Tech Insights

【CVE-2024-8881】Zyxel GS1900-48スイッチにコマンドインジェクションの脆弱性、管理者権限で特定コマンドが実行可能に

【CVE-2024-8881】Zyxel GS1900-48スイッチにコマンドインジェクション...

Zyxel CorporationのGS1900-48スイッチファームウェアV2.80(AAHN.1)C0以前のバージョンにおいて、認証後のコマンドインジェクション脆弱性が発見された。認証済み管理者権限を持つ攻撃者がLAN経由で細工されたHTTPリクエストを送信することで、対象デバイスでOSコマンドが実行可能になる。CVSSv3.1スコアは6.8で中程度の深刻度と評価されている。

【CVE-2024-8881】Zyxel GS1900-48スイッチにコマンドインジェクション...

Zyxel CorporationのGS1900-48スイッチファームウェアV2.80(AAHN.1)C0以前のバージョンにおいて、認証後のコマンドインジェクション脆弱性が発見された。認証済み管理者権限を持つ攻撃者がLAN経由で細工されたHTTPリクエストを送信することで、対象デバイスでOSコマンドが実行可能になる。CVSSv3.1スコアは6.8で中程度の深刻度と評価されている。

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻なSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻...

Patchstack OÜがWordPress用プラグインBlrt WP Embedにおいて、深刻なSQLインジェクション脆弱性【CVE-2024-51606】を発見した。本脆弱性はバージョン1.6.9以前のすべてのバージョンに影響を与えており、CVSSスコア8.5と高い深刻度で評価されている。特に攻撃の複雑さが低く、低い特権レベルで実行可能であることから、早急な対応が求められている。

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻...

Patchstack OÜがWordPress用プラグインBlrt WP Embedにおいて、深刻なSQLインジェクション脆弱性【CVE-2024-51606】を発見した。本脆弱性はバージョン1.6.9以前のすべてのバージョンに影響を与えており、CVSSスコア8.5と高い深刻度で評価されている。特に攻撃の複雑さが低く、低い特権レベルで実行可能であることから、早急な対応が求められている。

【CVE-2024-51583】WordPress用Kento Ads Rotatorプラグインにクロスサイトスクリプティングの脆弱性、バージョン1.3以前に影響

【CVE-2024-51583】WordPress用Kento Ads Rotatorプラグイ...

KentoThemes社のWordPress用プラグインKento Ads Rotatorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51583として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。Patchstack Allianceにより発見され、ウェブページ生成時の入力の不適切な無害化に起因する問題だ。

【CVE-2024-51583】WordPress用Kento Ads Rotatorプラグイ...

KentoThemes社のWordPress用プラグインKento Ads Rotatorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51583として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。Patchstack Allianceにより発見され、ウェブページ生成時の入力の不適切な無害化に起因する問題だ。

【CVE-2024-50972】Construction Management System 1.0にSQLインジェクションの脆弱性、早急な対策が必要に

【CVE-2024-50972】Construction Management System ...

Itsourcecode社のConstruction Management System 1.0において、printtool.phpのborrow_idパラメータにSQLインジェクションの脆弱性が発見され、CVE-2024-50972として公開された。この脆弱性により、リモート攻撃者が任意のSQLコマンドを実行できる状態となっており、データベースの改ざんや情報漏洩などのリスクが高まっている。運用者は早急なセキュリティパッチの適用や代替策の実装を検討する必要がある。

【CVE-2024-50972】Construction Management System ...

Itsourcecode社のConstruction Management System 1.0において、printtool.phpのborrow_idパラメータにSQLインジェクションの脆弱性が発見され、CVE-2024-50972として公開された。この脆弱性により、リモート攻撃者が任意のSQLコマンドを実行できる状態となっており、データベースの改ざんや情報漏洩などのリスクが高まっている。運用者は早急なセキュリティパッチの適用や代替策の実装を検討する必要がある。

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発見、深刻な影響の可能性が浮上

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発...

Tenda G3 v3.0 v15.11.0.20においてコマンドインジェクション脆弱性が発見され、MITRE CorporationによってCVE-2024-50853として公開された。formSetDebugCfg機能を介した不正コマンド実行の可能性が指摘されており、CISA-ADPによる評価では攻撃の自動化が可能で技術的影響も深刻とされている。早急な対策が求められる事態となっている。

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発...

Tenda G3 v3.0 v15.11.0.20においてコマンドインジェクション脆弱性が発見され、MITRE CorporationによってCVE-2024-50853として公開された。formSetDebugCfg機能を介した不正コマンド実行の可能性が指摘されており、CISA-ADPによる評価では攻撃の自動化が可能で技術的影響も深刻とされている。早急な対策が求められる事態となっている。

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサルの脆弱性、任意のコード実行の危険性が浮上

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサル...

MITREがDotNetZip v.1.16.0およびそれ以前のバージョンにディレクトリトラバーサルの脆弱性が存在することを公開した。この脆弱性は遠隔からの任意のコード実行を可能にする深刻な問題であり、自動化された攻撃も可能とされている。特に重要な点として、この脆弱性は現在メンテナンスが終了した製品にのみ影響を与えることが確認されている。

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサル...

MITREがDotNetZip v.1.16.0およびそれ以前のバージョンにディレクトリトラバーサルの脆弱性が存在することを公開した。この脆弱性は遠隔からの任意のコード実行を可能にする深刻な問題であり、自動化された攻撃も可能とされている。特に重要な点として、この脆弱性は現在メンテナンスが終了した製品にのみ影響を与えることが確認されている。

【CVE-2024-45278】SAP Commerce BackofficeにXSS脆弱性が発見、機密性と整合性に影響の恐れ

【CVE-2024-45278】SAP Commerce BackofficeにXSS脆弱性が...

SAPは2024年10月8日、SAP Commerce Backofficeにおいて、ユーザー制御入力の不十分なエンコードに起因するXSS脆弱性を公開した。HY_COM 2205とCOM_CLOUD 2211のバージョンに影響を与えるこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価されており、機密性と整合性に限定的な影響を及ぼす可能性がある。セキュリティパッチデーの一環として修正プログラムが提供されている。

【CVE-2024-45278】SAP Commerce BackofficeにXSS脆弱性が...

SAPは2024年10月8日、SAP Commerce Backofficeにおいて、ユーザー制御入力の不十分なエンコードに起因するXSS脆弱性を公開した。HY_COM 2205とCOM_CLOUD 2211のバージョンに影響を与えるこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価されており、機密性と整合性に限定的な影響を及ぼす可能性がある。セキュリティパッチデーの一環として修正プログラムが提供されている。

【CVE-2024-11099】code-projects Job Recruitment 1.0にSQLインジェクションの脆弱性が発見、即時の対応が必要に

【CVE-2024-11099】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のlogin.phpファイルにおいて、emailパラメータに対するSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特権も必要としないため、早急な対応が求められる。既に攻撃コードが公開されており、データベースへの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2024-11099】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のlogin.phpファイルにおいて、emailパラメータに対するSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特権も必要としないため、早急な対応が求められる。既に攻撃コードが公開されており、データベースへの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2024-11076】code-projects Job Recruitment 1.0にSQL injection脆弱性、リモートからの攻撃が可能に

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-11058】CodeAstro Real Estate Management System 1.0でSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-11054】Simple Music Cloud Community System 1.0に深刻な脆弱性、リモートからの攻撃が可能な状態に

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-47458】Adobe Bridge 14.1.2にNULLポインタ参照の脆弱性、サービス拒否の可能性が浮上

【CVE-2024-47458】Adobe Bridge 14.1.2にNULLポインタ参照の...

Adobe Bridgeバージョン13.0.9および14.1.2以前に、NULLポインタ参照の脆弱性が発見された。CVSSスコアは5.5(中程度)で、悪意のあるファイルを開くことでアプリケーションがクラッシュし、サービス拒否状態を引き起こす可能性がある。攻撃には特権は不要だが、ユーザーの操作が必要。SSVCの評価では自動化された攻撃は確認されていないものの、技術的な影響は部分的とされている。

【CVE-2024-47458】Adobe Bridge 14.1.2にNULLポインタ参照の...

Adobe Bridgeバージョン13.0.9および14.1.2以前に、NULLポインタ参照の脆弱性が発見された。CVSSスコアは5.5(中程度)で、悪意のあるファイルを開くことでアプリケーションがクラッシュし、サービス拒否状態を引き起こす可能性がある。攻撃には特権は不要だが、ユーザーの操作が必要。SSVCの評価では自動化された攻撃は確認されていないものの、技術的な影響は部分的とされている。

【CVE-2024-47455】Adobe Illustrator 28.7.1以前に脆弱性、メモリ情報漏洩のリスクが浮上

【CVE-2024-47455】Adobe Illustrator 28.7.1以前に脆弱性、...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに範囲外読み取りの脆弱性が存在することを公表した。CVE-2024-47455として識別されるこの脆弱性は、悪意のあるファイルを開くことでメモリの機密情報が漏洩し、ASLRなどの保護機能を回避される可能性がある。CVSSスコアは5.5であり、早急な対応が求められている。

【CVE-2024-47455】Adobe Illustrator 28.7.1以前に脆弱性、...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに範囲外読み取りの脆弱性が存在することを公表した。CVE-2024-47455として識別されるこの脆弱性は、悪意のあるファイルを開くことでメモリの機密情報が漏洩し、ASLRなどの保護機能を回避される可能性がある。CVSSスコアは5.5であり、早急な対応が求められている。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートからの攻撃リスクで早急な対応が必要に

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆弱性、リモートコード実行のリスクが発生

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-51581】Restaurant & Cafe Addon for Elementor 1.5.6にクロスサイトスクリプティングの脆弱性、早急なアップデートが必要に

【CVE-2024-51581】Restaurant & Cafe Addon for Ele...

WordPressのElementor用プラグインであるRestaurant & Cafe Addon for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-51581として識別され、バージョン1.5.6以前に影響を与える。CVSS 3.1で中程度の深刻度と評価されており、早急なバージョン1.5.7へのアップデートが推奨される。

【CVE-2024-51581】Restaurant & Cafe Addon for Ele...

WordPressのElementor用プラグインであるRestaurant & Cafe Addon for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-51581として識別され、バージョン1.5.6以前に影響を与える。CVSS 3.1で中程度の深刻度と評価されており、早急なバージョン1.5.7へのアップデートが推奨される。

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に修正パッチリリース予定

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に...

Netadmin Software社のNetAdmin IAM 3.5以前のバージョンにおいて、HTTP POSTリクエストハンドラーの実装に関する重大な脆弱性が発見された。この脆弱性はCVE-2024-9513として識別され、CVSS v4.0で6.3のミディアムスコアが付与されている。攻撃難易度は高いものの、リモートからの攻撃が可能であり、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に...

Netadmin Software社のNetAdmin IAM 3.5以前のバージョンにおいて、HTTP POSTリクエストハンドラーの実装に関する重大な脆弱性が発見された。この脆弱性はCVE-2024-9513として識別され、CVSS v4.0で6.3のミディアムスコアが付与されている。攻撃難易度は高いものの、リモートからの攻撃が可能であり、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-51820】L Squared Hub WP 1.0にSQLインジェクションの脆弱性が発見、高リスクで早急な対応が必要に

【CVE-2024-51820】L Squared Hub WP 1.0にSQLインジェクショ...

WordPressプラグインL Squared Hub WP 1.0以前のバージョンにSQLインジェクションの脆弱性が発見された。CVE-2024-51820として識別されたこの脆弱性は、CVSS 3.1で8.5の高いスコアを記録しており、低権限での攻撃が可能でユーザー操作も不要なため、早急な対策が求められている。現時点で自動化された攻撃は確認されていないものの、データベースへの不正アクセスや情報漏洩のリスクが指摘されている。

【CVE-2024-51820】L Squared Hub WP 1.0にSQLインジェクショ...

WordPressプラグインL Squared Hub WP 1.0以前のバージョンにSQLインジェクションの脆弱性が発見された。CVE-2024-51820として識別されたこの脆弱性は、CVSS 3.1で8.5の高いスコアを記録しており、低権限での攻撃が可能でユーザー操作も不要なため、早急な対策が求められている。現時点で自動化された攻撃は確認されていないものの、データベースへの不正アクセスや情報漏洩のリスクが指摘されている。

【CVE-2024-51609】WordPress Emoji Shortcode 1.0.0にXSS脆弱性、永続的な攻撃のリスクに警戒

【CVE-2024-51609】WordPress Emoji Shortcode 1.0.0...

Patchstack OÜが2024年11月9日、WordPress用プラグイン「Emoji Shortcode」にクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア6.5の中程度の深刻度と評価され、バージョン1.0.0以下に影響を与える。特権が必要だがユーザーの関与で攻撃が可能で、永続的なスクリプト埋め込みのリスクがある。開発元のElsner Technologies社による対応が待たれる状況だ。

【CVE-2024-51609】WordPress Emoji Shortcode 1.0.0...

Patchstack OÜが2024年11月9日、WordPress用プラグイン「Emoji Shortcode」にクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア6.5の中程度の深刻度と評価され、バージョン1.0.0以下に影響を与える。特権が必要だがユーザーの関与で攻撃が可能で、永続的なスクリプト埋め込みのリスクがある。開発元のElsner Technologies社による対応が待たれる状況だ。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確認、管理者権限の悪用リスクに対応急ぐ

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-47808】SINEC NMS V3.0 SP1未満に深刻な脆弱性、ファイルシステム権限の不適切な設定により任意のコンテンツ書き込みが可能に

【CVE-2024-47808】SINEC NMS V3.0 SP1未満に深刻な脆弱性、ファイ...

Siemens社のSINEC NMS V3.0 SP1未満のバージョンにおいて、データベース機能のファイルシステム権限が適切に制限されていない脆弱性が発見された。CVSSスコア8.4の高リスク脆弱性として評価され、認証済みの中程度の特権を持つ攻撃者がホストシステムのファイルシステム上の任意の場所に任意のコンテンツを書き込むことが可能となる。

【CVE-2024-47808】SINEC NMS V3.0 SP1未満に深刻な脆弱性、ファイ...

Siemens社のSINEC NMS V3.0 SP1未満のバージョンにおいて、データベース機能のファイルシステム権限が適切に制限されていない脆弱性が発見された。CVSSスコア8.4の高リスク脆弱性として評価され、認証済みの中程度の特権を持つ攻撃者がホストシステムのファイルシステム上の任意の場所に任意のコンテンツを書き込むことが可能となる。

【CVE-2024-51152】Laravel CMS v.1.4.7に深刻な脆弱性、リモートからの任意のコード実行が可能な状態に

【CVE-2024-51152】Laravel CMS v.1.4.7に深刻な脆弱性、リモート...

Laravel CMS v.1.4.7およびそれ以前のバージョンにおいて、shell.phpコンポーネントを介した任意のコード実行が可能な重大な脆弱性が発見された。CVSSスコア7.2(重要度:高)に分類されるこの脆弱性は、リモート攻撃者による不正アクセスのリスクをもたらす。CWE-434に分類されるこの問題は、機密性、整合性、可用性のすべてに高いレベルでの影響を及ぼす可能性がある。

【CVE-2024-51152】Laravel CMS v.1.4.7に深刻な脆弱性、リモート...

Laravel CMS v.1.4.7およびそれ以前のバージョンにおいて、shell.phpコンポーネントを介した任意のコード実行が可能な重大な脆弱性が発見された。CVSSスコア7.2(重要度:高)に分類されるこの脆弱性は、リモート攻撃者による不正アクセスのリスクをもたらす。CWE-434に分類されるこの問題は、機密性、整合性、可用性のすべてに高いレベルでの影響を及ぼす可能性がある。

【CVE-2024-51030】Cab Management System 1.0にSQLインジェクションの脆弱性、データベース情報漏洩のリスクが深刻化

【CVE-2024-51030】Cab Management System 1.0にSQLイン...

MITREはCab Management System 1.0における重大な脆弱性【CVE-2024-51030】を公開した。manage_client.phpとview_cab.phpにSQLインジェクションの脆弱性が確認され、idパラメータを介して任意のSQLコマンドが実行可能になっている。攻撃者による不正アクセスやデータベース内の機密情報漏洩が懸念され、早急な対策が求められている。

【CVE-2024-51030】Cab Management System 1.0にSQLイン...

MITREはCab Management System 1.0における重大な脆弱性【CVE-2024-51030】を公開した。manage_client.phpとview_cab.phpにSQLインジェクションの脆弱性が確認され、idパラメータを介して任意のSQLコマンドが実行可能になっている。攻撃者による不正アクセスやデータベース内の機密情報漏洩が懸念され、早急な対策が求められている。

【CVE-2024-49403】Samsung Voice Recorderにセキュリティ脆弱性、録音ファイルへの不正アクセスのリスクが判明

【CVE-2024-49403】Samsung Voice Recorderにセキュリティ脆弱...

Samsung Mobileは2024年11月6日、Samsung Voice Recorderのバージョン21.5.40.37未満に存在するセキュリティ脆弱性を公開した。CVE-2024-49403として識別されるこの脆弱性では、物理的な攻撃者がロック画面上で録音ファイルに不正アクセス可能となる。CVSSスコアは4.6(MEDIUM)を記録し、バージョン21.5.40.37で修正された。

【CVE-2024-49403】Samsung Voice Recorderにセキュリティ脆弱...

Samsung Mobileは2024年11月6日、Samsung Voice Recorderのバージョン21.5.40.37未満に存在するセキュリティ脆弱性を公開した。CVE-2024-49403として識別されるこの脆弱性では、物理的な攻撃者がロック画面上で録音ファイルに不正アクセス可能となる。CVSSスコアは4.6(MEDIUM)を記録し、バージョン21.5.40.37で修正された。

【CVE-2024-48045】Happy Elementor Addonsにアクセス制御の脆弱性が発見、バージョン3.12.4で修正完了

【CVE-2024-48045】Happy Elementor Addonsにアクセス制御の脆...

WordPressプラグインHappy Elementor Addonsにおいて、バージョン3.12.3以前に影響を与えるアクセス制御の脆弱性が発見された。CVE-2024-48045として識別されるこの脆弱性は、認可機能の欠如によるものでCVSSスコア4.3の中程度の深刻度とされている。Leevioは迅速に対応しバージョン3.12.4で修正を完了。ユーザーには早急なアップデートが推奨される。

【CVE-2024-48045】Happy Elementor Addonsにアクセス制御の脆...

WordPressプラグインHappy Elementor Addonsにおいて、バージョン3.12.3以前に影響を与えるアクセス制御の脆弱性が発見された。CVE-2024-48045として識別されるこの脆弱性は、認可機能の欠如によるものでCVSSスコア4.3の中程度の深刻度とされている。Leevioは迅速に対応しバージョン3.12.4で修正を完了。ユーザーには早急なアップデートが推奨される。

【CVE-2024-47768】Lif Authentication Serverにパスワード更新の認証バイパスの脆弱性、アカウント乗っ取りのリスクに直面

【CVE-2024-47768】Lif Authentication Serverにパスワード...

Lif Authentication Serverのアカウント復旧システムに重大な脆弱性が発見された。バージョン1.7.3未満では、メールアドレスを知っているだけでパスワードリセットが可能な状態であり、アカウント乗っ取りのリスクが存在。CVSSスコアは6.9(MEDIUM)で、攻撃条件の複雑さは低く特権も不要。バージョン1.7.3で適切な認証チェックが実装され、脆弱性は修正された。

【CVE-2024-47768】Lif Authentication Serverにパスワード...

Lif Authentication Serverのアカウント復旧システムに重大な脆弱性が発見された。バージョン1.7.3未満では、メールアドレスを知っているだけでパスワードリセットが可能な状態であり、アカウント乗っ取りのリスクが存在。CVSSスコアは6.9(MEDIUM)で、攻撃条件の複雑さは低く特権も不要。バージョン1.7.3で適切な認証チェックが実装され、脆弱性は修正された。

【CVE-2024-46948】Northern.tech Menderにアクセス制御の脆弱性、早急なアップデートが必要に

【CVE-2024-46948】Northern.tech Menderにアクセス制御の脆弱性...

Northern.tech社のMenderに重大な脆弱性【CVE-2024-46948】が発見された。この脆弱性は3.6.5未満のバージョン及び3.7.x系列の3.7.5未満のバージョンに影響を与えるアクセス制御の不備に関連するものだ。セキュリティ専門家による分析により、この脆弱性が攻撃者によって悪用される可能性が指摘されており、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-46948】Northern.tech Menderにアクセス制御の脆弱性...

Northern.tech社のMenderに重大な脆弱性【CVE-2024-46948】が発見された。この脆弱性は3.6.5未満のバージョン及び3.7.x系列の3.7.5未満のバージョンに影響を与えるアクセス制御の不備に関連するものだ。セキュリティ専門家による分析により、この脆弱性が攻撃者によって悪用される可能性が指摘されており、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-43923】WordPressプラグインTimeticsに権限関連の脆弱性、バージョン1.0.24で修正完了

【CVE-2024-43923】WordPressプラグインTimeticsに権限関連の脆弱性...

WordPressプラグインTimeticsにおいて、アクセス制御リストによる権限確認が適切に行われていない脆弱性【CVE-2024-43923】が発見された。この脆弱性はバージョン1.0.23以前に影響し、CVSS 3.1で深刻度5.3(中程度)と評価されている。Arraytics社は対策としてバージョン1.0.24を提供し、認証機能の強化により未認証ユーザーによる不正アクセスのリスクを軽減した。

【CVE-2024-43923】WordPressプラグインTimeticsに権限関連の脆弱性...

WordPressプラグインTimeticsにおいて、アクセス制御リストによる権限確認が適切に行われていない脆弱性【CVE-2024-43923】が発見された。この脆弱性はバージョン1.0.23以前に影響し、CVSS 3.1で深刻度5.3(中程度)と評価されている。Arraytics社は対策としてバージョン1.0.24を提供し、認証機能の強化により未認証ユーザーによる不正アクセスのリスクを軽減した。

【CVE-2024-43323】ReviewX 1.6.28で認可不備の脆弱性が発見、アクセス制御に問題あり

【CVE-2024-43323】ReviewX 1.6.28で認可不備の脆弱性が発見、アクセス...

WordPressプラグインReviewXにおいて、アクセス制御リスト(ACL)による機能制限が適切に機能しない脆弱性が発見された。CVE-2024-43323として識別されるこの問題は、1.6.28以前のバージョンに影響を与え、CVSS 3.1で中程度(5.3)の深刻度が評価されている。認可が適切に実装されていないため、本来アクセスできない機能への不正アクセスが可能となる可能性がある。対策として1.6.29以降へのアップデートが推奨される。

【CVE-2024-43323】ReviewX 1.6.28で認可不備の脆弱性が発見、アクセス...

WordPressプラグインReviewXにおいて、アクセス制御リスト(ACL)による機能制限が適切に機能しない脆弱性が発見された。CVE-2024-43323として識別されるこの問題は、1.6.28以前のバージョンに影響を与え、CVSS 3.1で中程度(5.3)の深刻度が評価されている。認可が適切に実装されていないため、本来アクセスできない機能への不正アクセスが可能となる可能性がある。対策として1.6.29以降へのアップデートが推奨される。

【CVE-2024-40240】HomeServe Home Repair 3.3.4に認証機能の脆弱性、物理的な近接攻撃により権限昇格の危険性

【CVE-2024-40240】HomeServe Home Repair 3.3.4に認証機...

HomeServe Home RepairのAndroidアプリバージョン3.3.4において、指紋認証機能に関する重大な脆弱性が発見された。CVE-2024-40240として識別されるこの脆弱性は、物理的に近接した攻撃者による権限昇格を可能にする。CVSSスコア6.1(MEDIUM)と評価され、機密性と完全性への高い影響が懸念される。特権レベルは不要で攻撃条件の複雑さも低いとされている。

【CVE-2024-40240】HomeServe Home Repair 3.3.4に認証機...

HomeServe Home RepairのAndroidアプリバージョン3.3.4において、指紋認証機能に関する重大な脆弱性が発見された。CVE-2024-40240として識別されるこの脆弱性は、物理的に近接した攻撃者による権限昇格を可能にする。CVSSスコア6.1(MEDIUM)と評価され、機密性と完全性への高い影響が懸念される。特権レベルは不要で攻撃条件の複雑さも低いとされている。