Tech Insights

【CVE-2024-11244】code-projects Farmacia 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行が可能に

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行...

TRCore DVCのバージョン6.0から6.3において、パストラバーサル脆弱性と危険なファイルのアップロード制限の欠如が発見された。CVSSスコア9.8のこの脆弱性により、認証されていないリモート攻撃者が任意のディレクトリにWebシェルをアップロードし、システム上で不正なコードを実行することが可能となる。TWCERTは早急な対策を推奨している。

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行...

TRCore DVCのバージョン6.0から6.3において、パストラバーサル脆弱性と危険なファイルのアップロード制限の欠如が発見された。CVSSスコア9.8のこの脆弱性により、認証されていないリモート攻撃者が任意のディレクトリにWebシェルをアップロードし、システム上で不正なコードを実行することが可能となる。TWCERTは早急な対策を推奨している。

【CVE-2024-11257】Beauty Parlour Management System 1.0でSQLインジェクションの脆弱性が発見、パスワードリセット機能に深刻な問題

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証済み攻撃者によるコマンド実行のリスクが浮上

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レポートページでの攻撃が可能に

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、アップグレードによる対応が必要に

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリスクに対応するアップデートを実施

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外書き込みの脆弱性、コード実行のリスクで早急な対応が必要に

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外...

Siemensは2024年11月18日、Tecnomatix Plant Simulation V2302およびV2404に存在する重大な脆弱性情報を公開した。特別に細工されたWRLファイルを処理する際に発生する境界外書き込みの問題で、現在のプロセスのコンテキストでコードが実行される可能性がある。CVSSスコアは7.8と高く評価されており、早急な対応が求められている。

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外...

Siemensは2024年11月18日、Tecnomatix Plant Simulation V2302およびV2404に存在する重大な脆弱性情報を公開した。特別に細工されたWRLファイルを処理する際に発生する境界外書き込みの問題で、現在のプロセスのコンテキストでコードが実行される可能性がある。CVSSスコアは7.8と高く評価されており、早急な対応が求められている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11にクロスサイトスクリプティングの脆弱性、情報漏洩のリスクに警戒

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52424】WordPress用Wp-Login Customizerプラグインに深刻な脆弱性、早急なアップデートが必要に

【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...

Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。

【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...

Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24.10.0で修正完了

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事投稿機能での悪意あるコード実行が可能に

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...

MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting(XSS)の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)で、CWE-79に分類される深刻な問題となっている。

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...

MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting(XSS)の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)で、CWE-79に分類される深刻な問題となっている。

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能の不正利用が可能に

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...

MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...

MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXSS攻撃が可能に

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題で複数バージョンに影響

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...

Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...

Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。

【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なSQL Injection脆弱性が発見、早急な対応が必要な状況に

【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...

ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。

【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...

ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りのリスクで緊急アップデートが必要に

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-11258】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性、管理者ページが攻撃の対象に

【CVE-2024-11258】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-11258】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5.2.1にXSS脆弱性、認証不要の攻撃が可能に

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-10582】Music Player For Elementor 2.4.1以前に脆弱性、認証済みユーザーによる未認可テンプレートインポートが可能な状態に

【CVE-2024-10582】Music Player For Elementor 2.4....

WordPressのプラグインMusic Player For Elementorにおいて、バージョン2.4.1以前に認証済みユーザーによる未認可のテンプレートインポートを可能にする脆弱性が発見された。import_mpfe_template()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがテンプレートをインポート可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、データの整合性に関する潜在的なリスクが存在する。

【CVE-2024-10582】Music Player For Elementor 2.4....

WordPressのプラグインMusic Player For Elementorにおいて、バージョン2.4.1以前に認証済みユーザーによる未認可のテンプレートインポートを可能にする脆弱性が発見された。import_mpfe_template()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがテンプレートをインポート可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、データの整合性に関する潜在的なリスクが存在する。

【CVE-2024-52569】SiemensのTecnomatix Plant Simulationに深刻な脆弱性、製造プロセスのセキュリティに影響

【CVE-2024-52569】SiemensのTecnomatix Plant Simula...

Siemens社のTecnomatix Plant Simulation V2302とV2404に境界外書き込みの脆弱性が発見された。特別に細工されたWRLファイルを解析する際に発生する問題で、攻撃者によるコード実行の可能性がある。CVSSスコアは7.8(High)を記録し、影響を受けるバージョンはV2302.0018未満とV2404.0007未満。製造プロセスの最適化やシミュレーションに使用される重要なソフトウェアであるため、早急な対応が求められている。

【CVE-2024-52569】SiemensのTecnomatix Plant Simula...

Siemens社のTecnomatix Plant Simulation V2302とV2404に境界外書き込みの脆弱性が発見された。特別に細工されたWRLファイルを解析する際に発生する問題で、攻撃者によるコード実行の可能性がある。CVSSスコアは7.8(High)を記録し、影響を受けるバージョンはV2302.0018未満とV2404.0007未満。製造プロセスの最適化やシミュレーションに使用される重要なソフトウェアであるため、早急な対応が求められている。

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にSQLインジェクション脆弱性が発見、データベースへの不正アクセスのリスクが浮上

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...

Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...

Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆弱性、深刻度は中程度でCVSS値6.5を記録

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正完了へ

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が発見、データセキュリティへの懸念が浮上

【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が...

TRCoreのDVCにおいて、ファイルの暗号化にハードコード化されたキーが使用されていることが判明した。CVE-2024-11308として識別されたこの脆弱性は、DVC 6.0から6.3に影響を与え、CVSSスコア6.2と評価された。攻撃者は特権なしでローカルアクセスを利用し、暗号化されたファイルを復号できる可能性があり、早急な対応が求められている。

【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が...

TRCoreのDVCにおいて、ファイルの暗号化にハードコード化されたキーが使用されていることが判明した。CVE-2024-11308として識別されたこの脆弱性は、DVC 6.0から6.3に影響を与え、CVSSスコア6.2と評価された。攻撃者は特権なしでローカルアクセスを利用し、暗号化されたファイルを復号できる可能性があり、早急な対応が求められている。

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権限で悪用可能な状態に

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...

WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...

WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。

【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意のファイル読み取りが可能に

【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意...

TRCoreのDVCバージョン6.0から6.3において、パストラバーサル脆弱性が発見された。この脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを読み取ることが可能となる。CVSSスコアは7.5と高く、TWCERTは攻撃の自動化も可能であると報告している。早急な対策が必要とされる事態となっている。

【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意...

TRCoreのDVCバージョン6.0から6.3において、パストラバーサル脆弱性が発見された。この脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを読み取ることが可能となる。CVSSスコアは7.5と高く、TWCERTは攻撃の自動化も可能であると報告している。早急な対策が必要とされる事態となっている。

【CVE-2024-11256】Portfolio Management System MCA 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが深刻化

【CVE-2024-11256】Portfolio Management System MCA...

1000 Projects社のPortfolio Management System MCA 1.0において、login.phpファイルに重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3(HIGH)を記録し、リモートからの攻撃が可能な状態。特権やユーザーの介入も不要で、機密性・整合性・可用性のすべてに影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-11256】Portfolio Management System MCA...

1000 Projects社のPortfolio Management System MCA 1.0において、login.phpファイルに重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3(HIGH)を記録し、リモートからの攻撃が可能な状態。特権やユーザーの介入も不要で、機密性・整合性・可用性のすべてに影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バージョン10.0.17で対策完了

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...

資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...

資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。

【CVE-2024-11312】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性、未認証での任意コード実行が可能に

【CVE-2024-11312】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TRCore社のDVC製品バージョン6.0から6.3において、パストラバーサルによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のCriticalに分類されるこの脆弱性では、未認証のリモート攻撃者がWebシェルをアップロードすることで任意のコード実行が可能となる。TWCERTが公開した情報によると、技術的影響が全体に及び、攻撃の自動化も可能とされている。

【CVE-2024-11312】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TRCore社のDVC製品バージョン6.0から6.3において、パストラバーサルによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のCriticalに分類されるこの脆弱性では、未認証のリモート攻撃者がWebシェルをアップロードすることで任意のコード実行が可能となる。TWCERTが公開した情報によると、技術的影響が全体に及び、攻撃の自動化も可能とされている。