Tech Insights

【CVE-2024-10897】Tutor LMS Elementor Addons 2.1.5に認証バイパスの脆弱性、WordfenceがSubscriber権限での不正なプラグインインストールの可

【CVE-2024-10897】Tutor LMS Elementor Addons 2.1....

WordPressプラグインTutor LMS Elementor Addonsにおいて、バージョン2.1.5以前に認証バイパスの脆弱性が発見された。install_etlms_dependency_plugin()関数の認証処理不備により、Subscriber以上の権限を持つユーザーが不正にプラグインをインストール可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、ElementorとTutor LMSプラグインのインストールに限定された影響範囲となっている。

【CVE-2024-10897】Tutor LMS Elementor Addons 2.1....

WordPressプラグインTutor LMS Elementor Addonsにおいて、バージョン2.1.5以前に認証バイパスの脆弱性が発見された。install_etlms_dependency_plugin()関数の認証処理不備により、Subscriber以上の権限を持つユーザーが不正にプラグインをインストール可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、ElementorとTutor LMSプラグインのインストールに限定された影響範囲となっている。

【CVE-2024-50355】LibreNMSに永続的XSSの脆弱性、デバイス表示名の入力処理に不備が発見される

【CVE-2024-50355】LibreNMSに永続的XSSの脆弱性、デバイス表示名の入力処...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス表示名の入力処理に関する重大な脆弱性が発見された。Admin権限を持つユーザーがデバイスの表示名を編集する際にJavaScriptコードを含めることで、Persistent XSS攻撃が可能となる脆弱性が判明。LibreNMSの開発チームは24.10.0にて修正を実施し、入力値の適切なサニタイズ処理を実装している。

【CVE-2024-50355】LibreNMSに永続的XSSの脆弱性、デバイス表示名の入力処...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス表示名の入力処理に関する重大な脆弱性が発見された。Admin権限を持つユーザーがデバイスの表示名を編集する際にJavaScriptコードを含めることで、Persistent XSS攻撃が可能となる脆弱性が判明。LibreNMSの開発チームは24.10.0にて修正を実施し、入力値の適切なサニタイズ処理を実装している。

【CVE-2024-49764】LibreNMS 24.10.0未満にStoredXSS脆弱性、認証済みユーザーによる任意コード実行が可能に

【CVE-2024-49764】LibreNMS 24.10.0未満にStoredXSS脆弱性...

GitHubは2024年11月15日、オープンソースのネットワーク監視システムLibreNMSにおけるStoredXSS脆弱性を公開した。「Capture Debug Information」ページの「hostname」パラメータを介して任意のJavaScriptを注入可能で、認証済みユーザーによる非HTTPonlyクッキーの窃取が可能。CVSS v3.1で基本値4.8(Medium)と評価され、24.10.0で修正された。早急なアップデートが推奨される。

【CVE-2024-49764】LibreNMS 24.10.0未満にStoredXSS脆弱性...

GitHubは2024年11月15日、オープンソースのネットワーク監視システムLibreNMSにおけるStoredXSS脆弱性を公開した。「Capture Debug Information」ページの「hostname」パラメータを介して任意のJavaScriptを注入可能で、認証済みユーザーによる非HTTPonlyクッキーの窃取が可能。CVSS v3.1で基本値4.8(Medium)と評価され、24.10.0で修正された。早急なアップデートが推奨される。

【CVE-2024-48898】Moodleに深刻な権限昇格の脆弱性、複数バージョンでセキュリティリスクが発生

【CVE-2024-48898】Moodleに深刻な権限昇格の脆弱性、複数バージョンでセキュリ...

Moodleにおいて、ユーザーが本来アクセス権限を持たない報告書のオーディエンスを削除できる深刻な脆弱性が発見された。【CVE-2024-48898】として識別されるこの問題は、Moodle 4.4.0から4.4.4を含む複数のバージョンに影響を及ぼしており、CVSSスコア6.5(Medium)に分類される。権限管理の不備により、低い特権レベルでの攻撃が可能となる危険性がある。

【CVE-2024-48898】Moodleに深刻な権限昇格の脆弱性、複数バージョンでセキュリ...

Moodleにおいて、ユーザーが本来アクセス権限を持たない報告書のオーディエンスを削除できる深刻な脆弱性が発見された。【CVE-2024-48898】として識別されるこの問題は、Moodle 4.4.0から4.4.4を含む複数のバージョンに影響を及ぼしており、CVSSスコア6.5(Medium)に分類される。権限管理の不備により、低い特権レベルでの攻撃が可能となる危険性がある。

【CVE-2024-48896】Moodleでメッセージング機能の脆弱性が発覚、ユーザー名情報漏洩のリスクに警鐘

【CVE-2024-48896】Moodleでメッセージング機能の脆弱性が発覚、ユーザー名情報...

学習管理システムMoodleにおいて、メッセージング機能に関する脆弱性【CVE-2024-48896】が発見された。メッセージ送信権限を持つユーザーが、本来アクセスできないはずのユーザー名をエラーメッセージから閲覧できる問題が判明。CVSSスコアは4.3で中程度の深刻度と評価されているものの、教育機関での利用を考慮すると早急な対応が望まれる。

【CVE-2024-48896】Moodleでメッセージング機能の脆弱性が発覚、ユーザー名情報...

学習管理システムMoodleにおいて、メッセージング機能に関する脆弱性【CVE-2024-48896】が発見された。メッセージ送信権限を持つユーザーが、本来アクセスできないはずのユーザー名をエラーメッセージから閲覧できる問題が判明。CVSSスコアは4.3で中程度の深刻度と評価されているものの、教育機関での利用を考慮すると早急な対応が望まれる。

【CVE-2024-41678】GLPIに反映型XSSの脆弱性が発見、バージョン10.0.17へのアップグレードで対応可能に

【CVE-2024-41678】GLPIに反映型XSSの脆弱性が発見、バージョン10.0.17...

資産・IT管理ソフトウェアパッケージのGLPIにおいて、反映型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-41678として識別されるこの脆弱性は、認証されていないユーザーが技術者に悪意のあるリンクを送信可能で、CVSSスコアは6.5(中程度)と評価されている。影響を受けるバージョンは0.50から10.0.17未満で、早急なアップグレードが推奨される。

【CVE-2024-41678】GLPIに反映型XSSの脆弱性が発見、バージョン10.0.17...

資産・IT管理ソフトウェアパッケージのGLPIにおいて、反映型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-41678として識別されるこの脆弱性は、認証されていないユーザーが技術者に悪意のあるリンクを送信可能で、CVSSスコアは6.5(中程度)と評価されている。影響を受けるバージョンは0.50から10.0.17未満で、早急なアップグレードが推奨される。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overviewページでの不正コード実行が可能に

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-52428】WordPressプラグインAds Booster by Ads Pro 1.12以前にLFI脆弱性が発見、高い深刻度で早急な対応が必要に

【CVE-2024-52428】WordPressプラグインAds Booster by Ad...

WordPressプラグインAds Booster by Ads Pro 1.12以前のバージョンにPHP Remote File Inclusionの制御不備による深刻な脆弱性が発見された。CVSSスコア8.1の高リスクと評価され、特権やユーザー操作を必要としない点が深刻度を高めている。CWE-98に分類されるこの脆弱性は、システム全体のセキュリティに重大な影響を及ぼす可能性があり、早急な対応が求められる。

【CVE-2024-52428】WordPressプラグインAds Booster by Ad...

WordPressプラグインAds Booster by Ads Pro 1.12以前のバージョンにPHP Remote File Inclusionの制御不備による深刻な脆弱性が発見された。CVSSスコア8.1の高リスクと評価され、特権やユーザー操作を必要としない点が深刻度を高めている。CWE-98に分類されるこの脆弱性は、システム全体のセキュリティに重大な影響を及ぼす可能性があり、早急な対応が求められる。

【CVE-2024-11310】TRCore DVCにパストラバーサルの脆弱性、システムファイルの不正読み取りが可能に

【CVE-2024-11310】TRCore DVCにパストラバーサルの脆弱性、システムファイ...

TWCERT/CCは、TRCore社のDVCにパストラバーサル脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11310】として識別され、CVSSスコア7.5(High)と評価されている。影響を受けるバージョンはDVC 6.0から6.3までで、認証なしでシステムファイルの読み取りが可能となる深刻な脆弱性である。

【CVE-2024-11310】TRCore DVCにパストラバーサルの脆弱性、システムファイ...

TWCERT/CCは、TRCore社のDVCにパストラバーサル脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11310】として識別され、CVSSスコア7.5(High)と評価されている。影響を受けるバージョンはDVC 6.0から6.3までで、認証なしでシステムファイルの読み取りが可能となる深刻な脆弱性である。

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの脆弱性、重大な影響のリスクに

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの...

MITREは2024年11月15日、オープンソースのGitホスティングサービスGogsのバージョン0.13.0以下にディレクトリトラバーサルの脆弱性が存在することを公開した。CVSSスコア8.8と高く評価されており、自動化可能な攻撃手法が存在し技術的な影響も重大である。CWE-22として分類され、機密性、整合性、可用性のすべてに高い影響があるとされている。

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの...

MITREは2024年11月15日、オープンソースのGitホスティングサービスGogsのバージョン0.13.0以下にディレクトリトラバーサルの脆弱性が存在することを公開した。CVSSスコア8.8と高く評価されており、自動化可能な攻撃手法が存在し技術的な影響も重大である。CWE-22として分類され、機密性、整合性、可用性のすべてに高い影響があるとされている。

【CVE-2024-52572】Tecnomatix Plant SimulationにWRLファイル解析の重大な脆弱性、コード実行のリスクに

【CVE-2024-52572】Tecnomatix Plant SimulationにWRL...

Siemens社はTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。この脆弱性は特別に細工されたWRLファイルを解析する際に発生するスタックベースのバッファオーバーフローに関するもので、攻撃者による任意のコード実行を可能にする。CVSSスコアは3.1版で7.8、4.0版で7.3と高い評価となっており、早急な対応が必要とされている。

【CVE-2024-52572】Tecnomatix Plant SimulationにWRL...

Siemens社はTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。この脆弱性は特別に細工されたWRLファイルを解析する際に発生するスタックベースのバッファオーバーフローに関するもので、攻撃者による任意のコード実行を可能にする。CVSSスコアは3.1版で7.8、4.0版で7.3と高い評価となっており、早急な対応が必要とされている。

【CVE-2024-52568】Tecnomatix Plant Simulationにuse-after-free脆弱性、WRLファイル解析時に任意のコード実行の危険性

【CVE-2024-52568】Tecnomatix Plant Simulationにuse...

Siemens社のTecnomatix Plant Simulation V2302およびV2404において、WRLファイルの解析時にuse-after-free脆弱性が発見された。特別に細工されたWRLファイルを介して現在のプロセスのコンテキストでコードが実行される可能性があり、CVSSスコアは7.8(HIGH)と評価。影響を受けるバージョンはV2302.0018未満とV2404.0007未満で、早急な更新が推奨される。

【CVE-2024-52568】Tecnomatix Plant Simulationにuse...

Siemens社のTecnomatix Plant Simulation V2302およびV2404において、WRLファイルの解析時にuse-after-free脆弱性が発見された。特別に細工されたWRLファイルを介して現在のプロセスのコンテキストでコードが実行される可能性があり、CVSSスコアは7.8(HIGH)と評価。影響を受けるバージョンはV2302.0018未満とV2404.0007未満で、早急な更新が推奨される。

【CVE-2024-39726】IBM Engineering Insightsに深刻な脆弱性、機密情報漏洩のリスクが浮上

【CVE-2024-39726】IBM Engineering Insightsに深刻な脆弱性...

IBMは2024年11月15日、Engineering Lifecycle Optimization - Engineering Insights 7.0.2と7.0.3にXML外部エンティティインジェクションの脆弱性が存在することを公開した。CVSSスコア8.2の高リスク脆弱性であり、リモートからの攻撃によって機密情報の露出やメモリリソースの消費が引き起こされる可能性がある。早急な対策が求められる事態となっている。

【CVE-2024-39726】IBM Engineering Insightsに深刻な脆弱性...

IBMは2024年11月15日、Engineering Lifecycle Optimization - Engineering Insights 7.0.2と7.0.3にXML外部エンティティインジェクションの脆弱性が存在することを公開した。CVSSスコア8.2の高リスク脆弱性であり、リモートからの攻撃によって機密情報の露出やメモリリソースの消費が引き起こされる可能性がある。早急な対策が求められる事態となっている。

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正アクセスのリスクが浮上

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正...

CiscoのIdentity Services Engine(ISE)のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-20538として識別されるこの脆弱性により、未認証の攻撃者が正規ユーザーに細工されたリンクをクリックさせることで、任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3 Patch 3まで。CVSSスコアは6.1(Medium)と評価された。

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正...

CiscoのIdentity Services Engine(ISE)のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-20538として識別されるこの脆弱性により、未認証の攻撃者が正規ユーザーに細工されたリンクをクリックさせることで、任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3 Patch 3まで。CVSSスコアは6.1(Medium)と評価された。

【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセキュリティに懸念

【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセ...

Red Hat社が学習管理システムMoodleにおける重大な脆弱性【CVE-2024-48901】を公開した。この脆弱性は、レポートスケジュールへのアクセス制御が不適切であり、権限のないユーザーがスケジュール情報にアクセス可能となる問題を引き起こす。CVSSスコアは4.3(Medium)で、複数のバージョンに影響が及ぶため、早急なアップデートが推奨される。

【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセ...

Red Hat社が学習管理システムMoodleにおける重大な脆弱性【CVE-2024-48901】を公開した。この脆弱性は、レポートスケジュールへのアクセス制御が不適切であり、権限のないユーザーがスケジュール情報にアクセス可能となる問題を引き起こす。CVSSスコアは4.3(Medium)で、複数のバージョンに影響が及ぶため、早急なアップデートが推奨される。

【CVE-2024-11314】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性、認証なしで任意のコード実行が可能に

【CVE-2024-11314】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TWCERT/CCはTRCore DVCのバージョン6.0から6.3に存在するパストラバーサル脆弱性を公開した。CVSSスコア9.8の重大な脆弱性により、未認証のリモート攻撃者が任意のディレクトリにwebshellをアップロードし、任意のコードを実行可能となる。機密性・完全性・可用性すべてで高い影響があり、早急な対策が必要とされている。

【CVE-2024-11314】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TWCERT/CCはTRCore DVCのバージョン6.0から6.3に存在するパストラバーサル脆弱性を公開した。CVSSスコア9.8の重大な脆弱性により、未認証のリモート攻撃者が任意のディレクトリにwebshellをアップロードし、任意のコードを実行可能となる。機密性・完全性・可用性すべてで高い影響があり、早急な対策が必要とされている。

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限での任意ファイル読み取りとSSRF攻撃のリスクが発覚

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...

Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...

Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。

【CVE-2024-52571】Siemens社のTecnomatix Plant Simulationに深刻な脆弱性、コード実行の危険性が発覚

【CVE-2024-52571】Siemens社のTecnomatix Plant Simul...

Siemens社は製造シミュレーションソフトウェアTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。WRLファイル解析時の範囲外書き込みの脆弱性により、攻撃者がコードを実行できる可能性がある。CVSS v3.1で7.8(High)と評価される深刻な問題であり、早急なアップデートが推奨される。

【CVE-2024-52571】Siemens社のTecnomatix Plant Simul...

Siemens社は製造シミュレーションソフトウェアTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。WRLファイル解析時の範囲外書き込みの脆弱性により、攻撃者がコードを実行できる可能性がある。CVSS v3.1で7.8(High)と評価される深刻な問題であり、早急なアップデートが推奨される。

【CVE-2024-52565】Tecnomatix Plant Simulationに深刻な脆弱性、製造プロセスのセキュリティリスクに警鐘

【CVE-2024-52565】Tecnomatix Plant Simulationに深刻な...

Siemensは2024年11月18日、製造プロセスシミュレーションツールTecnomatix Plant SimulationのV2302とV2404に境界外書き込みの脆弱性が存在すると発表した。特別に細工されたWRLファイルにより任意のコード実行が可能となる脆弱性で、CVSSスコアは最大7.8と高い評価を受けている。製造業のデジタルツイン実現に影響を与える可能性があり、早急な対応が求められる。

【CVE-2024-52565】Tecnomatix Plant Simulationに深刻な...

Siemensは2024年11月18日、製造プロセスシミュレーションツールTecnomatix Plant SimulationのV2302とV2404に境界外書き込みの脆弱性が存在すると発表した。特別に細工されたWRLファイルにより任意のコード実行が可能となる脆弱性で、CVSSスコアは最大7.8と高い評価を受けている。製造業のデジタルツイン実現に影響を与える可能性があり、早急な対応が求められる。

【CVE-2024-52432】NIX Anti-Spam Light 0.0.4にPHP Object Injection脆弱性、深刻度クリティカルで早急な対応が必要

【CVE-2024-52432】NIX Anti-Spam Light 0.0.4にPHP O...

WordPressプラグインNIX Anti-Spam Light 0.0.4以下のバージョンにおいて、信頼できないデータのデシリアライズによるPHP Object Injection脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として評価されており、攻撃者による認証なしでのシステムアクセスを可能にする。攻撃の複雑さが低く自動化も可能なため、早急なバージョンアップが推奨される。

【CVE-2024-52432】NIX Anti-Spam Light 0.0.4にPHP O...

WordPressプラグインNIX Anti-Spam Light 0.0.4以下のバージョンにおいて、信頼できないデータのデシリアライズによるPHP Object Injection脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として評価されており、攻撃者による認証なしでのシステムアクセスを可能にする。攻撃の複雑さが低く自動化も可能なため、早急なバージョンアップが推奨される。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が発見、ExamplePluginのデバイスNotes機能に深刻な影響

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バージョンでパッチを公開

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バ...

Red Hat社がMoodleの認可に関する脆弱性【CVE-2024-48897】を公開した。RSSフィードの編集・削除権限の確認が不十分で、未認可ユーザーによる不正操作のリスクが存在する。影響を受けるバージョンは4.4.0-4.4.4、4.3.0-4.3.8、4.2.0-4.2.11、4.1.0-4.1.14および4.1.0以前で、CVSSスコアは6.5(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バ...

Red Hat社がMoodleの認可に関する脆弱性【CVE-2024-48897】を公開した。RSSフィードの編集・削除権限の確認が不十分で、未認可ユーザーによる不正操作のリスクが存在する。影響を受けるバージョンは4.4.0-4.4.4、4.3.0-4.3.8、4.2.0-4.2.11、4.1.0-4.1.14および4.1.0以前で、CVSSスコアは6.5(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱性、バージョン10.0.17で対策を実施

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱...

GitHubは2024年11月15日、資産およびIT管理ソフトウェアパッケージGLPIにおいて、認証済みユーザーによるSQL injectionの脆弱性を公開した。CVE-2024-45608として識別されるこの脆弱性は、CVSS v3.1基本値6.5(Medium)と評価されており、バージョン9.5.0以上10.0.17未満のGLPIが影響を受ける。対策としてバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱...

GitHubは2024年11月15日、資産およびIT管理ソフトウェアパッケージGLPIにおいて、認証済みユーザーによるSQL injectionの脆弱性を公開した。CVE-2024-45608として識別されるこの脆弱性は、CVSS v3.1基本値6.5(Medium)と評価されており、バージョン9.5.0以上10.0.17未満のGLPIが影響を受ける。対策としてバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へのアップグレードによる対応が必要に

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Traversal脆弱性、webshellアップロードによる任意コード実行の危険性

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...

TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...

TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。

【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性、認証なしで任意のコード実行が可能に

【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TWCERT/CCがTRCore DVCのパストラバーサル脆弱性【CVE-2024-11311】を公開した。バージョン6.0から6.3が影響を受け、CVSSスコア9.8と深刻度が高い。認証なしでの任意のファイルアップロードが可能で、Webシェルを介した任意のコード実行のリスクがある。早急なセキュリティ対策が求められる状況となっている。

【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TWCERT/CCがTRCore DVCのパストラバーサル脆弱性【CVE-2024-11311】を公開した。バージョン6.0から6.3が影響を受け、CVSSスコア9.8と深刻度が高い。認証なしでの任意のファイルアップロードが可能で、Webシェルを介した任意のコード実行のリスクがある。早急なセキュリティ対策が求められる状況となっている。

TSUKUMOがRyzen 7 9800X3D搭載のG-GEAR Aimを発売、ミニタワー型でハイエンドゲーミングPCの新境地へ

TSUKUMOがRyzen 7 9800X3D搭載のG-GEAR Aimを発売、ミニタワー型で...

TSUKUMOが展開するゲーミングPCブランド「G-GEAR」から、AMD Ryzen 7 9800X3D搭載のミニタワー型ゲーミングPC「G-GEAR Aim」新モデルが登場。第2世代AMD 3D V-cacheテクノロジとZen 5アーキテクチャを採用し、高性能な大型PCパーツや水冷CPUクーラーも搭載可能な拡張性を実現。スチールパネルモデルとGLASS&LEDモデルの2ラインナップで展開される。

TSUKUMOがRyzen 7 9800X3D搭載のG-GEAR Aimを発売、ミニタワー型で...

TSUKUMOが展開するゲーミングPCブランド「G-GEAR」から、AMD Ryzen 7 9800X3D搭載のミニタワー型ゲーミングPC「G-GEAR Aim」新モデルが登場。第2世代AMD 3D V-cacheテクノロジとZen 5アーキテクチャを採用し、高性能な大型PCパーツや水冷CPUクーラーも搭載可能な拡張性を実現。スチールパネルモデルとGLASS&LEDモデルの2ラインナップで展開される。

国土交通省がホンダ ステップワゴンを新型UDタクシーとして認定、多様な利用者に配慮した新たな選択肢を提供へ

国土交通省がホンダ ステップワゴンを新型UDタクシーとして認定、多様な利用者に配慮した新たな選...

国土交通省は2024年11月20日、本田技研工業のステップワゴンを標準仕様ユニバーサルデザインタクシー認定レベル準1として認定した。型式5BA-RP6と5BA-RP7の計5タイプが対象で、ホンダアクセス製オートサイドステップの装着が必須条件となる。高齢者や車いす使用者など、多様な利用者に配慮した新たな選択肢として期待が高まっている。

国土交通省がホンダ ステップワゴンを新型UDタクシーとして認定、多様な利用者に配慮した新たな選...

国土交通省は2024年11月20日、本田技研工業のステップワゴンを標準仕様ユニバーサルデザインタクシー認定レベル準1として認定した。型式5BA-RP6と5BA-RP7の計5タイプが対象で、ホンダアクセス製オートサイドステップの装着が必須条件となる。高齢者や車いす使用者など、多様な利用者に配慮した新たな選択肢として期待が高まっている。

【CVE-2024-10924】Really Simple Security 9.0.0-9.1.1.1に認証バイパスの脆弱性、二要素認証機能に深刻な問題

【CVE-2024-10924】Really Simple Security 9.0.0-9....

WordPressプラグインのReally Simple Security(Free/Pro/Pro Multisite)において、バージョン9.0.0から9.1.1.1に認証バイパスの脆弱性が発見された。Two-Factor認証機能のREST APIアクションにおけるユーザーチェックの不備により、未認証の攻撃者が管理者権限でログイン可能となる深刻な問題が報告されている。CVSSスコアは9.8(CRITICAL)と評価されている。

【CVE-2024-10924】Really Simple Security 9.0.0-9....

WordPressプラグインのReally Simple Security(Free/Pro/Pro Multisite)において、バージョン9.0.0から9.1.1.1に認証バイパスの脆弱性が発見された。Two-Factor認証機能のREST APIアクションにおけるユーザーチェックの不備により、未認証の攻撃者が管理者権限でログイン可能となる深刻な問題が報告されている。CVSSスコアは9.8(CRITICAL)と評価されている。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認証不要で任意のスクリプト実行が可能に

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。