Tech Insights
【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開...
Jenkins ProjectがJenkins 2.478以前のバージョンにおける重大な脆弱性を公開した。CLIやREST APIを通じてアクセス制御をバイパスし、制限されたアイテムタイプの作成が可能になる問題が発見された。Item/Configure権限を持つ攻撃者が非承認のアイテムを作成できる状態であり、Jenkins 2.462.3およびJenkins 2.479以降で修正された。
【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開...
Jenkins ProjectがJenkins 2.478以前のバージョンにおける重大な脆弱性を公開した。CLIやREST APIを通じてアクセス制御をバイパスし、制限されたアイテムタイプの作成が可能になる問題が発見された。Item/Configure権限を持つ攻撃者が非承認のアイテムを作成できる状態であり、Jenkins 2.462.3およびJenkins 2.479以降で修正された。
【CVE-2024-45765】Dell Enterprise SONiC OSにコマンドイン...
DellのEnterprise SONiC OSバージョン4.1.xおよび4.2.xにおいて、重大なコマンドインジェクションの脆弱性が発見された。CVSSスコア9.1のクリティカルな脆弱性で、高い権限を持つ攻撃者がリモートアクセスにより本来の権限以上のOSコマンドを実行できる可能性がある。早急なアップグレード対応が推奨されている。
【CVE-2024-45765】Dell Enterprise SONiC OSにコマンドイン...
DellのEnterprise SONiC OSバージョン4.1.xおよび4.2.xにおいて、重大なコマンドインジェクションの脆弱性が発見された。CVSSスコア9.1のクリティカルな脆弱性で、高い権限を持つ攻撃者がリモートアクセスにより本来の権限以上のOSコマンドを実行できる可能性がある。早急なアップグレード対応が推奨されている。
【CVE-2024-43312】WPC Frequently Bought Together ...
WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4(Medium)と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。
【CVE-2024-43312】WPC Frequently Bought Together ...
WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4(Medium)と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。
【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...
WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。
【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...
WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。
【CVE-2024-50572】Siemensの産業用ネットワーク機器に深刻な脆弱性、管理者権...
SiemensのRUGGEDCOM RM1224やSCALANCEシリーズなど、複数の産業用ネットワーク機器においてV8.2未満のバージョンに影響する脆弱性が発見された。CVE-2024-50572として識別されたこの脆弱性は、認証済み管理者権限を持つリモート攻撃者によるコード実行やシステムルートシェルの取得を可能にする可能性がある。CVSS v3.1で7.2、v4.0で8.6のスコアが付与された。
【CVE-2024-50572】Siemensの産業用ネットワーク機器に深刻な脆弱性、管理者権...
SiemensのRUGGEDCOM RM1224やSCALANCEシリーズなど、複数の産業用ネットワーク機器においてV8.2未満のバージョンに影響する脆弱性が発見された。CVE-2024-50572として識別されたこの脆弱性は、認証済み管理者権限を持つリモート攻撃者によるコード実行やシステムルートシェルの取得を可能にする可能性がある。CVSS v3.1で7.2、v4.0で8.6のスコアが付与された。
【CVE-2024-50560】SiemensのネットワークデバイスにSSHユーザー名切り捨て...
Siemens社がRUGGEDCOM RM1224シリーズやSCALANCEシリーズなど複数のネットワークデバイスにおいて、SSHやTelnet接続時に15文字を超えるユーザー名が切り捨てられる脆弱性を公開した。CVSSスコアは3.1で低リスクと評価されているが、システムの完全性を損なう可能性があり、バージョン8.2未満の製品すべてに影響を与えることが判明している。
【CVE-2024-50560】SiemensのネットワークデバイスにSSHユーザー名切り捨て...
Siemens社がRUGGEDCOM RM1224シリーズやSCALANCEシリーズなど複数のネットワークデバイスにおいて、SSHやTelnet接続時に15文字を超えるユーザー名が切り捨てられる脆弱性を公開した。CVSSスコアは3.1で低リスクと評価されているが、システムの完全性を損なう可能性があり、バージョン8.2未満の製品すべてに影響を与えることが判明している。
ジョルダンが乗換案内アプリでLUUPの複合経路検索サービスを開始、マイクロモビリティとの連携で...
ジョルダンは乗換案内アプリにおいて、複合経路検索の移動手段として初めて電動マイクロモビリティのシェアサービス「LUUP」を導入する。全国1万カ所以上のポートを展開するLUUPとの連携により、公共交通機関とシェアモビリティを組み合わせた新しい移動手段の選択が可能になる。トータル・マルチモーダル検索対応により、都市部での移動や観光地での回遊性向上が期待される。
ジョルダンが乗換案内アプリでLUUPの複合経路検索サービスを開始、マイクロモビリティとの連携で...
ジョルダンは乗換案内アプリにおいて、複合経路検索の移動手段として初めて電動マイクロモビリティのシェアサービス「LUUP」を導入する。全国1万カ所以上のポートを展開するLUUPとの連携により、公共交通機関とシェアモビリティを組み合わせた新しい移動手段の選択が可能になる。トータル・マルチモーダル検索対応により、都市部での移動や観光地での回遊性向上が期待される。
【CVE-2024-50104】Linux kernelのsdm845 soundcardで重...
Linux kernelの開発チームは、sdm845 soundcardにおけるSoundwire runtime stream割り当ての重大な脆弱性を発見した。Qualcomm RB3ボードで特に影響が大きく、音声再生時にNULLポインターデリファレンスによるシステムクラッシュを引き起こす可能性がある。この問題は早急な対応が必要とされ、開発者らはパッチの適用を推奨している。
【CVE-2024-50104】Linux kernelのsdm845 soundcardで重...
Linux kernelの開発チームは、sdm845 soundcardにおけるSoundwire runtime stream割り当ての重大な脆弱性を発見した。Qualcomm RB3ボードで特に影響が大きく、音声再生時にNULLポインターデリファレンスによるシステムクラッシュを引き起こす可能性がある。この問題は早急な対応が必要とされ、開発者らはパッチの適用を推奨している。
【CVE-2024-50102】LinuxカーネルがAMD Zen 5での投機的実行の脆弱性に...
Linuxカーネルの開発チームが、AMD Zen 5アーキテクチャにおける投機的実行の脆弱性【CVE-2024-50102】に対する修正パッチを公開。STAC/CLAC命令のリネーミング最適化による新たなセキュリティリスクに対応し、非正規アドレスアクセスによるデータ漏洩の防止を図る。この修正はバージョン6.4以降のカーネルに適用され、重要なセキュリティアップデートとして注目を集めている。
【CVE-2024-50102】LinuxカーネルがAMD Zen 5での投機的実行の脆弱性に...
Linuxカーネルの開発チームが、AMD Zen 5アーキテクチャにおける投機的実行の脆弱性【CVE-2024-50102】に対する修正パッチを公開。STAC/CLAC命令のリネーミング最適化による新たなセキュリティリスクに対応し、非正規アドレスアクセスによるデータ漏洩の防止を図る。この修正はバージョン6.4以降のカーネルに適用され、重要なセキュリティアップデートとして注目を集めている。
【CVE-2024-47435】Adobe Substance3D - Painterにメモリ...
Adobe Substance3D - Painter 10.1.0以前のバージョンにメモリ読み取りの脆弱性が発見された。CVE-2024-47435として識別されるこの脆弱性は、攻撃者がASLRなどの保護機能を回避できる可能性がある。攻撃には悪意のあるファイルを開く必要があるものの、CVSS基本値5.5の中程度の深刻度と評価されており、早急な対応が求められている。
【CVE-2024-47435】Adobe Substance3D - Painterにメモリ...
Adobe Substance3D - Painter 10.1.0以前のバージョンにメモリ読み取りの脆弱性が発見された。CVE-2024-47435として識別されるこの脆弱性は、攻撃者がASLRなどの保護機能を回避できる可能性がある。攻撃には悪意のあるファイルを開く必要があるものの、CVSS基本値5.5の中程度の深刻度と評価されており、早急な対応が求められている。
【CVE-2024-43293】WordPressプラグインRecipe Card Block...
WPZOOMが開発するWordPressプラグインRecipe Card Blocks for Gutenberg & Elementorにおいて、3.3.1以前のバージョンで認証に関する脆弱性が発見された。この脆弱性はCVE-2024-43293として識別され、CVSSスコア4.3(MEDIUM)が付与されている。アクセス制御の設定不備により、権限のないユーザーによるリソースへのアクセスが可能となる可能性がある。
【CVE-2024-43293】WordPressプラグインRecipe Card Block...
WPZOOMが開発するWordPressプラグインRecipe Card Blocks for Gutenberg & Elementorにおいて、3.3.1以前のバージョンで認証に関する脆弱性が発見された。この脆弱性はCVE-2024-43293として識別され、CVSSスコア4.3(MEDIUM)が付与されている。アクセス制御の設定不備により、権限のないユーザーによるリソースへのアクセスが可能となる可能性がある。
【CVE-2024-32870】iTop Hub Connectorに情報漏洩の脆弱性、複数バ...
CombodoのITサービス管理ツールiTopにおいて重要な情報漏洩の脆弱性が発見された。この脆弱性により、iTopのURIにアクセス可能な誰もがサーバー情報やOS情報、DBMS情報などの機密情報を読み取ることが可能となっている。CVSSスコア5.8と評価され、バージョン2.7.11、3.0.5、3.1.2、3.2.0でパッチが適用された。
【CVE-2024-32870】iTop Hub Connectorに情報漏洩の脆弱性、複数バ...
CombodoのITサービス管理ツールiTopにおいて重要な情報漏洩の脆弱性が発見された。この脆弱性により、iTopのURIにアクセス可能な誰もがサーバー情報やOS情報、DBMS情報などの機密情報を読み取ることが可能となっている。CVSSスコア5.8と評価され、バージョン2.7.11、3.0.5、3.1.2、3.2.0でパッチが適用された。
【CVE-2024-31151】LevelOne WBR-6012に重大な認証バイパスの脆弱性...
Talosは2024年10月30日、LevelOne WBR-6012のWebサービスに認証情報が固定化される重大な脆弱性を公開した。CVE-2024-31151として報告されたこの脆弱性では、デバイス起動後30秒間で未認証アクセスが可能となり、強制再起動と組み合わせることで継続的な不正アクセスが実行可能。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。
【CVE-2024-31151】LevelOne WBR-6012に重大な認証バイパスの脆弱性...
Talosは2024年10月30日、LevelOne WBR-6012のWebサービスに認証情報が固定化される重大な脆弱性を公開した。CVE-2024-31151として報告されたこの脆弱性では、デバイス起動後30秒間で未認証アクセスが可能となり、強制再起動と組み合わせることで継続的な不正アクセスが実行可能。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。
【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算...
Cisco Talosの研究者によってLevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性が発見された。CVE-2024-28052として識別されるこの脆弱性は、CVSSスコア5.3のMEDIUMレベルで、特別な権限なしで攻撃が可能。影響を受けるバージョンはR0.40e6で、家庭や小規模オフィスのネットワークセキュリティに重大な影響を及ぼす可能性がある。
【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算...
Cisco Talosの研究者によってLevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性が発見された。CVE-2024-28052として識別されるこの脆弱性は、CVSSスコア5.3のMEDIUMレベルで、特別な権限なしで攻撃が可能。影響を受けるバージョンはR0.40e6で、家庭や小規模オフィスのネットワークセキュリティに重大な影響を及ぼす可能性がある。
【CVE-2024-24409】ManageEngine ADManager Plus 720...
ManageEngineはADManager Plusにおいて、特権昇格の脆弱性【CVE-2024-24409】を公開した。この脆弱性はModify Computers機能に存在し、バージョン7203以前のすべてのバージョンが影響を受ける。CVSS基本値8.8の高リスクとして評価されており、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低く、早急な対応が求められている。
【CVE-2024-24409】ManageEngine ADManager Plus 720...
ManageEngineはADManager Plusにおいて、特権昇格の脆弱性【CVE-2024-24409】を公開した。この脆弱性はModify Computers機能に存在し、バージョン7203以前のすべてのバージョンが影響を受ける。CVSS基本値8.8の高リスクとして評価されており、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低く、早急な対応が求められている。
【CVE-2024-50558】SiemensのSCALANCEとRUGGEDCOM V8.2...
SiemensのSCALANCEとRUGGEDCOMシリーズのV8.2未満のバージョンに、読み取り専用ユーザーのアクセス制御における脆弱性が発見された。CVE-2024-50558として識別されたこの問題により、攻撃者による一時的なサービス拒否状態が引き起こされる可能性がある。CVSS v3.1で4.3、CVSS v4.0で5.3のスコアが付けられ、ネットワークからのアクセスが可能な中程度の深刻度と評価されている。
【CVE-2024-50558】SiemensのSCALANCEとRUGGEDCOM V8.2...
SiemensのSCALANCEとRUGGEDCOMシリーズのV8.2未満のバージョンに、読み取り専用ユーザーのアクセス制御における脆弱性が発見された。CVE-2024-50558として識別されたこの問題により、攻撃者による一時的なサービス拒否状態が引き起こされる可能性がある。CVSS v3.1で4.3、CVSS v4.0で5.3のスコアが付けられ、ネットワークからのアクセスが可能な中程度の深刻度と評価されている。
【CVE-2024-48039】CubeWP All-in-One Dynamic Conte...
WordPressプラグインのCubeWP All-in-One Dynamic Content Framework 1.1.15以前のバージョンにおいて、アクセス制御の設定が不適切な脆弱性が発見された。CVSSスコア4.3を記録し、攻撃の複雑さは低いと評価されている。特権レベルは必要だが利用者の関与は不要で、整合性への影響が懸念される。1.1.16以降のバージョンで修正済み。
【CVE-2024-48039】CubeWP All-in-One Dynamic Conte...
WordPressプラグインのCubeWP All-in-One Dynamic Content Framework 1.1.15以前のバージョンにおいて、アクセス制御の設定が不適切な脆弱性が発見された。CVSSスコア4.3を記録し、攻撃の複雑さは低いと評価されている。特権レベルは必要だが利用者の関与は不要で、整合性への影響が懸念される。1.1.16以降のバージョンで修正済み。
【CVE-2024-51032】Toll Tax Management System 1.0に...
MITREは2024年11月8日、Sourcecodester Toll Tax Management System 1.0において、Cross-site Scripting(XSS)の脆弱性【CVE-2024-51032】を公開した。manage_recipient.phpファイルのownerフィールドを通じて認証済みユーザーが任意のWebスクリプトを注入できる問題が発見されており、早急な対策が必要とされている。
【CVE-2024-51032】Toll Tax Management System 1.0に...
MITREは2024年11月8日、Sourcecodester Toll Tax Management System 1.0において、Cross-site Scripting(XSS)の脆弱性【CVE-2024-51032】を公開した。manage_recipient.phpファイルのownerフィールドを通じて認証済みユーザーが任意のWebスクリプトを注入できる問題が発見されており、早急な対策が必要とされている。
【CVE-2024-50491】WordPress RSVP MEプラグインにSQLインジェク...
Patchstack OÜはWordPress用プラグインRSVP MEにSQLインジェクションの脆弱性が存在することを公開した。CVE-2024-50491として識別されるこの脆弱性は、バージョン1.9.9以下に影響を及ぼし、CVSSスコア9.3の深刻度となっている。攻撃者は特権不要でネットワーク経由での攻撃が可能であり、システムへの影響も広範囲に及ぶ可能性がある。
【CVE-2024-50491】WordPress RSVP MEプラグインにSQLインジェク...
Patchstack OÜはWordPress用プラグインRSVP MEにSQLインジェクションの脆弱性が存在することを公開した。CVE-2024-50491として識別されるこの脆弱性は、バージョン1.9.9以下に影響を及ぼし、CVSSスコア9.3の深刻度となっている。攻撃者は特権不要でネットワーク経由での攻撃が可能であり、システムへの影響も広範囲に及ぶ可能性がある。
【CVE-2024-50243】Linuxカーネルのntfs3ファイルシステムに重大な脆弱性、...
Linuxカーネルの開発チームがntfs3ファイルシステムにおける重要な脆弱性の修正パッチを公開した。CVE-2024-50243として識別されるこの脆弱性は、ntfs_create_inode()関数における非常駐属性の削除処理に関連する一般保護違反の問題を引き起こす。影響を受けるバージョンは6.6.60以前、6.11.7以前、6.12-rc3以前で、修正パッチの適用によりファイルシステムの安定性と信頼性が向上する。
【CVE-2024-50243】Linuxカーネルのntfs3ファイルシステムに重大な脆弱性、...
Linuxカーネルの開発チームがntfs3ファイルシステムにおける重要な脆弱性の修正パッチを公開した。CVE-2024-50243として識別されるこの脆弱性は、ntfs_create_inode()関数における非常駐属性の削除処理に関連する一般保護違反の問題を引き起こす。影響を受けるバージョンは6.6.60以前、6.11.7以前、6.12-rc3以前で、修正パッチの適用によりファイルシステムの安定性と信頼性が向上する。
【CVE-2024-9440】Slim Select 2.0-2.9.0にXSS脆弱性が発見、...
Slim Select 2.0から2.9.0のバージョンにおいて、クロスサイトスクリプティング脆弱性が発見された。createOption関数内でユーザー入力値が適切にサニタイズされずにHTMLに出力される問題が確認されており、攻撃者によって任意のJavaScriptコードが実行される可能性がある。CVSSスコアは5.4で深刻度はミディアムに分類され、現時点で修正パッチは提供されていない。
【CVE-2024-9440】Slim Select 2.0-2.9.0にXSS脆弱性が発見、...
Slim Select 2.0から2.9.0のバージョンにおいて、クロスサイトスクリプティング脆弱性が発見された。createOption関数内でユーザー入力値が適切にサニタイズされずにHTMLに出力される問題が確認されており、攻撃者によって任意のJavaScriptコードが実行される可能性がある。CVSSスコアは5.4で深刻度はミディアムに分類され、現時点で修正パッチは提供されていない。
【CVE-2024-50230】Linuxカーネルのnilfs2ファイルシステムに脆弱性、読み...
kernel.orgは2024年11月9日、Linuxカーネルのnilfs2ファイルシステムにおける重要な脆弱性【CVE-2024-50230】を公開した。この問題は、ファイルシステムの破損検出後にディレクトリ操作を行う際、ブロック書き込み準備段階でfolio/pageサイズを超えるアクセスによりカーネルバグが発生するというものだ。原因はcheckedフラグのクリア漏れにあり、早急な対応が必要とされている。
【CVE-2024-50230】Linuxカーネルのnilfs2ファイルシステムに脆弱性、読み...
kernel.orgは2024年11月9日、Linuxカーネルのnilfs2ファイルシステムにおける重要な脆弱性【CVE-2024-50230】を公開した。この問題は、ファイルシステムの破損検出後にディレクトリ操作を行う際、ブロック書き込み準備段階でfolio/pageサイズを超えるアクセスによりカーネルバグが発生するというものだ。原因はcheckedフラグのクリア漏れにあり、早急な対応が必要とされている。
【CVE-2024-10997】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のbook_list.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10997として識別されるこの脆弱性は、idパラメータの不適切な処理に起因しており、CVSSスコアは5.3-6.5と中程度の深刻度と評価されている。既に公開されており早急な対応が必要とされる状況だ。攻撃者はリモートから低い特権レベルで攻撃を実行できる可能性がある。
【CVE-2024-10997】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のbook_list.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10997として識別されるこの脆弱性は、idパラメータの不適切な処理に起因しており、CVSSスコアは5.3-6.5と中程度の深刻度と評価されている。既に公開されており早急な対応が必要とされる状況だ。攻撃者はリモートから低い特権レベルで攻撃を実行できる可能性がある。
【CVE-2024-10988】E-Health Care System 1.0にSQLインジ...
code-projects E-Health Care System 1.0のdoctor_login.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10988として識別されるこの脆弱性は、emailパラメータの操作によってデータベースへの不正アクセスが可能となり、CVSSスコア最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、早急な対策が求められている。
【CVE-2024-10988】E-Health Care System 1.0にSQLインジ...
code-projects E-Health Care System 1.0のdoctor_login.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10988として識別されるこの脆弱性は、emailパラメータの操作によってデータベースへの不正アクセスが可能となり、CVSSスコア最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、早急な対策が求められている。
【CVE-2024-50122】LinuxカーネルのPCIデバイス追加時の競合問題が修正、シス...
Linuxカーネルにおいて、PCIデバイスの電源制御コードとホストコントローラのプローブ機能間で競合が発生し、デバイス削除時にシステムがクラッシュする問題が確認された。この問題は【CVE-2024-50122】として特定され、リスキャンロックの適切な保持による対策が実装された。特にPCIデバイスの電源管理機能を使用するシステムでの安定性向上が期待される。
【CVE-2024-50122】LinuxカーネルのPCIデバイス追加時の競合問題が修正、シス...
Linuxカーネルにおいて、PCIデバイスの電源制御コードとホストコントローラのプローブ機能間で競合が発生し、デバイス削除時にシステムがクラッシュする問題が確認された。この問題は【CVE-2024-50122】として特定され、リスキャンロックの適切な保持による対策が実装された。特にPCIデバイスの電源管理機能を使用するシステムでの安定性向上が期待される。
【CVE-2024-10999】CodeAstro Real Estate Managemen...
CodeAstro Real Estate Management System 1.0のAbout Us Page内のaboutadd.phpファイルに制限のないアップロードの脆弱性が発見された。CVSSスコアは4.0で5.1を記録し、リモートからの攻撃が可能であることから早急な対応が必要とされている。既に攻撃手法が公開されており、不動産管理システムという性質上、情報漏洩のリスクが高く注意が必要だ。
【CVE-2024-10999】CodeAstro Real Estate Managemen...
CodeAstro Real Estate Management System 1.0のAbout Us Page内のaboutadd.phpファイルに制限のないアップロードの脆弱性が発見された。CVSSスコアは4.0で5.1を記録し、リモートからの攻撃が可能であることから早急な対応が必要とされている。既に攻撃手法が公開されており、不動産管理システムという性質上、情報漏洩のリスクが高く注意が必要だ。
【CVE-2024-10989】code-projects E-Health Care Sys...
code-projects E-Health Care System 1.0のAdmin/detail.phpファイルにおいて、s_idパラメータに対するSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-10989】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されており、医療データの漏洩リスクが指摘されている。
【CVE-2024-10989】code-projects E-Health Care Sys...
code-projects E-Health Care System 1.0のAdmin/detail.phpファイルにおいて、s_idパラメータに対するSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-10989】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されており、医療データの漏洩リスクが指摘されている。
【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、...
WordPressプラグインのEasy SVG Supportにおいて、バージョン3.7以前に深刻な脆弱性が発見された。CVSSスコア6.4のこの脆弱性は、REST APIを介したSVGファイルアップロードにおける不適切な入力サニタイズとアウトプットエスケープが原因で発生している。認証済みの攻撃者がAuthor以上の権限を持っている場合に悪用が可能となっている。
【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、...
WordPressプラグインのEasy SVG Supportにおいて、バージョン3.7以前に深刻な脆弱性が発見された。CVSSスコア6.4のこの脆弱性は、REST APIを介したSVGファイルアップロードにおける不適切な入力サニタイズとアウトプットエスケープが原因で発生している。認証済みの攻撃者がAuthor以上の権限を持っている場合に悪用が可能となっている。
【CVE-2024-50154】Linuxカーネルのtcp/dccp処理に重大な脆弱性、タイマ...
Linuxカーネルのtcp/dccp処理における重要な脆弱性【CVE-2024-50154】が公開された。reqsk_queue_unlink()内のtimer_pending()使用に起因する問題で、BPFプログラムがtrace_tcp_retransmit_synackにアタッチされた際にuse-after-freeが発生。タイマー処理の異常により複数のSYN+ACKが送信され続ける事態が確認されており、早急な対応が必要となっている。
【CVE-2024-50154】Linuxカーネルのtcp/dccp処理に重大な脆弱性、タイマ...
Linuxカーネルのtcp/dccp処理における重要な脆弱性【CVE-2024-50154】が公開された。reqsk_queue_unlink()内のtimer_pending()使用に起因する問題で、BPFプログラムがtrace_tcp_retransmit_synackにアタッチされた際にuse-after-freeが発生。タイマー処理の異常により複数のSYN+ACKが送信され続ける事態が確認されており、早急な対応が必要となっている。
【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの...
kernel.orgは、Linuxカーネル2.6.30から6.12-rc2に存在するSCTPの重要な脆弱性を修正した。この脆弱性は、sctp_listen_start関数内でautobindが失敗した際の状態遷移の問題に起因しており、特定条件下でシステムクラッシュを引き起こす可能性がある。Linux 4.19.323以降の各安定版で修正が提供され、セキュリティが強化された。
【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの...
kernel.orgは、Linuxカーネル2.6.30から6.12-rc2に存在するSCTPの重要な脆弱性を修正した。この脆弱性は、sctp_listen_start関数内でautobindが失敗した際の状態遷移の問題に起因しており、特定条件下でシステムクラッシュを引き起こす可能性がある。Linux 4.19.323以降の各安定版で修正が提供され、セキュリティが強化された。