Tech Insights

KDDIが高度なログイン認証技術kCAPTCHAを開発、生成AIの活用で視認性とセキュリティを向上

KDDIが高度なログイン認証技術kCAPTCHAを開発、生成AIの活用で視認性とセキュリティを向上

KDDIとKDDI総合研究所が開発した新しいログイン認証技術kCAPTCHAは、生成AIを活用して高解像度で視認性の高い認証画像を生成し、問題解決過程での動作検知により高精度な機械攻撃の検出を実現する。2024年11月12日からau IDログイン認証に導入され、今後は他のKDDIサービスへの展開や法人向け販売も予定している。

KDDIが高度なログイン認証技術kCAPTCHAを開発、生成AIの活用で視認性とセキュリティを向上

KDDIとKDDI総合研究所が開発した新しいログイン認証技術kCAPTCHAは、生成AIを活用して高解像度で視認性の高い認証画像を生成し、問題解決過程での動作検知により高精度な機械攻撃の検出を実現する。2024年11月12日からau IDログイン認証に導入され、今後は他のKDDIサービスへの展開や法人向け販売も予定している。

SpaceXのStarshipが6回目飛行試験へ、再突入能力強化と完全再使用化の実現に向けた重要な一歩

SpaceXのStarshipが6回目飛行試験へ、再突入能力強化と完全再使用化の実現に向けた重...

SpaceXの新型宇宙船Starship Super Heavyが6回目の飛行試験を11月19日に実施する。5回目で成功したブースターの空中キャッチに続き、今回は2段目スターシップの再突入能力強化を目指す。新しい耐熱材料の評価や高迎え角での降下など、完全再使用化に向けた重要なデータ取得が計画されている。

SpaceXのStarshipが6回目飛行試験へ、再突入能力強化と完全再使用化の実現に向けた重...

SpaceXの新型宇宙船Starship Super Heavyが6回目の飛行試験を11月19日に実施する。5回目で成功したブースターの空中キャッチに続き、今回は2段目スターシップの再突入能力強化を目指す。新しい耐熱材料の評価や高迎え角での降下など、完全再使用化に向けた重要なデータ取得が計画されている。

GoogleがGeminiのiPhoneアプリを公開、音声会話と画像生成機能で生産性向上を実現

GoogleがGeminiのiPhoneアプリを公開、音声会話と画像生成機能で生産性向上を実現

Google日本法人は2024年11月18日、生成AI「Gemini」のiPhoneアプリをApp Storeで公開した。新アプリではGemini Liveによる自然な音声会話が可能で、10種類の音声からカスタマイズできる。また、高品質な画像生成モデルImagen 3を搭載し、YouTubeやGoogleマップ、Gmailなどのアプリとも連携した統合的なAI機能を提供する。

GoogleがGeminiのiPhoneアプリを公開、音声会話と画像生成機能で生産性向上を実現

Google日本法人は2024年11月18日、生成AI「Gemini」のiPhoneアプリをApp Storeで公開した。新アプリではGemini Liveによる自然な音声会話が可能で、10種類の音声からカスタマイズできる。また、高品質な画像生成モデルImagen 3を搭載し、YouTubeやGoogleマップ、Gmailなどのアプリとも連携した統合的なAI機能を提供する。

【CVE-2024-47909】Ivanti Connect Secureにバッファオーバーフロー脆弱性、管理者権限でDoS攻撃の危険性

【CVE-2024-47909】Ivanti Connect Secureにバッファオーバーフ...

IvantiのConnect SecureとPolicy Secureに深刻なスタックベースのバッファオーバーフロー脆弱性が発見された。CVE-2024-47909として識別されるこの脆弱性は、管理者権限を持つ攻撃者によってリモートから悪用される可能性がある。CVSSスコアは4.9と評価され、Connect Secure 22.7R2.3未満とPolicy Secure 22.7R1.2未満が影響を受ける。早急なアップデートが推奨される。

【CVE-2024-47909】Ivanti Connect Secureにバッファオーバーフ...

IvantiのConnect SecureとPolicy Secureに深刻なスタックベースのバッファオーバーフロー脆弱性が発見された。CVE-2024-47909として識別されるこの脆弱性は、管理者権限を持つ攻撃者によってリモートから悪用される可能性がある。CVSSスコアは4.9と評価され、Connect Secure 22.7R2.3未満とPolicy Secure 22.7R1.2未満が影響を受ける。早急なアップデートが推奨される。

【CVE-2024-47907】Ivanti Connect Secureにバッファオーバーフローの脆弱性が発見、サービス拒否攻撃のリスクに警戒

【CVE-2024-47907】Ivanti Connect Secureにバッファオーバーフ...

Ivantiは2024年11月12日、VPN製品Ivanti Connect Secureのバージョン22.7R2.3より前のバージョンにおいて、IPsecのスタックベースのバッファオーバーフローの脆弱性を公開した。CVSSスコア7.5の深刻な脆弱性として分類され、認証不要で遠隔からの攻撃が可能とされている。この脆弱性はサービス拒否攻撃を引き起こす可能性があり、早急な対応が求められている。

【CVE-2024-47907】Ivanti Connect Secureにバッファオーバーフ...

Ivantiは2024年11月12日、VPN製品Ivanti Connect Secureのバージョン22.7R2.3より前のバージョンにおいて、IPsecのスタックベースのバッファオーバーフローの脆弱性を公開した。CVSSスコア7.5の深刻な脆弱性として分類され、認証不要で遠隔からの攻撃が可能とされている。この脆弱性はサービス拒否攻撃を引き起こす可能性があり、早急な対応が求められている。

【CVE-2024-47905】Ivanti Connect SecureとPolicy Secureに脆弱性、バッファオーバーフローによるDoS攻撃のリスクが判明

【CVE-2024-47905】Ivanti Connect SecureとPolicy Se...

IvantiはConnect SecureとPolicy Secureに存在する脆弱性【CVE-2024-47905】を公開した。この脆弱性は管理者権限を持つリモート認証済み攻撃者によってサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは4.9(MEDIUM)で、スタックベースのバッファオーバーフロー(CWE-121)に分類される。対策として最新バージョンへのアップデートが推奨されている。

【CVE-2024-47905】Ivanti Connect SecureとPolicy Se...

IvantiはConnect SecureとPolicy Secureに存在する脆弱性【CVE-2024-47905】を公開した。この脆弱性は管理者権限を持つリモート認証済み攻撃者によってサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは4.9(MEDIUM)で、スタックベースのバッファオーバーフロー(CWE-121)に分類される。対策として最新バージョンへのアップデートが推奨されている。

【CVE-2024-47867】Gradioのバージョン5.0未満でFRPクライアントの整合性チェック欠如による脆弱性が発覚

【CVE-2024-47867】Gradioのバージョン5.0未満でFRPクライアントの整合性...

GitHubは2024年10月10日、機械学習のプロトタイピングツールGradioにおいて、ダウンロードされたFRPクライアントに対する整合性チェックが欠如している脆弱性を公開した。CVSSスコアは2.1と評価され、攻撃には高い特権レベルが必要だが、ネットワークからのアクセスが可能で攻撃の複雑さが低いため、環境に応じて攻撃を受ける可能性がある。対策としてバージョン5.0以降へのアップグレードが推奨される。

【CVE-2024-47867】Gradioのバージョン5.0未満でFRPクライアントの整合性...

GitHubは2024年10月10日、機械学習のプロトタイピングツールGradioにおいて、ダウンロードされたFRPクライアントに対する整合性チェックが欠如している脆弱性を公開した。CVSSスコアは2.1と評価され、攻撃には高い特権レベルが必要だが、ネットワークからのアクセスが可能で攻撃の複雑さが低いため、環境に応じて攻撃を受ける可能性がある。対策としてバージョン5.0以降へのアップグレードが推奨される。

【CVE-2024-45670】IBM Security SOAR 51.0.1.0以前にパスワード回復の脆弱性、アカウント侵害後の不正アクセスのリスクに

【CVE-2024-45670】IBM Security SOAR 51.0.1.0以前にパス...

IBMは2024年11月14日、IBM Security SOAR 51.0.1.0以前のバージョンにおけるパスワード回復メカニズムの脆弱性を公開した。CVE-2024-45670として識別されるこの脆弱性は、ユーザーアカウントが侵害された後に元のパスワードを知らなくてもパスワードの回復や変更が可能になる状態を引き起こす。CVSS v3.1のベーススコアは5.6(中程度)と評価されており、適切な対策が必要とされている。

【CVE-2024-45670】IBM Security SOAR 51.0.1.0以前にパス...

IBMは2024年11月14日、IBM Security SOAR 51.0.1.0以前のバージョンにおけるパスワード回復メカニズムの脆弱性を公開した。CVE-2024-45670として識別されるこの脆弱性は、ユーザーアカウントが侵害された後に元のパスワードを知らなくてもパスワードの回復や変更が可能になる状態を引き起こす。CVSS v3.1のベーススコアは5.6(中程度)と評価されており、適切な対策が必要とされている。

【CVE-2024-45642】IBM Security ReaQta 3.12でXSS脆弱性を発見、特権ユーザーによる不正コード実行のリスクに

【CVE-2024-45642】IBM Security ReaQta 3.12でXSS脆弱性...

IBMは2024年11月14日、IBM Security ReaQta 3.12におけるクロスサイトスクリプティングの脆弱性を公開した。本脆弱性は特権ユーザーによる任意のJavaScriptコード埋め込みを可能とし、信頼済みセッション内での認証情報漏洩のリスクをもたらす。CVSSスコア5.3(MEDIUM)と評価され、クロスドメインホワイトリストの過度な許容性が原因とされている。

【CVE-2024-45642】IBM Security ReaQta 3.12でXSS脆弱性...

IBMは2024年11月14日、IBM Security ReaQta 3.12におけるクロスサイトスクリプティングの脆弱性を公開した。本脆弱性は特権ユーザーによる任意のJavaScriptコード埋め込みを可能とし、信頼済みセッション内での認証情報漏洩のリスクをもたらす。CVSSスコア5.3(MEDIUM)と評価され、クロスドメインホワイトリストの過度な許容性が原因とされている。

【CVE-2024-43625】Microsoft Windows VMSwitchに権限昇格の脆弱性、複数のバージョンに影響

【CVE-2024-43625】Microsoft Windows VMSwitchに権限昇格...

Microsoft社がWindows VMSwitchにおける権限昇格の脆弱性【CVE-2024-43625】を公開した。この脆弱性はCVSS v3.1で深刻度8.1のHIGHに分類され、Windows Server 2022やWindows 11の複数バージョンに影響を及ぼす。Use After Free(CWE-416)として分類されており、攻撃の成功には高度な技術的知識が必要とされているが、システム全体への影響が懸念される。

【CVE-2024-43625】Microsoft Windows VMSwitchに権限昇格...

Microsoft社がWindows VMSwitchにおける権限昇格の脆弱性【CVE-2024-43625】を公開した。この脆弱性はCVSS v3.1で深刻度8.1のHIGHに分類され、Windows Server 2022やWindows 11の複数バージョンに影響を及ぼす。Use After Free(CWE-416)として分類されており、攻撃の成功には高度な技術的知識が必要とされているが、システム全体への影響が懸念される。

【CVE-2024-43623】Windows NT OS Kernelに深刻な権限昇格の脆弱性、多数のバージョンに影響

【CVE-2024-43623】Windows NT OS Kernelに深刻な権限昇格の脆弱...

Microsoftは2024年11月12日に、Windows NT OS Kernelにおける権限昇格の脆弱性【CVE-2024-43623】を公開した。CVSSスコア7.8と高く評価されたこの脆弱性は、Windows 10からWindows 11、さらにはWindows Serverの広範なバージョンに影響を与える。物理的なアクセスと制限付きの権限が必要とされるものの、ユーザーの操作を必要としない点から、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-43623】Windows NT OS Kernelに深刻な権限昇格の脆弱...

Microsoftは2024年11月12日に、Windows NT OS Kernelにおける権限昇格の脆弱性【CVE-2024-43623】を公開した。CVSSスコア7.8と高く評価されたこの脆弱性は、Windows 10からWindows 11、さらにはWindows Serverの広範なバージョンに影響を与える。物理的なアクセスと制限付きの権限が必要とされるものの、ユーザーの操作を必要としない点から、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-43621】MicrosoftがWindows Telephony Serviceの重大な脆弱性を公開、早急な対応が必要に

【CVE-2024-43621】MicrosoftがWindows Telephony Ser...

MicrosoftはWindows Telephony Serviceにおけるリモートコード実行の脆弱性【CVE-2024-43621】を公開した。CVSSスコア8.8のハイリスクと評価されるこの脆弱性は、Windows Server 2025からWindows 10まで広範なバージョンに影響を与える。ヒープベースのバッファオーバーフローによる問題で、攻撃者がリモートからコードを実行できる可能性がある深刻な問題となっている。

【CVE-2024-43621】MicrosoftがWindows Telephony Ser...

MicrosoftはWindows Telephony Serviceにおけるリモートコード実行の脆弱性【CVE-2024-43621】を公開した。CVSSスコア8.8のハイリスクと評価されるこの脆弱性は、Windows Server 2025からWindows 10まで広範なバージョンに影響を与える。ヒープベースのバッファオーバーフローによる問題で、攻撃者がリモートからコードを実行できる可能性がある深刻な問題となっている。

【CVE-2024-43093】AndroidのExternalStorageProviderに特権昇格の脆弱性、Android 12-15に影響

【CVE-2024-43093】AndroidのExternalStorageProvider...

GoogleはAndroidのExternalStorageProviderに重大な脆弱性【CVE-2024-43093】を発見し公開した。この脆弱性はUnicode正規化処理の不備によりファイルパスフィルターをバイパス可能で、特権昇格のリスクがある。Android 12から15までの広範なバージョンに影響し、CVSS評価は7.8(High)となっている。2024年11月のセキュリティパッチで修正が提供されており、早急な対応が推奨される。

【CVE-2024-43093】AndroidのExternalStorageProvider...

GoogleはAndroidのExternalStorageProviderに重大な脆弱性【CVE-2024-43093】を発見し公開した。この脆弱性はUnicode正規化処理の不備によりファイルパスフィルターをバイパス可能で、特権昇格のリスクがある。Android 12から15までの広範なバージョンに影響し、CVSS評価は7.8(High)となっている。2024年11月のセキュリティパッチで修正が提供されており、早急な対応が推奨される。

【CVE-2024-37398】Ivanti Secure Access Clientに特権昇格の脆弱性、システムのセキュリティリスクが増大

【CVE-2024-37398】Ivanti Secure Access Clientに特権昇...

Ivantiは認証済みローカルユーザーによる特権昇格を可能にする脆弱性【CVE-2024-37398】を公開した。Ivanti Secure Access Clientのバージョン22.7R4より前のバージョンに影響を及ぼすこの脆弱性は、CVSSスコア7.8と高い深刻度を示している。攻撃の複雑さは低く、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-37398】Ivanti Secure Access Clientに特権昇...

Ivantiは認証済みローカルユーザーによる特権昇格を可能にする脆弱性【CVE-2024-37398】を公開した。Ivanti Secure Access Clientのバージョン22.7R4より前のバージョンに影響を及ぼすこの脆弱性は、CVSSスコア7.8と高い深刻度を示している。攻撃の複雑さは低く、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-21974】AMD Ryzen AI Softwareに深刻な脆弱性、任意のコード実行が可能な状態に

【CVE-2024-21974】AMD Ryzen AI Softwareに深刻な脆弱性、任意...

AMDが公開したセキュリティ情報によると、AMD Ryzen AI Softwareのバージョン1.2未満に深刻な脆弱性が発見された。NPUドライバーの不適切な入力検証により、特別に細工されたポインタを使用することで任意のコード実行が可能となる。CVSSスコアは8.8と高く、早急な対応が必要。企業環境での標的型攻撃のリスクも懸念される。

【CVE-2024-21974】AMD Ryzen AI Softwareに深刻な脆弱性、任意...

AMDが公開したセキュリティ情報によると、AMD Ryzen AI Softwareのバージョン1.2未満に深刻な脆弱性が発見された。NPUドライバーの不適切な入力検証により、特別に細工されたポインタを使用することで任意のコード実行が可能となる。CVSSスコアは8.8と高く、早急な対応が必要。企業環境での標的型攻撃のリスクも懸念される。

【CVE-2024-11100】Beauty Parlour Management System 1.0にSQLインジェクション脆弱性、遠隔からの攻撃が可能に

【CVE-2024-11100】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において重大なSQLインジェクション脆弱性が発見された。index.phpファイルのname引数を操作することで遠隔から攻撃が可能であり、CVSSスコアは最新のバージョン4.0で6.9(MEDIUM)、バージョン3.1および3.0で7.3(HIGH)と評価されている。この脆弱性は一般に公開されており、攻撃コードも入手可能な状態となっているため、早急な対応が必要だ。

【CVE-2024-11100】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において重大なSQLインジェクション脆弱性が発見された。index.phpファイルのname引数を操作することで遠隔から攻撃が可能であり、CVSSスコアは最新のバージョン4.0で6.9(MEDIUM)、バージョン3.1および3.0で7.3(HIGH)と評価されている。この脆弱性は一般に公開されており、攻撃コードも入手可能な状態となっているため、早急な対応が必要だ。

【CVE-2024-11073】SourceCodester Hospital Management System 1.0に認可の脆弱性、患者アカウントの不正削除が可能に

【CVE-2024-11073】SourceCodester Hospital Managem...

医療システムベンダーSourceCodesterのHospital Management System 1.0において、delete-account.phpファイルに関する重大な認可の脆弱性が発見された。CVE-2024-11073として識別されたこの脆弱性により、攻撃者は任意の患者アカウントを不正に削除することが可能となる。CVSS 4.0スコアは5.3(MEDIUM)で、リモートからの攻撃が可能な点が特に懸念される。

【CVE-2024-11073】SourceCodester Hospital Managem...

医療システムベンダーSourceCodesterのHospital Management System 1.0において、delete-account.phpファイルに関する重大な認可の脆弱性が発見された。CVE-2024-11073として識別されたこの脆弱性により、攻撃者は任意の患者アカウントを不正に削除することが可能となる。CVSS 4.0スコアは5.3(MEDIUM)で、リモートからの攻撃が可能な点が特に懸念される。

【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バイパスによるパスワード変更の危険性が浮上

【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バ...

D-Link DSL6740Cモデムにおいて、特権APIの不適切な使用による重大な脆弱性が発見された。認証されていないリモート攻撃者が任意のユーザーのパスワードを変更可能で、Web管理画面やSSH、Telnetサービスへのアクセスが可能となる。CVSS v3.1で9.8のクリティカルスコアを記録し、攻撃の自動化も可能であることから、早急な対策が求められている。

【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バ...

D-Link DSL6740Cモデムにおいて、特権APIの不適切な使用による重大な脆弱性が発見された。認証されていないリモート攻撃者が任意のユーザーのパスワードを変更可能で、Web管理画面やSSH、Telnetサービスへのアクセスが可能となる。CVSS v3.1で9.8のクリティカルスコアを記録し、攻撃の自動化も可能であることから、早急な対策が求められている。

【CVE-2024-11067】D-Link DSL6740Cにパストラバーサル脆弱性、認証バイパスによるシステムファイル読み取りのリスクが発生

【CVE-2024-11067】D-Link DSL6740Cにパストラバーサル脆弱性、認証バ...

D-Link DSL6740Cモデムにパストラバーサル脆弱性が発見され、認証されていないリモート攻撃者がシステムファイルを任意に読み取ることが可能となっている。さらに、デバイスのデフォルトパスワードがMACアドレスから生成される仕様であるため、攻撃者がMACアドレスを取得してデバイスへの不正アクセスを試みる可能性が指摘されている。CVSSスコアは7.5と高い深刻度を示しており、早急な対策が求められる。

【CVE-2024-11067】D-Link DSL6740Cにパストラバーサル脆弱性、認証バ...

D-Link DSL6740Cモデムにパストラバーサル脆弱性が発見され、認証されていないリモート攻撃者がシステムファイルを任意に読み取ることが可能となっている。さらに、デバイスのデフォルトパスワードがMACアドレスから生成される仕様であるため、攻撃者がMACアドレスを取得してデバイスへの不正アクセスを試みる可能性が指摘されている。CVSSスコアは7.5と高い深刻度を示しており、早急な対策が求められる。

【CVE-2024-11021】Grand Vice Info WebopacでStored XSS脆弱性を発見、複数のバージョンで影響

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting(XSS)の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4(Medium)で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting(XSS)の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4(Medium)で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11020】Grand Vice InfoのWebopac7にSQLインジェクションの脆弱性、データベース全体に影響の可能性

【CVE-2024-11020】Grand Vice InfoのWebopac7にSQLインジ...

TWCERT/CCはGrand Vice InfoのWebopac7にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコアは9.8(Critical)で、認証なしでデータベースの読み取り・変更・削除が可能な状態である。影響を受けるバージョンはWebopac6の6.0.0から6.5.1未満、およびWebopac7の7.0.0から7.2.3未満となっており、早急な対策版へのアップデートが推奨される。

【CVE-2024-11020】Grand Vice InfoのWebopac7にSQLインジ...

TWCERT/CCはGrand Vice InfoのWebopac7にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコアは9.8(Critical)で、認証なしでデータベースの読み取り・変更・削除が可能な状態である。影響を受けるバージョンはWebopac6の6.0.0から6.5.1未満、およびWebopac7の7.0.0から7.2.3未満となっており、早急な対策版へのアップデートが推奨される。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性、未認証の攻撃者による不正コード実行の危険性

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの脆弱性、任意のコード実行が可能な深刻な問題に

【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの...

Grand Vice InfoのWebopacに深刻な脆弱性が発見され、認証されていないリモートの攻撃者がWebシェルをアップロードして実行し、サーバー上で任意のコードを実行できる状態にある。CVSSスコア9.8の極めて深刻な評価を受けており、影響を受けるバージョンはWebopac 6.0から6.5.0までと7.0から7.2.2まで。対策版として6.5.1および7.2.3がリリースされている。

【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの...

Grand Vice InfoのWebopacに深刻な脆弱性が発見され、認証されていないリモートの攻撃者がWebシェルをアップロードして実行し、サーバー上で任意のコードを実行できる状態にある。CVSSスコア9.8の極めて深刻な評価を受けており、影響を受けるバージョンはWebopac 6.0から6.5.0までと7.0から7.2.2まで。対策版として6.5.1および7.2.3がリリースされている。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。

【CVE-2024-11007】IvantiのConnect SecureとPolicy Secureに重大な脆弱性、管理者権限での遠隔コード実行が可能に

【CVE-2024-11007】IvantiのConnect SecureとPolicy Se...

IvantiのConnect SecureとPolicy Secureに重大な脆弱性【CVE-2024-11007】が発見された。CVSSスコア9.1のこの脆弱性は、管理者権限を持つ遠隔の攻撃者がリモートコード実行を可能にするもので、Connect Secure version 22.7R2.1未満とPolicy Secure version 22.7R1.1未満が影響を受ける。早急なアップデートによる対策が必要とされている。

【CVE-2024-11007】IvantiのConnect SecureとPolicy Se...

IvantiのConnect SecureとPolicy Secureに重大な脆弱性【CVE-2024-11007】が発見された。CVSSスコア9.1のこの脆弱性は、管理者権限を持つ遠隔の攻撃者がリモートコード実行を可能にするもので、Connect Secure version 22.7R2.1未満とPolicy Secure version 22.7R1.1未満が影響を受ける。早急なアップデートによる対策が必要とされている。

【CVE-2024-10994】Codezips Online Institute Management System 1.0に深刻な脆弱性、無制限アップロードの問題で早急な対応が必要に

【CVE-2024-10994】Codezips Online Institute Manag...

VulDBが2024年11月8日、Codezips Online Institute Management System 1.0のedit_user.phpファイルに無制限アップロードの脆弱性が存在することを公開した。CVSSスコアは4.0で5.3(MEDIUM)、3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能で既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-10994】Codezips Online Institute Manag...

VulDBが2024年11月8日、Codezips Online Institute Management System 1.0のedit_user.phpファイルに無制限アップロードの脆弱性が存在することを公開した。CVSSスコアは4.0で5.3(MEDIUM)、3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能で既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-10993】Codezips Online Institute Management System 1.0で重大な脆弱性が発見、遠隔攻撃のリスクが浮上

【CVE-2024-10993】Codezips Online Institute Manag...

Codezips Online Institute Management System 1.0のmanage_website.phpファイルに重大な脆弱性が発見された。website_imageパラメータを介した制限のないアップロードが可能となっており、遠隔からの攻撃実行のリスクが指摘されている。CVSSスコアは最大6.3を記録し、すでに攻撃コードが公開された状態となっている。教育機関のデータセキュリティに関わる重大な問題として注目される。

【CVE-2024-10993】Codezips Online Institute Manag...

Codezips Online Institute Management System 1.0のmanage_website.phpファイルに重大な脆弱性が発見された。website_imageパラメータを介した制限のないアップロードが可能となっており、遠隔からの攻撃実行のリスクが指摘されている。CVSSスコアは最大6.3を記録し、すでに攻撃コードが公開された状態となっている。教育機関のデータセキュリティに関わる重大な問題として注目される。

【CVE-2024-10991】Codezips Hospital Appointment System 1.0にSQLインジェクションの脆弱性、患者データ漏洩のリスクが深刻化

【CVE-2024-10991】Codezips Hospital Appointment S...

VulDBは2024年11月8日、Codezips Hospital Appointment System 1.0のeditBranchResult.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVSS 3.1でHigh(7.3)と評価され、認証なしでリモートから攻撃可能で、患者の個人情報や診療記録などの機密データが漏洩するリスクがある。早急な対応が必要とされている。

【CVE-2024-10991】Codezips Hospital Appointment S...

VulDBは2024年11月8日、Codezips Hospital Appointment System 1.0のeditBranchResult.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVSS 3.1でHigh(7.3)と評価され、認証なしでリモートから攻撃可能で、患者の個人情報や診療記録などの機密データが漏洩するリスクがある。早急な対応が必要とされている。

【CVE-2024-10531】Kognetiks Chatbot for WordPressに認証機能の脆弱性、購読者レベルのユーザーによるアシスタント更新が可能に

【CVE-2024-10531】Kognetiks Chatbot for WordPress...

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-10531】Kognetiks Chatbot for WordPress...

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-10530】Kognetiks Chatbot for WordPressにGPTアシスタントの無断作成が可能な脆弱性が発見される

【CVE-2024-10530】Kognetiks Chatbot for WordPress...

Kognetiks Chatbot for WordPressのバージョン2.1.7以前に認証に関する重大な脆弱性が発見された。add_new_assistant()関数に機能チェックが欠如しており、購読者以上の権限を持つ認証済みユーザーが新しいGPTアシスタントを無断で作成できる状態となっている。CVE-2024-10530として識別されたこの脆弱性は、CVSSスコア4.3でMediumレベルの深刻度と評価されている。

【CVE-2024-10530】Kognetiks Chatbot for WordPress...

Kognetiks Chatbot for WordPressのバージョン2.1.7以前に認証に関する重大な脆弱性が発見された。add_new_assistant()関数に機能チェックが欠如しており、購読者以上の権限を持つ認証済みユーザーが新しいGPTアシスタントを無断で作成できる状態となっている。CVE-2024-10530として識別されたこの脆弱性は、CVSSスコア4.3でMediumレベルの深刻度と評価されている。