Tech Insights
【CVE-2024-49772】SuiteCRM 7.14.4にSQL injection脆弱...
SalesagilityのCRMソフトウェアSuiteCRM 7.14.4において、AM_ProjectTemplatesコントローラーにSQL injectionの脆弱性が発見された。CVSSスコア8.8(High)と評価されるこの脆弱性により、認証済みの低権限ユーザーがデータベース全体の情報を漏洩させることが可能となっている。対応バージョンとなる7.14.6および8.7.1へのアップデートが推奨される。
【CVE-2024-49772】SuiteCRM 7.14.4にSQL injection脆弱...
SalesagilityのCRMソフトウェアSuiteCRM 7.14.4において、AM_ProjectTemplatesコントローラーにSQL injectionの脆弱性が発見された。CVSSスコア8.8(High)と評価されるこの脆弱性により、認証済みの低権限ユーザーがデータベース全体の情報を漏洩させることが可能となっている。対応バージョンとなる7.14.6および8.7.1へのアップデートが推奨される。
【CVE-2024-50559】Siemens RUGGEDCOM/SCALANCEシリーズに...
SiemensのRUGGEDCOM RM1224 LTE(4G)シリーズやSCALANCEルーターシリーズにおいて、証明書のファイル名検証が適切に行われない脆弱性が発見された。CVE-2024-50559として識別されるこの脆弱性は、認証済みリモート攻撃者によるシステム整合性の侵害を可能にする。影響を受けるのは全バージョン8.2未満の製品で、CVSSスコアは4.3と中程度の深刻度に分類されている。
【CVE-2024-50559】Siemens RUGGEDCOM/SCALANCEシリーズに...
SiemensのRUGGEDCOM RM1224 LTE(4G)シリーズやSCALANCEルーターシリーズにおいて、証明書のファイル名検証が適切に行われない脆弱性が発見された。CVE-2024-50559として識別されるこの脆弱性は、認証済みリモート攻撃者によるシステム整合性の侵害を可能にする。影響を受けるのは全バージョン8.2未満の製品で、CVSSスコアは4.3と中程度の深刻度に分類されている。
【CVE-2024-50353】ICG.AspNetCore.Utilities.CloudS...
IowaComputerGurus社のクラウドストレージユーティリティライブラリICG.AspNetCore.Utilities.CloudStorageにおいて、SAS Uriの期間設定に関する脆弱性が発見された。CVE-2024-50353として識別されるこの問題は、1時間以外の期間設定時に意図しない有効期限が設定される可能性があり、CVSSスコア5.3の中程度の深刻度と評価されている。バージョン8.0.0で修正済みだ。
【CVE-2024-50353】ICG.AspNetCore.Utilities.CloudS...
IowaComputerGurus社のクラウドストレージユーティリティライブラリICG.AspNetCore.Utilities.CloudStorageにおいて、SAS Uriの期間設定に関する脆弱性が発見された。CVE-2024-50353として識別されるこの問題は、1時間以外の期間設定時に意図しない有効期限が設定される可能性があり、CVSSスコア5.3の中程度の深刻度と評価されている。バージョン8.0.0で修正済みだ。
【CVE-2024-43341】WordPress用Hello Agencyテーマ1.0.5に...
WordPressテーマHello Agency 1.0.5以前のバージョンにおいて、アクセス制御機能に重大な脆弱性が発見された。CVE-2024-43341として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度だが、攻撃の実行が容易で特権も不要とされている。Patchstack Allianceによって発見され、バージョン1.0.6で修正された本脆弱性は、適切なアクセス制御リストによる制約が不十分であることに起因している。
【CVE-2024-43341】WordPress用Hello Agencyテーマ1.0.5に...
WordPressテーマHello Agency 1.0.5以前のバージョンにおいて、アクセス制御機能に重大な脆弱性が発見された。CVE-2024-43341として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度だが、攻撃の実行が容易で特権も不要とされている。Patchstack Allianceによって発見され、バージョン1.0.6で修正された本脆弱性は、適切なアクセス制御リストによる制約が不十分であることに起因している。
【CVE-2024-6444】ZephyrプロジェクトがBluetooth OTSの脆弱性を公...
ZephyrプロジェクトはBluetooth OTSクライアントにおけるバッファ長チェックの欠陥を【CVE-2024-6444】として公開した。CVSS基本値6.3の中程度の深刻度で、Zephyr 3.6以前のすべてのバージョンに影響する。olcp_ind_handler関数におけるユーザー入力の検証が不適切であり、早急なアップデートが推奨されている。
【CVE-2024-6444】ZephyrプロジェクトがBluetooth OTSの脆弱性を公...
ZephyrプロジェクトはBluetooth OTSクライアントにおけるバッファ長チェックの欠陥を【CVE-2024-6444】として公開した。CVSS基本値6.3の中程度の深刻度で、Zephyr 3.6以前のすべてのバージョンに影響する。olcp_ind_handler関数におけるユーザー入力の検証が不適切であり、早急なアップデートが推奨されている。
マイクロンが業界最速のPCIe Gen5対応60TB SSD ION 6550を発表、データセ...
マイクロンは2024年11月12日、業界初のPCIe Gen5対応E3.S 60TBデータセンター向けSSD「Micron 6550 ION NVMe SSD」を発表した。最大14GB/sの転送速度と20%の省電力性を実現し、AIワークロードに最適化された設計を採用。競合製品と比較して1ワットあたりのシーケンシャル読み取りが179%高速化され、NVIDIA GPUDirect Storageでは147%の性能向上を達成している。
マイクロンが業界最速のPCIe Gen5対応60TB SSD ION 6550を発表、データセ...
マイクロンは2024年11月12日、業界初のPCIe Gen5対応E3.S 60TBデータセンター向けSSD「Micron 6550 ION NVMe SSD」を発表した。最大14GB/sの転送速度と20%の省電力性を実現し、AIワークロードに最適化された設計を採用。競合製品と比較して1ワットあたりのシーケンシャル読み取りが179%高速化され、NVIDIA GPUDirect Storageでは147%の性能向上を達成している。
【CVE-2024-49406】Samsung MobileのBlockchain Keyst...
Samsung MobileはBlockchain Keystoreのバージョン1.3.16未満に存在する整合性チェック値の検証における脆弱性を公開した。CVE-2024-49406として識別されるこの脆弱性は、Root権限を持つローカル攻撃者によってトランザクションの改ざんが可能となる。CVSSスコアは6.7(Medium)で、攻撃条件の複雑さは低いものの高い特権レベルが必要とされている。
【CVE-2024-49406】Samsung MobileのBlockchain Keyst...
Samsung MobileはBlockchain Keystoreのバージョン1.3.16未満に存在する整合性チェック値の検証における脆弱性を公開した。CVE-2024-49406として識別されるこの脆弱性は、Root権限を持つローカル攻撃者によってトランザクションの改ざんが可能となる。CVSSスコアは6.7(Medium)で、攻撃条件の複雑さは低いものの高い特権レベルが必要とされている。
【CVE-2024-43355】WordPressプラグインJoomSport 5.3.0にア...
WordPressプラグインJoomSport 5.3.0以下にアクセス制御の脆弱性が発見され、CVE-2024-43355として公開された。CVSS3.1で4.3のスコアを記録し、攻撃の難易度は低いものの特権レベルが必要とされる中程度の深刻度となっている。この問題はCWE-862として分類され、バージョン5.5.7で修正されることが確認されている。
【CVE-2024-43355】WordPressプラグインJoomSport 5.3.0にア...
WordPressプラグインJoomSport 5.3.0以下にアクセス制御の脆弱性が発見され、CVE-2024-43355として公開された。CVSS3.1で4.3のスコアを記録し、攻撃の難易度は低いものの特権レベルが必要とされる中程度の深刻度となっている。この問題はCWE-862として分類され、バージョン5.5.7で修正されることが確認されている。
【CVE-2024-47439】Substance3D Painter 10.1.0以前にNU...
Adobeが3Dペイントツール「Substance3D Painter」の10.1.0以前のバージョンにNULL Pointer Dereference脆弱性が存在することを公開した。この脆弱性は悪意のあるファイルを開くことでアプリケーションがクラッシュし、サービス拒否状態に陥る可能性がある。CVSSスコアは5.5(MEDIUM)で、攻撃の複雑さは低いものの、ユーザーの操作が必要となる。
【CVE-2024-47439】Substance3D Painter 10.1.0以前にNU...
Adobeが3Dペイントツール「Substance3D Painter」の10.1.0以前のバージョンにNULL Pointer Dereference脆弱性が存在することを公開した。この脆弱性は悪意のあるファイルを開くことでアプリケーションがクラッシュし、サービス拒否状態に陥る可能性がある。CVSSスコアは5.5(MEDIUM)で、攻撃の複雑さは低いものの、ユーザーの操作が必要となる。
【CVE-2024-10998】1000 Projects Bookstore Managem...
1000 ProjectsのBookstore Management System 1.0において、管理者用ファイルprocess_category_add.phpに重大な脆弱性が発見された。CVE-2024-10998として識別されるこの脆弱性は、cat引数に対するSQLインジェクションが可能で、CVSSスコア7.3のHigh評価となっている。認証なしでリモートからの攻撃が可能な状態であり、既に攻撃コードが公開されているため、早急な対応が求められる。
【CVE-2024-10998】1000 Projects Bookstore Managem...
1000 ProjectsのBookstore Management System 1.0において、管理者用ファイルprocess_category_add.phpに重大な脆弱性が発見された。CVE-2024-10998として識別されるこの脆弱性は、cat引数に対するSQLインジェクションが可能で、CVSSスコア7.3のHigh評価となっている。認証なしでリモートからの攻撃が可能な状態であり、既に攻撃コードが公開されているため、早急な対応が求められる。
【CVE-2024-10187】myCred 2.7.4にXSS脆弱性が発見、Contribu...
WordPressプラグインのmyCred 2.7.4以前のバージョンに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-10187】として識別され、mycred_linkショートコードにおける入力値の検証と出力のエスケープが不十分であることが原因。CVSSスコアは6.4(MEDIUM)で、Contributor以上の権限を持つユーザーが悪用可能な状態となっている。
【CVE-2024-10187】myCred 2.7.4にXSS脆弱性が発見、Contribu...
WordPressプラグインのmyCred 2.7.4以前のバージョンに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-10187】として識別され、mycred_linkショートコードにおける入力値の検証と出力のエスケープが不十分であることが原因。CVSSスコアは6.4(MEDIUM)で、Contributor以上の権限を持つユーザーが悪用可能な状態となっている。
【CVE-2024-49404】Samsung Video Playerに不適切なアクセス制御...
Samsungは2024年11月6日、Samsung Video Playerの一部バージョンにおける不適切なアクセス制御の脆弱性を公開した。Android 12では7.3.29.1より前のバージョン、Android 13では7.3.36.1より前のバージョン、Android 14では7.3.41.230より前のバージョンが影響を受け、物理的な攻撃者による他ユーザーの動画ファイルへのアクセスが可能となる。CVSSスコアは5.5(Medium)と評価されている。
【CVE-2024-49404】Samsung Video Playerに不適切なアクセス制御...
Samsungは2024年11月6日、Samsung Video Playerの一部バージョンにおける不適切なアクセス制御の脆弱性を公開した。Android 12では7.3.29.1より前のバージョン、Android 13では7.3.36.1より前のバージョン、Android 14では7.3.41.230より前のバージョンが影響を受け、物理的な攻撃者による他ユーザーの動画ファイルへのアクセスが可能となる。CVSSスコアは5.5(Medium)と評価されている。
【CVE-2024-47529】OpenC3 COSMOSにパスワードの平文保存の脆弱性が発見...
OpenC3 COSMOSにおいて、ユーザーパスワードがWebブラウザのLocalStorageに暗号化されずに保存される脆弱性が発見された。この脆弱性はCVE-2024-47529として識別され、CVSS評価は4.8(MEDIUM)となっている。クロスサイトスクリプティング攻撃によるパスワード漏洩のリスクがあったが、バージョン5.19.0で修正が完了。Enterprise Editionは影響を受けないことも確認された。
【CVE-2024-47529】OpenC3 COSMOSにパスワードの平文保存の脆弱性が発見...
OpenC3 COSMOSにおいて、ユーザーパスワードがWebブラウザのLocalStorageに暗号化されずに保存される脆弱性が発見された。この脆弱性はCVE-2024-47529として識別され、CVSS評価は4.8(MEDIUM)となっている。クロスサイトスクリプティング攻撃によるパスワード漏洩のリスクがあったが、バージョン5.19.0で修正が完了。Enterprise Editionは影響を受けないことも確認された。
【CVE-2024-45764】Dell Enterprise SONiC OSの認証バイパス...
Dell EMCは2024年11月8日、Dell Enterprise SONiC OSのバージョン4.1.x、4.2.xに存在する重大な認証バイパスの脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として評価され、リモートからの不正アクセスが可能となる問題が指摘されている。Dell EMCはバージョン4.1.6および4.2.2以降へのアップグレードを提供しており、早急な対応が推奨される。
【CVE-2024-45764】Dell Enterprise SONiC OSの認証バイパス...
Dell EMCは2024年11月8日、Dell Enterprise SONiC OSのバージョン4.1.x、4.2.xに存在する重大な認証バイパスの脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として評価され、リモートからの不正アクセスが可能となる問題が指摘されている。Dell EMCはバージョン4.1.6および4.2.2以降へのアップグレードを提供しており、早急な対応が推奨される。
【CVE-2024-43925】WordPress用プラグインEnvira Gallery L...
Patchstack OÜはWordPressプラグインEnvira Gallery Liteのバージョン1.8.14以前に認証の欠如による脆弱性が存在することを公開した。CVSSスコアは4.3で中程度の深刻度とされている。この脆弱性はアクセス制御の設定が適切に構成されていないことに起因しており、攻撃者が不正なアクセス権限を取得する可能性がある。Envira Gallery Teamはバージョン1.8.15でパッチを適用し、認証機能の強化を実施している。
【CVE-2024-43925】WordPress用プラグインEnvira Gallery L...
Patchstack OÜはWordPressプラグインEnvira Gallery Liteのバージョン1.8.14以前に認証の欠如による脆弱性が存在することを公開した。CVSSスコアは4.3で中程度の深刻度とされている。この脆弱性はアクセス制御の設定が適切に構成されていないことに起因しており、攻撃者が不正なアクセス権限を取得する可能性がある。Envira Gallery Teamはバージョン1.8.15でパッチを適用し、認証機能の強化を実施している。
【CVE-2024-40239】Life: Personal Diary, Journal 1...
Androidアプリケーション「Life: Personal Diary, Journal 17.5.0」において、指紋認証機能のアクセス制御に不備が発見された。CVSSスコア6.1のMedium評価で、物理的に近接する攻撃者による権限昇格が可能となる脆弱性が確認されている。機密性と完全性への高い影響が指摘され、個人のプライバシー情報を扱うアプリケーションとして早急な対応が必要とされている。
【CVE-2024-40239】Life: Personal Diary, Journal 1...
Androidアプリケーション「Life: Personal Diary, Journal 17.5.0」において、指紋認証機能のアクセス制御に不備が発見された。CVSSスコア6.1のMedium評価で、物理的に近接する攻撃者による権限昇格が可能となる脆弱性が確認されている。機密性と完全性への高い影響が指摘され、個人のプライバシー情報を扱うアプリケーションとして早急な対応が必要とされている。
【CVE-2024-34682】Samsung MobileのSettingsにおける認証不備...
Samsung Mobileは、同社のモバイル端末のSettingsにおいて認証に関する脆弱性を発見し公開した。この脆弱性はSMR Nov-2024 Release 1以前のバージョンに影響を及ぼし、メンテナンスモードにおいて物理的なアクセスを持つ攻撃者がWiFiパスワードを参照できる問題が確認されている。CVSSスコアは2.4(Low)と評価され、Android 14向けにSMR Nov-2024 Releaseで修正された。
【CVE-2024-34682】Samsung MobileのSettingsにおける認証不備...
Samsung Mobileは、同社のモバイル端末のSettingsにおいて認証に関する脆弱性を発見し公開した。この脆弱性はSMR Nov-2024 Release 1以前のバージョンに影響を及ぼし、メンテナンスモードにおいて物理的なアクセスを持つ攻撃者がWiFiパスワードを参照できる問題が確認されている。CVSSスコアは2.4(Low)と評価され、Android 14向けにSMR Nov-2024 Releaseで修正された。
【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...
オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。
【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...
オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。
【CVE-2024-6442】Zephyr OS 3.6のBluetoothスタックに脆弱性、...
Zephyr Projectは2024年10月4日、Zephyr OSのBluetoothスタックにバッファオーバーフロー脆弱性が存在することを公開した。CVE-2024-6442として識別されるこの脆弱性は、ASCSのレスポンスバッファの未チェックにより発生し、CVSSスコア6.3の中程度の深刻度と評価されている。影響を受けるのはZephyr 3.6までのすべてのバージョンで、システムの機密性、整合性、可用性に影響を与える可能性がある。
【CVE-2024-6442】Zephyr OS 3.6のBluetoothスタックに脆弱性、...
Zephyr Projectは2024年10月4日、Zephyr OSのBluetoothスタックにバッファオーバーフロー脆弱性が存在することを公開した。CVE-2024-6442として識別されるこの脆弱性は、ASCSのレスポンスバッファの未チェックにより発生し、CVSSスコア6.3の中程度の深刻度と評価されている。影響を受けるのはZephyr 3.6までのすべてのバージョンで、システムの機密性、整合性、可用性に影響を与える可能性がある。
【CVE-2024-49864】Linuxカーネルrxrpcにレース条件の脆弱性、I/Oスレッ...
Linuxカーネルのrxrpcコンポーネントにおいて、ソケットのセットアップとI/Oスレッド生成の間にレース条件が発生する脆弱性が発見された。この問題により、UDPパケット処理時にシステムがクラッシュする可能性がある。Linux 6.2から6.6.54までの広範なバージョンが影響を受けており、早急なアップデートが推奨されている。暫定対策としてパケット破棄による対応が実装された。
【CVE-2024-49864】Linuxカーネルrxrpcにレース条件の脆弱性、I/Oスレッ...
Linuxカーネルのrxrpcコンポーネントにおいて、ソケットのセットアップとI/Oスレッド生成の間にレース条件が発生する脆弱性が発見された。この問題により、UDPパケット処理時にシステムがクラッシュする可能性がある。Linux 6.2から6.6.54までの広範なバージョンが影響を受けており、早急なアップデートが推奨されている。暫定対策としてパケット破棄による対応が実装された。
【CVE-2024-51580】Clever Addons for Elementor 2.2...
WordPressのページビルダーElementor向けプラグイン「Clever Addons for Elementor」のバージョン2.2.1以前に、格納型XSS脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価され、攻撃者が特権レベルを必要とするものの利用者の関与を必要とする特徴がある。機密性・完全性・可用性のすべてにおいて低レベルの影響が想定されている。
【CVE-2024-51580】Clever Addons for Elementor 2.2...
WordPressのページビルダーElementor向けプラグイン「Clever Addons for Elementor」のバージョン2.2.1以前に、格納型XSS脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価され、攻撃者が特権レベルを必要とするものの利用者の関与を必要とする特徴がある。機密性・完全性・可用性のすべてにおいて低レベルの影響が想定されている。
【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...
SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。
【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...
SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。
【CVE-2024-49407】Samsung Flow 4.9.15.7未満に不適切なアクセ...
Samsung Mobileは、Samsung Flow 4.9.15.7未満のバージョンにおいて不適切なアクセス制御の脆弱性【CVE-2024-49407】を公開した。この脆弱性により物理的な攻撃者が複数のユーザープロファイル間のデータにアクセスできる状態となっており、CVSSスコアは4.6(Medium)と評価されている。CISAは本脆弱性の攻撃には物理的なアクセスが必要で、攻撃の自動化は不可能と判断。Samsung Flow 4.9.15.7へのアップデートが推奨される。
【CVE-2024-49407】Samsung Flow 4.9.15.7未満に不適切なアクセ...
Samsung Mobileは、Samsung Flow 4.9.15.7未満のバージョンにおいて不適切なアクセス制御の脆弱性【CVE-2024-49407】を公開した。この脆弱性により物理的な攻撃者が複数のユーザープロファイル間のデータにアクセスできる状態となっており、CVSSスコアは4.6(Medium)と評価されている。CISAは本脆弱性の攻撃には物理的なアクセスが必要で、攻撃の自動化は不可能と判断。Samsung Flow 4.9.15.7へのアップデートが推奨される。
【CVE-2024-49405】Samsung Pass認証脆弱性の修正、バージョン4.4.0...
Samsung MobileはSamsung Passの重要な脆弱性【CVE-2024-49405】を公開した。バージョン4.4.04.7未満に存在するPrivate Info認証処理の脆弱性により、物理的な攻撃者による機密情報へのアクセスが可能となる。CVSSスコア5.3の中程度の深刻度と評価され、攻撃条件の複雑さは低いものの物理的アクセスが必要。Samsung Passユーザーは最新バージョンへのアップデートが推奨される。
【CVE-2024-49405】Samsung Pass認証脆弱性の修正、バージョン4.4.0...
Samsung MobileはSamsung Passの重要な脆弱性【CVE-2024-49405】を公開した。バージョン4.4.04.7未満に存在するPrivate Info認証処理の脆弱性により、物理的な攻撃者による機密情報へのアクセスが可能となる。CVSSスコア5.3の中程度の深刻度と評価され、攻撃条件の複雑さは低いものの物理的アクセスが必要。Samsung Passユーザーは最新バージョンへのアップデートが推奨される。
【CVE-2024-48044】ShortPixel Image Optimizer 5.6....
WordPressプラグインのShortPixel Image Optimizerにアクセス制御の脆弱性が発見された。バージョン5.6.3以前が影響を受け、認証済みユーザーによる権限昇格の可能性がある。CVSSスコアは5.4でミディアムレベルの深刻度とされ、Patchstack OÜのRafie Muhammadによって発見された。バージョン5.6.4で修正済みのため、早急なアップデートが推奨される。
【CVE-2024-48044】ShortPixel Image Optimizer 5.6....
WordPressプラグインのShortPixel Image Optimizerにアクセス制御の脆弱性が発見された。バージョン5.6.3以前が影響を受け、認証済みユーザーによる権限昇格の可能性がある。CVSSスコアは5.4でミディアムレベルの深刻度とされ、Patchstack OÜのRafie Muhammadによって発見された。バージョン5.6.4で修正済みのため、早急なアップデートが推奨される。
【CVE-2024-43932】The Plus Addons For Elementor 5...
WordPressプラグインThe Plus Addons For Elementor Page Builder Liteにおいて、認可機能の欠落による重大な脆弱性が発見された。CVE-2024-43932として識別されたこの問題は、バージョン5.6.2までのすべてのバージョンに影響を与える。CVSSスコア6.5を記録しており、攻撃の複雑さは低いものの特権が必要とされる。開発元のPOSIMYTHは直ちにバージョン5.6.3をリリースし、脆弱性を修正している。
【CVE-2024-43932】The Plus Addons For Elementor 5...
WordPressプラグインThe Plus Addons For Elementor Page Builder Liteにおいて、認可機能の欠落による重大な脆弱性が発見された。CVE-2024-43932として識別されたこの問題は、バージョン5.6.2までのすべてのバージョンに影響を与える。CVSSスコア6.5を記録しており、攻撃の複雑さは低いものの特権が必要とされる。開発元のPOSIMYTHは直ちにバージョン5.6.3をリリースし、脆弱性を修正している。
【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可...
WordPressプラグインのPhoto Engineにおいて、認可機能に関する重大な脆弱性が発見された。CVSSスコア4.3(MEDIUM)に分類されるこの脆弱性は、アクセス制御の設定が不適切に構成されており、認可されていないユーザーによる不正アクセスが可能となる可能性がある。開発元のJordy Meowはバージョン6.4.1で修正プログラムを提供している。
【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可...
WordPressプラグインのPhoto Engineにおいて、認可機能に関する重大な脆弱性が発見された。CVSSスコア4.3(MEDIUM)に分類されるこの脆弱性は、アクセス制御の設定が不適切に構成されており、認可されていないユーザーによる不正アクセスが可能となる可能性がある。開発元のJordy Meowはバージョン6.4.1で修正プログラムを提供している。
【CVE-2024-43310】WordPress用Print Barcode Labelsプ...
UkrSolutionは、WordPress用プラグインPrint Barcode Labels for WooCommerceにアクセス制御の欠陥が存在することを2024年11月1日に公開した。バージョン3.4.9以前に存在する認可の欠如による脆弱性は、CVSSスコア6.5を記録。早急なバージョン3.4.10へのアップデートが推奨される。攻撃者がネットワーク経由でアクセス制御を迂回し、機密情報の漏洩につながる可能性がある。
【CVE-2024-43310】WordPress用Print Barcode Labelsプ...
UkrSolutionは、WordPress用プラグインPrint Barcode Labels for WooCommerceにアクセス制御の欠陥が存在することを2024年11月1日に公開した。バージョン3.4.9以前に存在する認可の欠如による脆弱性は、CVSSスコア6.5を記録。早急なバージョン3.4.10へのアップデートが推奨される。攻撃者がネットワーク経由でアクセス制御を迂回し、機密情報の漏洩につながる可能性がある。
【CVE-2024-43296】WordPress HTML5 Video Player 2....
bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度(4.3)の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。
【CVE-2024-43296】WordPress HTML5 Video Player 2....
bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度(4.3)の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。
【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...
Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。
【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...
Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。