Tech Insights

【CVE-2024-43627】Windows Telephony Serviceに重大な脆弱性、複数バージョンのWindowsに影響

【CVE-2024-43627】Windows Telephony Serviceに重大な脆弱...

Microsoftは2024年11月12日、Windows Telephony ServiceにCVSSスコア8.8の重大な脆弱性を公開した。この脆弱性は複数のWindowsバージョンに影響し、リモートからのコード実行を可能にする。Windows 10、Windows 11、Windows Serverなど広範なバージョンが影響を受け、早急なパッチ適用が推奨される。

【CVE-2024-43627】Windows Telephony Serviceに重大な脆弱...

Microsoftは2024年11月12日、Windows Telephony ServiceにCVSSスコア8.8の重大な脆弱性を公開した。この脆弱性は複数のWindowsバージョンに影響し、リモートからのコード実行を可能にする。Windows 10、Windows 11、Windows Serverなど広範なバージョンが影響を受け、早急なパッチ適用が推奨される。

【CVE-2024-43628】WindowsのTelephonyサービスに深刻な脆弱性、広範なバージョンに影響

【CVE-2024-43628】WindowsのTelephonyサービスに深刻な脆弱性、広範...

MicrosoftはWindows Telephonyサービスにおけるリモートコード実行の脆弱性を公開した。CVE-2024-43628として識別されるこの脆弱性は、Windows Server 2008からWindows 11までの広範なバージョンに影響を与え、CVSSスコア8.8の高リスクと評価されている。攻撃者による遠隔からのコード実行を可能にする危険性があり、早急な対応が必要とされている。

【CVE-2024-43628】WindowsのTelephonyサービスに深刻な脆弱性、広範...

MicrosoftはWindows Telephonyサービスにおけるリモートコード実行の脆弱性を公開した。CVE-2024-43628として識別されるこの脆弱性は、Windows Server 2008からWindows 11までの広範なバージョンに影響を与え、CVSSスコア8.8の高リスクと評価されている。攻撃者による遠隔からのコード実行を可能にする危険性があり、早急な対応が必要とされている。

コマツレンタル宮崎がSORABITOのi-Rental 点検を導入し建設機械の点検業務をデジタル化、業務効率の向上とペーパーレス化を実現

コマツレンタル宮崎がSORABITOのi-Rental 点検を導入し建設機械の点検業務をデジタ...

SORABITO株式会社が提供する建設機械レンタル会社向けSaaS型サービス「i-Rental 点検」をコマツレンタル宮崎が導入。点検表のペーパーレス化により、点検写真管理や他拠点出庫機械の返却時における点検表入手の負担を軽減。マルチデバイス対応で様々な立場のスタッフが利用可能となり、建機レンタル事業における点検業務の効率化を実現する。

コマツレンタル宮崎がSORABITOのi-Rental 点検を導入し建設機械の点検業務をデジタ...

SORABITO株式会社が提供する建設機械レンタル会社向けSaaS型サービス「i-Rental 点検」をコマツレンタル宮崎が導入。点検表のペーパーレス化により、点検写真管理や他拠点出庫機械の返却時における点検表入手の負担を軽減。マルチデバイス対応で様々な立場のスタッフが利用可能となり、建機レンタル事業における点検業務の効率化を実現する。

【CVE-2024-52306】Laravel-Backpack FileManagerにデシリアライゼーションの脆弱性、バージョン3.0.9で修正完了

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-48284】PHPGurukul User Registration 3.2にXSS脆弱性が発見、POSTリクエストでの悪意のあるスクリプト実行が可能に

【CVE-2024-48284】PHPGurukul User Registration 3....

PHPGurukul User Registration & Login and User Management System 3.2において、/search-result.phpページのsearchkeyパラメータを介したリフレクテッドXSS脆弱性が発見された。CISAの評価によるとCVSS v3.1で深刻度は6.1(MEDIUM)とされ、攻撃にはネットワークアクセスと低特権が必要。この脆弱性はCWE-79に分類され、Webページ生成時の入力の不適切な無害化が原因となっている。

【CVE-2024-48284】PHPGurukul User Registration 3....

PHPGurukul User Registration & Login and User Management System 3.2において、/search-result.phpページのsearchkeyパラメータを介したリフレクテッドXSS脆弱性が発見された。CISAの評価によるとCVSS v3.1で深刻度は6.1(MEDIUM)とされ、攻撃にはネットワークアクセスと低特権が必要。この脆弱性はCWE-79に分類され、Webページ生成時の入力の不適切な無害化が原因となっている。

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱性、TLSパケットによるセグメンテーション違反の危険性が浮上

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による重大な脆弱性を発見した。CVSSスコア8.2の高リスク脆弱性として分類され、不正なTLSパケットの送信によりアプリケーションのセグメンテーション違反を引き起こす可能性がある。攻撃の複雑さは低く、特権やユーザーの操作も不要とされており、早急な対応が求められている。

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による重大な脆弱性を発見した。CVSSスコア8.2の高リスク脆弱性として分類され、不正なTLSパケットの送信によりアプリケーションのセグメンテーション違反を引き起こす可能性がある。攻撃の複雑さは低く、特権やユーザーの操作も不要とされており、早急な対応が求められている。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバーフローの脆弱性、セグメンテーション違反のリスクが判明

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

PerplexityとミンカブがAI検索エンジンで協業、国内Webメディア初のパートナーとして新たな情報提供体制を構築へ

PerplexityとミンカブがAI検索エンジンで協業、国内Webメディア初のパートナーとして...

ミンカブ・ジ・インフォノイドはPerplexity AIの「Perplexity パブリッシャープログラム」に国内Webメディア初のパートナーとして参画。広告収入のレベニューシェアやAPIアクセス、Perplexity Enterprise Proの無料提供を受け、ライブドアなどのグループメディアでPerplexity APIを活用。コンテンツの質向上とユーザー満足度の向上を目指す。

PerplexityとミンカブがAI検索エンジンで協業、国内Webメディア初のパートナーとして...

ミンカブ・ジ・インフォノイドはPerplexity AIの「Perplexity パブリッシャープログラム」に国内Webメディア初のパートナーとして参画。広告収入のレベニューシェアやAPIアクセス、Perplexity Enterprise Proの無料提供を受け、ライブドアなどのグループメディアでPerplexity APIを活用。コンテンツの質向上とユーザー満足度の向上を目指す。

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドXSS脆弱性、ユーザーアカウントとCookieの窃取リスクに警鐘

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドX...

Protect AIがcraigk5n/webcalendar 1.3.0における重大なストアドXSS脆弱性を報告した。この脆弱性はReport Name入力フィールドに存在し、悪意のあるスクリプトの実行によってユーザーアカウントとCookieの窃取が可能になる。CVSS3.0スコア7.6のHigh深刻度と評価され、現在も最新バージョンまで影響を受ける可能性があり、早急な対応が求められている。

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドX...

Protect AIがcraigk5n/webcalendar 1.3.0における重大なストアドXSS脆弱性を報告した。この脆弱性はReport Name入力フィールドに存在し、悪意のあるスクリプトの実行によってユーザーアカウントとCookieの窃取が可能になる。CVSS3.0スコア7.6のHigh深刻度と評価され、現在も最新バージョンまで影響を受ける可能性があり、早急な対応が求められている。

【CVE-2024-10534】Dataprom InformaticsのPACS-ACSSにアクセス制御の脆弱性、トラフィックインジェクションのリスクが浮上

【CVE-2024-10534】Dataprom InformaticsのPACS-ACSSに...

Dataprom InformaticsのPersonnel Attendance Control SystemsおよびAccess Control Security Systemsに深刻な脆弱性が発見された。CVE-2024-10534として特定されたこの脆弱性は、Origin Validation Errorに分類され、トラフィックインジェクションを可能にする。CVSSスコアは8.6と高く評価され、2024年より前のすべてのバージョンが影響を受ける。早急な対応が推奨されている。

【CVE-2024-10534】Dataprom InformaticsのPACS-ACSSに...

Dataprom InformaticsのPersonnel Attendance Control SystemsおよびAccess Control Security Systemsに深刻な脆弱性が発見された。CVE-2024-10534として特定されたこの脆弱性は、Origin Validation Errorに分類され、トラフィックインジェクションを可能にする。CVSSスコアは8.6と高く評価され、2024年より前のすべてのバージョンが影響を受ける。早急な対応が推奨されている。

【CVE-2024-10311】External Database Based Actions 0.1にサブスクライバーレベルで管理者権限取得の脆弱性が発覚

【CVE-2024-10311】External Database Based Actions...

WordPressプラグインExternal Database Based Actionsのバージョン0.1以前に認証バイパスの脆弱性が発見された。edba_admin_handle関数における機能チェックの欠如により、サブスクライバー以上の権限を持つ攻撃者がプラグイン設定を更新し管理者として不正にログインできる状態となっている。CVSSスコアは7.5と高く、早急な対応が必要だ。

【CVE-2024-10311】External Database Based Actions...

WordPressプラグインExternal Database Based Actionsのバージョン0.1以前に認証バイパスの脆弱性が発見された。edba_admin_handle関数における機能チェックの欠如により、サブスクライバー以上の権限を持つ攻撃者がプラグイン設定を更新し管理者として不正にログインできる状態となっている。CVSSスコアは7.5と高く、早急な対応が必要だ。

【CVE-2024-9668】Royal Elementor AddonsのCountdownウィジェットにXSS脆弱性、バージョン1.7.1001まで影響

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4(MEDIUM)と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4(MEDIUM)と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-9059】Royal Elementor Addons 1.7.1001にXSS脆弱性、早急なアップデートが必要に

【CVE-2024-9059】Royal Elementor Addons 1.7.1001に...

WordPressプラグインのRoyal Elementor Addons and Templates 1.7.1001以前のバージョンにおいて、Google Mapsウィジェットに重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能な状態となっており、閲覧者の環境で不正なスクリプトが実行される危険性がある。CVSSスコアは6.4でミディアムレベルの深刻度となっている。

【CVE-2024-9059】Royal Elementor Addons 1.7.1001に...

WordPressプラグインのRoyal Elementor Addons and Templates 1.7.1001以前のバージョンにおいて、Google Mapsウィジェットに重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能な状態となっており、閲覧者の環境で不正なスクリプトが実行される危険性がある。CVSSスコアは6.4でミディアムレベルの深刻度となっている。

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻なリモートコード実行の可能性が判明

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻な...

コンテンツ管理システムCraftにおいて、FileHelper::absolutePath関数のパス正規化機能の欠如により、Twig SSTIを介したリモートコード実行が可能となる脆弱性が発見された。CVE-2024-52293として識別されるこの問題は、CVSSスコア7.2のHigh評価を受け、バージョン4.12.2と5.4.3で修正された。影響を受けるバージョンのユーザーは速やかなアップデートが推奨される。

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻な...

コンテンツ管理システムCraftにおいて、FileHelper::absolutePath関数のパス正規化機能の欠如により、Twig SSTIを介したリモートコード実行が可能となる脆弱性が発見された。CVE-2024-52293として識別されるこの問題は、CVSSスコア7.2のHigh評価を受け、バージョン4.12.2と5.4.3で修正された。影響を受けるバージョンのユーザーは速やかなアップデートが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10.0.17で修正されたアクセス制御の問題に対応

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケット処理の脆弱性、ヒープメモリ読み取りのリスクが浮上

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケ...

CesantaのMongoose Web Server v7.14において範囲外ポインタオフセットの使用に関する脆弱性が発見された。攻撃者は特別に細工されたTLSパケットを送信することで、アプリケーションに意図しないヒープメモリ空間の読み取りを強制することが可能である。CVSSスコアは4.3(ミディアム)と評価されており、攻撃には利用者の関与が必要だが特権は不要とされている。

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケ...

CesantaのMongoose Web Server v7.14において範囲外ポインタオフセットの使用に関する脆弱性が発見された。攻撃者は特別に細工されたTLSパケットを送信することで、アプリケーションに意図しないヒープメモリ空間の読み取りを強制することが可能である。CVSSスコアは4.3(ミディアム)と評価されており、攻撃には利用者の関与が必要だが特権は不要とされている。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱性、TLSパケットによる不正メモリアクセスの危険性が浮上

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-11211】EyouCMS 1.6.7に重大な脆弱性、Webサイトロゴの無制限アップロードが可能に

【CVE-2024-11211】EyouCMS 1.6.7に重大な脆弱性、Webサイトロゴの無...

VulDBはEyouCMSバージョン1.6.0から1.6.7に影響を及ぼす重大な脆弱性を報告した。Webサイトロゴハンドラーコンポーネントにおける無制限アップロードの脆弱性により、高い特権を持つ攻撃者によるリモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、ベンダーからの応答がないまま脆弱性情報が公開され、早急な対応が求められる状況となっている。

【CVE-2024-11211】EyouCMS 1.6.7に重大な脆弱性、Webサイトロゴの無...

VulDBはEyouCMSバージョン1.6.0から1.6.7に影響を及ぼす重大な脆弱性を報告した。Webサイトロゴハンドラーコンポーネントにおける無制限アップロードの脆弱性により、高い特権を持つ攻撃者によるリモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、ベンダーからの応答がないまま脆弱性情報が公開され、早急な対応が求められる状況となっている。

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり攻撃のリスクが判明

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり...

IPアドレス管理ソフトウェアphpIPAM 1.5.1において、X-Forwarded-Forヘッダーを利用してIPブロックメカニズムを回避できる脆弱性が発見された。この脆弱性により、攻撃者は管理者を含むすべてのユーザーアカウントに対してパスワードの総当たり攻撃が可能となる。CVSSスコアは5.3(Medium)で評価され、バージョン1.7.0で修正されている。早急なアップデートが推奨される重要な問題だ。

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり...

IPアドレス管理ソフトウェアphpIPAM 1.5.1において、X-Forwarded-Forヘッダーを利用してIPブロックメカニズムを回避できる脆弱性が発見された。この脆弱性により、攻撃者は管理者を含むすべてのユーザーアカウントに対してパスワードの総当たり攻撃が可能となる。CVSSスコアは5.3(Medium)で評価され、バージョン1.7.0で修正されている。早急なアップデートが推奨される重要な問題だ。

【CVE-2024-8001】VIWIS LMS 9.11に重大な認証機能の脆弱性、試験問題と解答への不正アクセスが可能な状態に

【CVE-2024-8001】VIWIS LMS 9.11に重大な認証機能の脆弱性、試験問題と...

VIWIS社の学習管理システムVIWIS LMS 9.11において、Print Handler機能に重大な脆弱性が発見された。認証機能の不備により、学習者ロールを持つユーザーが管理者向け印刷機能を使用できる状態となっており、試験前後のタイミングで試験問題や解答への不正アクセスが可能となっている。CVSSスコアは6.9(Medium)で、早急なパッチ適用が推奨されている。

【CVE-2024-8001】VIWIS LMS 9.11に重大な認証機能の脆弱性、試験問題と...

VIWIS社の学習管理システムVIWIS LMS 9.11において、Print Handler機能に重大な脆弱性が発見された。認証機能の不備により、学習者ロールを持つユーザーが管理者向け印刷機能を使用できる状態となっており、試験前後のタイミングで試験問題や解答への不正アクセスが可能となっている。CVSSスコアは6.9(Medium)で、早急なパッチ適用が推奨されている。

【CVE-2024-42392】Mongoose Web Server v7.14に区切り文字の脆弱性、無限ループバグの可能性が浮上

【CVE-2024-42392】Mongoose Web Server v7.14に区切り文字...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に区切り文字の不適切な処理に関する脆弱性を発見した。CVSSスコア4.0でMediumレベルと評価され、予期しない文字列入力による無限ループバグを引き起こす可能性がある。攻撃には高い特権とローカルアクセスが必要だが、サービスの可用性に影響を及ぼす可能性が指摘されている。

【CVE-2024-42392】Mongoose Web Server v7.14に区切り文字...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に区切り文字の不適切な処理に関する脆弱性を発見した。CVSSスコア4.0でMediumレベルと評価され、予期しない文字列入力による無限ループバグを引き起こす可能性がある。攻撃には高い特権とローカルアクセスが必要だが、サービスの可用性に影響を及ぼす可能性が指摘されている。

【CVE-2024-42388】Mongoose Web Server v7.14でヒープメモリの脆弱性を発見、情報漏洩のリスクに警戒

【CVE-2024-42388】Mongoose Web Server v7.14でヒープメモ...

Nozomi Networks Incは2024年11月18日、Cesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による脆弱性を発見したことを公開した。CVE-2024-42388として特定されたこの脆弱性は、攻撃者が予期しないTLSパケットを送信することで意図しないヒープメモリ空間へのアクセスを強制できる問題が存在しており、早急な対策が求められている。

【CVE-2024-42388】Mongoose Web Server v7.14でヒープメモ...

Nozomi Networks Incは2024年11月18日、Cesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による脆弱性を発見したことを公開した。CVE-2024-42388として特定されたこの脆弱性は、攻撃者が予期しないTLSパケットを送信することで意図しないヒープメモリ空間へのアクセスを強制できる問題が存在しており、早急な対策が求められている。

【CVE-2024-3379】lunary-ai/lunaryに認証の脆弱性が発見、秘密鍵再生成の不正アクセスが可能な状態に

【CVE-2024-3379】lunary-ai/lunaryに認証の脆弱性が発見、秘密鍵再生...

lunary-ai/lunaryのバージョン1.2.2から1.2.6において、不適切な認証に関する重大な脆弱性が発見された。Memberロールを持つ権限のないユーザーがプロジェクトの秘密鍵を再生成できる状態となっており、CVE-2024-3379として報告されている。深刻度は9.6と非常に高く、バージョン1.2.7で修正が完了している。

【CVE-2024-3379】lunary-ai/lunaryに認証の脆弱性が発見、秘密鍵再生...

lunary-ai/lunaryのバージョン1.2.2から1.2.6において、不適切な認証に関する重大な脆弱性が発見された。Memberロールを持つ権限のないユーザーがプロジェクトの秘密鍵を再生成できる状態となっており、CVE-2024-3379として報告されている。深刻度は9.6と非常に高く、バージョン1.2.7で修正が完了している。

【CVE-2024-11209】Apereo CAS 6.6に認証バイパスの脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11209】Apereo CAS 6.6に認証バイパスの脆弱性、リモート攻...

VulDBによって、Apereo CAS 6.6の2要素認証機能に重大な脆弱性が発見された。CVE-2024-11209として識別されるこの問題は、/login?serviceコンポーネントの認証機能に影響を及ぼし、リモートからの攻撃が可能な状態にある。CVSSスコアは中程度と評価されているが、脆弱性の詳細が公開されており、早急な対応が必要とされている。

【CVE-2024-11209】Apereo CAS 6.6に認証バイパスの脆弱性、リモート攻...

VulDBによって、Apereo CAS 6.6の2要素認証機能に重大な脆弱性が発見された。CVE-2024-11209として識別されるこの問題は、/login?serviceコンポーネントの認証機能に影響を及ぼし、リモートからの攻撃が可能な状態にある。CVSSスコアは中程度と評価されているが、脆弱性の詳細が公開されており、早急な対応が必要とされている。

ソナスが構造物モニタリング向け無線式振動計Sonas x04シリーズを発表、防災とインフラ管理の効率化に期待

ソナスが構造物モニタリング向け無線式振動計Sonas x04シリーズを発表、防災とインフラ管理...

東大発ベンチャーのソナスが無線式振動計の新製品Sonas x04シリーズを発表した。内蔵バッテリーの交換が容易になり、IoT無線LTE-Mを採用したHighwayモデルでは高速データ収集を実現。また、国土交通省のSBIRフェーズ3基金事業に採択され、防災・インフラマネジメント分野におけるモニタリングサービスの普及を加速させる。南海トラフ地震への備えや人手不足問題の解決に貢献が期待される。

ソナスが構造物モニタリング向け無線式振動計Sonas x04シリーズを発表、防災とインフラ管理...

東大発ベンチャーのソナスが無線式振動計の新製品Sonas x04シリーズを発表した。内蔵バッテリーの交換が容易になり、IoT無線LTE-Mを採用したHighwayモデルでは高速データ収集を実現。また、国土交通省のSBIRフェーズ3基金事業に採択され、防災・インフラマネジメント分野におけるモニタリングサービスの普及を加速させる。南海トラフ地震への備えや人手不足問題の解決に貢献が期待される。

ジュピターショップチャンネルのECサイトで15,000件の個人情報流出の可能性、クレジットカード情報は部分的な影響に留まる

ジュピターショップチャンネルのECサイトで15,000件の個人情報流出の可能性、クレジットカー...

ジュピターショップチャンネルのECサイトで不正ログインによる個人情報流出の可能性が明らかとなった。約15,000件のアカウントで氏名や住所などの個人情報が閲覧された可能性があり、クレジットカードは下4桁と有効期限のみが影響を受けた。同社は不正ログインアカウントのパスワードリセットを実施し、監視体制を強化している。

ジュピターショップチャンネルのECサイトで15,000件の個人情報流出の可能性、クレジットカー...

ジュピターショップチャンネルのECサイトで不正ログインによる個人情報流出の可能性が明らかとなった。約15,000件のアカウントで氏名や住所などの個人情報が閲覧された可能性があり、クレジットカードは下4桁と有効期限のみが影響を受けた。同社は不正ログインアカウントのパスワードリセットを実施し、監視体制を強化している。

【CVE-2024-10575】Schneider ElectricのEcoStruxure IT Gatewayに重大な認証バイパスの脆弱性、CVSS最高スコアで緊急対応が必要に

【CVE-2024-10575】Schneider ElectricのEcoStruxure ...

Schneider Electric社のEcoStruxure IT Gatewayにおいて、バージョン1.21.0.6から1.23.0.4に重大な認証バイパスの脆弱性が発見された。CVE-2024-10575として識別されるこの脆弱性は、CVSS 4.0で最高スコアの10.0を記録し、認証なしでのネットワークアクセスを可能にする危険性がある。特に産業用制御システムへの影響が懸念され、早急な対応が求められている。

【CVE-2024-10575】Schneider ElectricのEcoStruxure ...

Schneider Electric社のEcoStruxure IT Gatewayにおいて、バージョン1.21.0.6から1.23.0.4に重大な認証バイパスの脆弱性が発見された。CVE-2024-10575として識別されるこの脆弱性は、CVSS 4.0で最高スコアの10.0を記録し、認証なしでのネットワークアクセスを可能にする危険性がある。特に産業用制御システムへの影響が懸念され、早急な対応が求められている。

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENETにDoS脆弱性、Ethernet通信への攻撃リスクが判明

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENET...

三菱電機のMELSEC iQ-F Series FX5-ENETおよびFX5-ENET/IPに深刻なDoS脆弱性が発見された。CVSSスコア7.5のHigh評価となる本脆弱性は、特別に細工されたSLMPパケットによってEthernet通信に障害を引き起こす可能性がある。FX5-ENETのバージョン1.100以降およびFX5-ENET/IPのバージョン1.100から1.104が影響を受け、早急な対応が求められている。

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENET...

三菱電機のMELSEC iQ-F Series FX5-ENETおよびFX5-ENET/IPに深刻なDoS脆弱性が発見された。CVSSスコア7.5のHigh評価となる本脆弱性は、特別に細工されたSLMPパケットによってEthernet通信に障害を引き起こす可能性がある。FX5-ENETのバージョン1.100以降およびFX5-ENET/IPのバージョン1.100から1.104が影響を受け、早急な対応が求められている。

Instagramがおすすめリセット機能のテストを開始、コンテンツ体験の刷新が可能に

Instagramがおすすめリセット機能のテストを開始、コンテンツ体験の刷新が可能に

Instagramは2024年11月19日、発見、リール、フィードでのコンテンツのおすすめを手動でリセットできる新機能のテストを開始した。ティーンを含む全ユーザーを対象とし、数タップでコンテンツのおすすめを完全にリセットし、アクションに基づいて新たなパーソナライズを開始できる。フォロー中アカウントの見直しやフォロー解除オプションも提供され、より快適なコンテンツ体験の実現を目指している。

Instagramがおすすめリセット機能のテストを開始、コンテンツ体験の刷新が可能に

Instagramは2024年11月19日、発見、リール、フィードでのコンテンツのおすすめを手動でリセットできる新機能のテストを開始した。ティーンを含む全ユーザーを対象とし、数タップでコンテンツのおすすめを完全にリセットし、アクションに基づいて新たなパーソナライズを開始できる。フォロー中アカウントの見直しやフォロー解除オプションも提供され、より快適なコンテンツ体験の実現を目指している。

GoogleがDocsの新building blocks機能を公開、ビジネスワークフローの効率化を実現

GoogleがDocsの新building blocks機能を公開、ビジネスワークフローの効率...

GoogleはDocsに新しいbuilding blocksコレクションを追加し、タスク管理やプロジェクト追跡、採用活動などのビジネスワークフローを効率化する機能を公開した。タスクトラッカー、コンタクトリスト、意思決定ログなどの新機能により、チームの生産性向上とワークフロー管理の簡素化を実現。新しいDocsサイドバーでは、building blocksのブラウズやプレビューも可能になっている。

GoogleがDocsの新building blocks機能を公開、ビジネスワークフローの効率...

GoogleはDocsに新しいbuilding blocksコレクションを追加し、タスク管理やプロジェクト追跡、採用活動などのビジネスワークフローを効率化する機能を公開した。タスクトラッカー、コンタクトリスト、意思決定ログなどの新機能により、チームの生産性向上とワークフロー管理の簡素化を実現。新しいDocsサイドバーでは、building blocksのブラウズやプレビューも可能になっている。