携が可能となり、約450社の導入企業のセキュリティ対策を支援。
ファインディがFindy Team+をCloudGate UNOと連携、ゼロトラストセキュリテ...
ファインディ株式会社のFindy Team+がCloudGate UNOと連携を開始。生体認証を利用した多要素認証とシングルサインオン機能により、セキュリティを強化しながら開発者の利便性を向上。CloudGate UNO、GMOトラスト・ログイン、HENNGE One、Microsoft Entra ID、Oktaの5サービスとのシングルサインオン連携が可能となり、約450社の導入企業のセキュリティ対策を支援。
FISTBUMPがOSAPに採択、CloudBalanceで法律事務所のDXを推進し業務効率化を実現
株式会社FISTBUMPが大阪産業局主催の『OIHスタートアップアクセラレーションプログラム"OSAP"』第18期に採択された。同社が提供するCloudBalanceは、kintoneをベースに法律事務所向けの業務効率化を実現するクラウドサービスだ。今後はOSAPのメンター支援を受けながら、CloudBalanceで培った開発・運用ノウハウを活かし、中小企業向けCRMサービスの展開を目指す。
FISTBUMPがOSAPに採択、CloudBalanceで法律事務所のDXを推進し業務効率化を実現
株式会社FISTBUMPが大阪産業局主催の『OIHスタートアップアクセラレーションプログラム"OSAP"』第18期に採択された。同社が提供するCloudBalanceは、kintoneをベースに法律事務所向けの業務効率化を実現するクラウドサービスだ。今後はOSAPのメンター支援を受けながら、CloudBalanceで培った開発・運用ノウハウを活かし、中小企業向けCRMサービスの展開を目指す。
クリエイティブサーベイが参照マジックを大幅アップデート、フォームからの検索UIでデータ活用が効率化
クリエイティブサーベイ株式会社がマルチチャネルフォーム「Ask One」の新機能「参照マジック」を大幅アップデートし、企業のデータ資産を直感的に活用できる検索インターフェースを実現。CRMやMAなどの自社データベースやオープンAPIのデータを参照し、開発不要で独自の検索UIを搭載可能。データの表記揺れ防止や在庫管理の自動化により業務効率を向上。
クリエイティブサーベイが参照マジックを大幅アップデート、フォームからの検索UIでデータ活用が効率化
クリエイティブサーベイ株式会社がマルチチャネルフォーム「Ask One」の新機能「参照マジック」を大幅アップデートし、企業のデータ資産を直感的に活用できる検索インターフェースを実現。CRMやMAなどの自社データベースやオープンAPIのデータを参照し、開発不要で独自の検索UIを搭載可能。データの表記揺れ防止や在庫管理の自動化により業務効率を向上。
オンワードホールディングスがBox Customer Award Japan 2024大企業部...
オンワードホールディングスは、Box Japanが主催するBox Customer Award Japan 2024の大企業部門で優勝を果たした。2022年のBox導入以降、280社のパートナー企業とのコラボレーションフォルダを活用し2年間で約280時間の業務効率化を達成。ゼロトラストセキュリティアーキテクチャの採用とネットワーク基盤の刷新により、安全かつ効率的なデジタル環境を実現している。
オンワードホールディングスがBox Customer Award Japan 2024大企業部...
オンワードホールディングスは、Box Japanが主催するBox Customer Award Japan 2024の大企業部門で優勝を果たした。2022年のBox導入以降、280社のパートナー企業とのコラボレーションフォルダを活用し2年間で約280時間の業務効率化を達成。ゼロトラストセキュリティアーキテクチャの採用とネットワーク基盤の刷新により、安全かつ効率的なデジタル環境を実現している。
バリューデザインがふるさと納税管理システムとデータ連携、自治体の業務効率化と地域活性化に期待
バリューデザインは現地決済型ふるさと納税サービス「ふるまちPay」と、シフトセブンコンサルティングが提供する「ふるさと納税do」のデータ連携を発表した。全国1,332の自治体に導入実績がある「ふるさと納税do」との連携により、自治体の管理工数削減と寄付シーンの拡大が期待される。返礼品として体験施設等で利用できるデジタルクーポンをその場で受け取れる仕組みで、地域活性化を促進する。
バリューデザインがふるさと納税管理システムとデータ連携、自治体の業務効率化と地域活性化に期待
バリューデザインは現地決済型ふるさと納税サービス「ふるまちPay」と、シフトセブンコンサルティングが提供する「ふるさと納税do」のデータ連携を発表した。全国1,332の自治体に導入実績がある「ふるさと納税do」との連携により、自治体の管理工数削減と寄付シーンの拡大が期待される。返礼品として体験施設等で利用できるデジタルクーポンをその場で受け取れる仕組みで、地域活性化を促進する。
SHOPLINEがウェブアクセシビリティツール「ユニウェブ」と連携開始、ECサイトのアクセシビ...
SHOPLINE Japan株式会社は株式会社Kivaが提供するウェブアクセシビリティツール「ユニウェブ」とのシステム提携を開始。2024年4月1日の改正障害者差別解消法施行に向け、ECサイト事業者は最短1日でウェブアクセシビリティ機能を導入可能になった。音声読み上げやコントラスト変更など、高齢者や障害者に配慮した機能を簡単に実装できる。
SHOPLINEがウェブアクセシビリティツール「ユニウェブ」と連携開始、ECサイトのアクセシビ...
SHOPLINE Japan株式会社は株式会社Kivaが提供するウェブアクセシビリティツール「ユニウェブ」とのシステム提携を開始。2024年4月1日の改正障害者差別解消法施行に向け、ECサイト事業者は最短1日でウェブアクセシビリティ機能を導入可能になった。音声読み上げやコントラスト変更など、高齢者や障害者に配慮した機能を簡単に実装できる。
HESTA大倉が和歌山県橋本市で紀翔プロジェクトを始動、高野山近接の15万㎡開発で地方創生を推進
HESTA大倉は和歌山県橋本市において約15万㎡の用地を活用した大規模開発プロジェクト「紀翔タウン」を発表。米キャンターフィッツジェラルド・グループと資金調達面での協業を開始し、高野山に近接する立地を活かしたリゾート・レジャー施設の整備を進める。関西国際空港からのアクセスの良さを活かしたインバウンド需要の取り込みと、防災・減災対策の中核拠点としての機能も備える計画だ。
HESTA大倉が和歌山県橋本市で紀翔プロジェクトを始動、高野山近接の15万㎡開発で地方創生を推進
HESTA大倉は和歌山県橋本市において約15万㎡の用地を活用した大規模開発プロジェクト「紀翔タウン」を発表。米キャンターフィッツジェラルド・グループと資金調達面での協業を開始し、高野山に近接する立地を活かしたリゾート・レジャー施設の整備を進める。関西国際空港からのアクセスの良さを活かしたインバウンド需要の取り込みと、防災・減災対策の中核拠点としての機能も備える計画だ。
LINE WORKS株式会社がDrive専用アプリを提供開始、モバイルデバイスでの操作性が大幅に向上
LINE WORKS株式会社は2024年11月21日、クラウドストレージサービス「LINE WORKS Drive」の専用アプリの提供を開始した。タブ切り替えによる4種類のフォルダ管理やスワイプ操作による階層移動など、モバイルデバイスに最適化された新機能を実装。従来のブラウザ版と同等の機能を備え、PCとモバイルの両方で一貫した操作性を実現している。
LINE WORKS株式会社がDrive専用アプリを提供開始、モバイルデバイスでの操作性が大幅に向上
LINE WORKS株式会社は2024年11月21日、クラウドストレージサービス「LINE WORKS Drive」の専用アプリの提供を開始した。タブ切り替えによる4種類のフォルダ管理やスワイプ操作による階層移動など、モバイルデバイスに最適化された新機能を実装。従来のブラウザ版と同等の機能を備え、PCとモバイルの両方で一貫した操作性を実現している。
JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...
JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。
JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...
JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。
【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...
Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。
【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...
Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。
【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...
Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。
【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...
Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。
【CVE-2024-11214】SourceCodester Best Employee Ma...
SourceCodester Best Employee Management System 1.0のprofile.phpファイルに重大な脆弱性が発見された。【CVE-2024-11214】として識別されるこの脆弱性は、website_image引数を介した無制限アップロードを可能にし、リモートからの攻撃実行のリスクがある。CVSSスコアは最新のバージョン4.0で中程度の5.1を記録し、既に公開されて攻撃に利用される可能性が指摘されている。
【CVE-2024-11214】SourceCodester Best Employee Ma...
SourceCodester Best Employee Management System 1.0のprofile.phpファイルに重大な脆弱性が発見された。【CVE-2024-11214】として識別されるこの脆弱性は、website_image引数を介した無制限アップロードを可能にし、リモートからの攻撃実行のリスクがある。CVSSスコアは最新のバージョン4.0で中程度の5.1を記録し、既に公開されて攻撃に利用される可能性が指摘されている。
【CVE-2024-10571】WordPressのChartifyプラグインに重大な脆弱性、...
WordPressのChartifyプラグインにおいて、バージョン2.9.5以前に重大な脆弱性が発見された。CVE-2024-10571として特定されたこの脆弱性は、未認証の攻撃者がソースパラメータを介してローカルファイルインクルージョン攻撃を実行可能とするもので、CVSSスコア9.8と非常に高い危険度を示している。攻撃者はサーバー上の任意のファイルを実行でき、アクセス制御の回避や機密データの取得が可能となる。
【CVE-2024-10571】WordPressのChartifyプラグインに重大な脆弱性、...
WordPressのChartifyプラグインにおいて、バージョン2.9.5以前に重大な脆弱性が発見された。CVE-2024-10571として特定されたこの脆弱性は、未認証の攻撃者がソースパラメータを介してローカルファイルインクルージョン攻撃を実行可能とするもので、CVSSスコア9.8と非常に高い危険度を示している。攻撃者はサーバー上の任意のファイルを実行でき、アクセス制御の回避や機密データの取得が可能となる。
【CVE-2024-10443】SynologyのBeePhotosとPhotosに深刻な脆弱...
SynologyのBeePhotosとSynology Photosの複数バージョンにおいて、Task Managerコンポーネントに重大なコマンドインジェクション脆弱性が発見された。CVSSスコア9.8の最高レベルの深刻度を持つこの脆弱性により、リモートからの任意コード実行が可能となる。PWN2OWN 2024で発見されたこの問題に対し、Synologyは修正版の適用を強く推奨している。
【CVE-2024-10443】SynologyのBeePhotosとPhotosに深刻な脆弱...
SynologyのBeePhotosとSynology Photosの複数バージョンにおいて、Task Managerコンポーネントに重大なコマンドインジェクション脆弱性が発見された。CVSSスコア9.8の最高レベルの深刻度を持つこの脆弱性により、リモートからの任意コード実行が可能となる。PWN2OWN 2024で発見されたこの問題に対し、Synologyは修正版の適用を強く推奨している。
【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...
lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。
【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...
lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。
【CVE-2024-42391】Mongoose Web Server v7.14に発見された...
Nozomi Networks Inc.がCesanta社のMongoose Web Server v7.14において範囲外のポインタオフセット使用の脆弱性を発見。攻撃者が特別に細工したTLSパケットを送信することで、意図しないヒープメモリ空間の読み取りが可能となる。CVSSスコア4.3の中程度の深刻度と評価され、バージョン0から7.14までの全てのバージョンが影響を受ける。
【CVE-2024-42391】Mongoose Web Server v7.14に発見された...
Nozomi Networks Inc.がCesanta社のMongoose Web Server v7.14において範囲外のポインタオフセット使用の脆弱性を発見。攻撃者が特別に細工したTLSパケットを送信することで、意図しないヒープメモリ空間の読み取りが可能となる。CVSSスコア4.3の中程度の深刻度と評価され、バージョン0から7.14までの全てのバージョンが影響を受ける。