Tech Insights

【CVE-2024-10467】Firefox製品群にメモリ安全性の脆弱性、任意のコード実行の危険性により即急な対応が必要に

【CVE-2024-10467】Firefox製品群にメモリ安全性の脆弱性、任意のコード実行の...

MozillaはFirefox 131、Firefox ESR 128.3、およびThunderbird 128.3に存在するメモリ安全性の脆弱性を公開した。CVSSスコア9.8のCriticalな脆弱性であり、攻撃者による任意のコード実行の可能性がある。Firefox 132、Firefox ESR 128.4、Thunderbird 128.4/132へのアップデートで修正され、即座の適用が推奨される。CISAは自動化された攻撃の可能性を指摘している。

【CVE-2024-10467】Firefox製品群にメモリ安全性の脆弱性、任意のコード実行の...

MozillaはFirefox 131、Firefox ESR 128.3、およびThunderbird 128.3に存在するメモリ安全性の脆弱性を公開した。CVSSスコア9.8のCriticalな脆弱性であり、攻撃者による任意のコード実行の可能性がある。Firefox 132、Firefox ESR 128.4、Thunderbird 128.4/132へのアップデートで修正され、即座の適用が推奨される。CISAは自動化された攻撃の可能性を指摘している。

【CVE-2024-10465】MozillaがFirefox 132とFirefox ESR 128.4の脆弱性を修正、なりすまし攻撃のリスクに対処

【CVE-2024-10465】MozillaがFirefox 132とFirefox ESR...

MozillaはFirefox 132未満とFirefox ESR 128.4未満のバージョンにおいて、クリップボードのペーストボタンがタブ間で残存することによるなりすまし攻撃の可能性がある脆弱性を修正した。この脆弱性はCVSS3.1のスコアが7.5と評価され、特権が不要な状態で攻撃が可能とされている。Punggawa Cybersecurityの研究者によって発見されたこの問題は、すべてのユーザーに対して最新バージョンへのアップデートが推奨されている。

【CVE-2024-10465】MozillaがFirefox 132とFirefox ESR...

MozillaはFirefox 132未満とFirefox ESR 128.4未満のバージョンにおいて、クリップボードのペーストボタンがタブ間で残存することによるなりすまし攻撃の可能性がある脆弱性を修正した。この脆弱性はCVSS3.1のスコアが7.5と評価され、特権が不要な状態で攻撃が可能とされている。Punggawa Cybersecurityの研究者によって発見されたこの問題は、すべてのユーザーに対して最新バージョンへのアップデートが推奨されている。

【CVE-2024-10464】Mozillaブラウザのhistory APIに脆弱性、DoS攻撃のリスクに対応完了

【CVE-2024-10464】Mozillaブラウザのhistory APIに脆弱性、DoS...

MozillaのFirefoxおよびThunderbirdに、history interfaceの属性に対する繰り返しの書き込みによってDoS状態を引き起こす可能性のある脆弱性が発見された。この問題に対し、Firefox 132、Firefox ESR 128.4、Thunderbird 128.4、Thunderbird 132でhistory APIにレート制限を導入することで対策を完了。CVSSスコアは7.5(High)で、攻撃の自動化が可能とされている。

【CVE-2024-10464】Mozillaブラウザのhistory APIに脆弱性、DoS...

MozillaのFirefoxおよびThunderbirdに、history interfaceの属性に対する繰り返しの書き込みによってDoS状態を引き起こす可能性のある脆弱性が発見された。この問題に対し、Firefox 132、Firefox ESR 128.4、Thunderbird 128.4、Thunderbird 132でhistory APIにレート制限を導入することで対策を完了。CVSSスコアは7.5(High)で、攻撃の自動化が可能とされている。

【CVE-2024-10463】MozillaがFirefoxなどの製品で発見された動画フレーム漏洩の脆弱性に対処、複数バージョンのアップデートを実施

【CVE-2024-10463】MozillaがFirefoxなどの製品で発見された動画フレー...

Mozillaは2024年10月29日、Firefox、Firefox ESR、Thunderbirdの複数バージョンに影響を与える重大な脆弱性【CVE-2024-10463】を公開した。この脆弱性は特定の状況下でオリジン間での動画フレーム漏洩を引き起こす可能性があり、CVSS評価で7.5(High)という高い深刻度が付与されている。CWE-203に分類されるこの問題に対し、Mozillaは迅速な対応を行い修正版をリリースした。

【CVE-2024-10463】MozillaがFirefoxなどの製品で発見された動画フレー...

Mozillaは2024年10月29日、Firefox、Firefox ESR、Thunderbirdの複数バージョンに影響を与える重大な脆弱性【CVE-2024-10463】を公開した。この脆弱性は特定の状況下でオリジン間での動画フレーム漏洩を引き起こす可能性があり、CVSS評価で7.5(High)という高い深刻度が付与されている。CWE-203に分類されるこの問題に対し、Mozillaは迅速な対応を行い修正版をリリースした。

【CVE-2024-10462】Firefox 132以前のURL表示に脆弱性、権限プロンプトの偽装が可能に

【CVE-2024-10462】Firefox 132以前のURL表示に脆弱性、権限プロンプト...

Mozillaは2024年10月29日、Firefox 132未満、Firefox ESR 128.4未満、およびThunderbird 128.4未満と132未満のバージョンに影響を与える重大な脆弱性を公開した。長いURLの切り詰め表示を悪用した権限プロンプトの偽装が可能となる脆弱性で、CVSSスコア7.5(High)と評価される。攻撃の複雑さは低く、特権は不要とされており、早急な修正パッチの適用が推奨されている。

【CVE-2024-10462】Firefox 132以前のURL表示に脆弱性、権限プロンプト...

Mozillaは2024年10月29日、Firefox 132未満、Firefox ESR 128.4未満、およびThunderbird 128.4未満と132未満のバージョンに影響を与える重大な脆弱性を公開した。長いURLの切り詰め表示を悪用した権限プロンプトの偽装が可能となる脆弱性で、CVSSスコア7.5(High)と評価される。攻撃の複雑さは低く、特権は不要とされており、早急な修正パッチの適用が推奨されている。

【CVE-2024-10310】Element Pack Elementor Addonsにクロスサイトスクリプティングの脆弱性、貢献者権限で任意のスクリプト実行が可能に

【CVE-2024-10310】Element Pack Elementor Addonsにク...

WordPressプラグインのElement Pack Elementor Addonsにおいて、バージョン5.10.1以前に深刻な脆弱性が発見された。Custom GalleryウィジェットのImage_titleパラメータで入力値の無害化処理と出力エスケープが不十分であり、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4(Medium)で、機密性と完全性に低レベルの影響が想定される。

【CVE-2024-10310】Element Pack Elementor Addonsにク...

WordPressプラグインのElement Pack Elementor Addonsにおいて、バージョン5.10.1以前に深刻な脆弱性が発見された。Custom GalleryウィジェットのImage_titleパラメータで入力値の無害化処理と出力エスケープが不十分であり、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4(Medium)で、機密性と完全性に低レベルの影響が想定される。

ソフトクリエイトがASMサービス「SCSmart ASM」を提供開始、IT資産の包括的な脅威対策を実現

ソフトクリエイトがASMサービス「SCSmart ASM」を提供開始、IT資産の包括的な脅威対...

株式会社ソフトクリエイトは2024年11月1日、サイバー攻撃対象になりうる全てのIT資産の検出と可視化、監視をサポートするASMサービス「SCSmart ASM」の提供を開始した。KELAの監視ソリューション「SLING」との連携により、シャドーITや設定ミス、漏洩した認証情報などのリスクを可視化し、包括的なセキュリティ対策を実現する。月額82,000円から利用可能で、専門家による運用代行も含まれている。

ソフトクリエイトがASMサービス「SCSmart ASM」を提供開始、IT資産の包括的な脅威対...

株式会社ソフトクリエイトは2024年11月1日、サイバー攻撃対象になりうる全てのIT資産の検出と可視化、監視をサポートするASMサービス「SCSmart ASM」の提供を開始した。KELAの監視ソリューション「SLING」との連携により、シャドーITや設定ミス、漏洩した認証情報などのリスクを可視化し、包括的なセキュリティ対策を実現する。月額82,000円から利用可能で、専門家による運用代行も含まれている。

富士ソフトがFujiFastener 2.0を販売開始、AWS・Azure・Google Cloudのマルチクラウド対応でセキュリティ強化を実現

富士ソフトがFujiFastener 2.0を販売開始、AWS・Azure・Google Cl...

富士ソフト株式会社は、AWS環境向けセキュリティサービスFujiFastenerに新機能を追加し、Microsoft AzureとGoogle Cloud環境にも対応したFujiFastener 2.0を2024年11月1日より提供開始。統合ダッシュボードとクラウドインフラストラクチャーエンタイトルメント管理機能を搭載し、24時間365日の継続的なモニタリングでクラウド環境のセキュリティを強化する。

富士ソフトがFujiFastener 2.0を販売開始、AWS・Azure・Google Cl...

富士ソフト株式会社は、AWS環境向けセキュリティサービスFujiFastenerに新機能を追加し、Microsoft AzureとGoogle Cloud環境にも対応したFujiFastener 2.0を2024年11月1日より提供開始。統合ダッシュボードとクラウドインフラストラクチャーエンタイトルメント管理機能を搭載し、24時間365日の継続的なモニタリングでクラウド環境のセキュリティを強化する。

【CVE-2024-10730】Tongda OA 11.6にSQLインジェクション脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-10730】Tongda OA 11.6にSQLインジェクション脆弱性、リ...

Tongda OAのバージョン11.6以下において、/pda/appcenter/web_show.phpファイルに関連するSQLインジェクション脆弱性が発見された。CVE-2024-10730として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃条件の複雑さも低いとされている。CVSS 4.0で5.3、CVSS 3.1および3.0で6.3と評価されており、早急な対応が必要となっている。

【CVE-2024-10730】Tongda OA 11.6にSQLインジェクション脆弱性、リ...

Tongda OAのバージョン11.6以下において、/pda/appcenter/web_show.phpファイルに関連するSQLインジェクション脆弱性が発見された。CVE-2024-10730として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃条件の複雑さも低いとされている。CVSS 4.0で5.3、CVSS 3.1および3.0で6.3と評価されており、早急な対応が必要となっている。

【CVE-2024-10731】Tongda OA 11.10にSQLインジェクションの脆弱性、遠隔からの攻撃が可能な状態に

【CVE-2024-10731】Tongda OA 11.10にSQLインジェクションの脆弱性...

Tongda OAのバージョン11.10以下に深刻な脆弱性が発見された。/pda/appcenter/check_seal.phpファイル内の不明な機能にSQLインジェクションの脆弱性が存在し、IDパラメータの操作により攻撃が可能となる。CVSS 3.1で6.3(中程度)と評価されており、ネットワークを介した攻撃が可能で、攻撃条件の複雑さは低いとされている。

【CVE-2024-10731】Tongda OA 11.10にSQLインジェクションの脆弱性...

Tongda OAのバージョン11.10以下に深刻な脆弱性が発見された。/pda/appcenter/check_seal.phpファイル内の不明な機能にSQLインジェクションの脆弱性が存在し、IDパラメータの操作により攻撃が可能となる。CVSS 3.1で6.3(中程度)と評価されており、ネットワークを介した攻撃が可能で、攻撃条件の複雑さは低いとされている。

【CVE-2024-51774】qBittorrent 5.0.1未満に証明書検証エラーの脆弱性、HTTPSセキュリティに重大な問題

【CVE-2024-51774】qBittorrent 5.0.1未満に証明書検証エラーの脆弱...

qBittorrentの5.0.1より前のバージョンで、HTTPSの証明書検証エラーが発生した後もURLの使用を継続してしまう重大な脆弱性が発見された。この問題は【CVE-2024-51774】として識別され、中間者攻撃などのセキュリティリスクを引き起こす可能性が指摘されている。開発チームは5.0.1で修正を実施し、HTTPSの安全性が向上。早急なアップデートが推奨される。

【CVE-2024-51774】qBittorrent 5.0.1未満に証明書検証エラーの脆弱...

qBittorrentの5.0.1より前のバージョンで、HTTPSの証明書検証エラーが発生した後もURLの使用を継続してしまう重大な脆弱性が発見された。この問題は【CVE-2024-51774】として識別され、中間者攻撃などのセキュリティリスクを引き起こす可能性が指摘されている。開発チームは5.0.1で修正を実施し、HTTPSの安全性が向上。早急なアップデートが推奨される。

【CVE-2024-10540】BookingPress 1.1.16にSQLインジェクションの脆弱性、Subscriber以上のユーザーによるデータベースアクセスが可能に

【CVE-2024-10540】BookingPress 1.1.16にSQLインジェクション...

WordPressプラグインのBookingPress 1.1.16以前のバージョンにおいて、SQLインジェクションの脆弱性が発見された。bookingpress_formショートコードのserviceパラメータにおける不十分なエスケープ処理により、Subscriber以上の権限を持つユーザーがデータベースから機密情報を抽出できる状態にある。CVSSスコアは5.3(MEDIUM)と評価され、早急なアップデートが推奨されている。

【CVE-2024-10540】BookingPress 1.1.16にSQLインジェクション...

WordPressプラグインのBookingPress 1.1.16以前のバージョンにおいて、SQLインジェクションの脆弱性が発見された。bookingpress_formショートコードのserviceパラメータにおける不十分なエスケープ処理により、Subscriber以上の権限を持つユーザーがデータベースから機密情報を抽出できる状態にある。CVSSスコアは5.3(MEDIUM)と評価され、早急なアップデートが推奨されている。

【CVE-2024-10602】Tongda OA 2017にSQLインジェクションの脆弱性、複数バージョンに影響

【CVE-2024-10602】Tongda OA 2017にSQLインジェクションの脆弱性、...

Tongda OA 2017のバージョン11.0から11.9において、data_picker_link.phpファイル内のdataSrc引数を操作することでSQLインジェクションが可能になる重大な脆弱性が発見された。CVSSスコアは中程度と評価されているが、攻撃コードが既に公開されており、早急な対応が必要とされている。リモートからの攻撃が可能で、認証された状態での実行により、機密性・整合性・可用性に影響を及ぼす可能性がある。

【CVE-2024-10602】Tongda OA 2017にSQLインジェクションの脆弱性、...

Tongda OA 2017のバージョン11.0から11.9において、data_picker_link.phpファイル内のdataSrc引数を操作することでSQLインジェクションが可能になる重大な脆弱性が発見された。CVSSスコアは中程度と評価されているが、攻撃コードが既に公開されており、早急な対応が必要とされている。リモートからの攻撃が可能で、認証された状態での実行により、機密性・整合性・可用性に影響を及ぼす可能性がある。

【CVE-2024-22733】TP Link MR200 V4 Firmwareにヌルポインタ参照の脆弱性、DoS攻撃のリスクが浮上

【CVE-2024-22733】TP Link MR200 V4 Firmwareにヌルポイン...

TP Link MR200 V4 Firmwareのバージョン210201において、Web管理パネルの/cgi/loginにヌルポインタ参照の脆弱性が発見された。sign、ActionまたはLoginStatusクエリパラメータを介したサービス拒否攻撃が可能となっており、未認証の攻撃者によってローカルまたはリモートから攻撃可能であることが判明。早急なセキュリティパッチの適用が推奨されている。

【CVE-2024-22733】TP Link MR200 V4 Firmwareにヌルポイン...

TP Link MR200 V4 Firmwareのバージョン210201において、Web管理パネルの/cgi/loginにヌルポインタ参照の脆弱性が発見された。sign、ActionまたはLoginStatusクエリパラメータを介したサービス拒否攻撃が可能となっており、未認証の攻撃者によってローカルまたはリモートから攻撃可能であることが判明。早急なセキュリティパッチの適用が推奨されている。

【CVE-2024-10599】Tongda OA 2017にリソース消費の脆弱性、リモートからの無認証攻撃が可能に

【CVE-2024-10599】Tongda OA 2017にリソース消費の脆弱性、リモートか...

Tongda OA 2017のバージョン11.7以前に存在するリソース消費の脆弱性【CVE-2024-10599】が発見された。package_static_resources.phpファイルの処理における実装の問題により、リモートから認証なしで攻撃が可能となっている。CVSSスコアは最大6.9(Medium)で評価され、既に攻撃コードも公開されているため、早急な対応が推奨される。

【CVE-2024-10599】Tongda OA 2017にリソース消費の脆弱性、リモートか...

Tongda OA 2017のバージョン11.7以前に存在するリソース消費の脆弱性【CVE-2024-10599】が発見された。package_static_resources.phpファイルの処理における実装の問題により、リモートから認証なしで攻撃が可能となっている。CVSSスコアは最大6.9(Medium)で評価され、既に攻撃コードも公開されているため、早急な対応が推奨される。

【CVE-2024-10559】SourceCodester Airport Booking Management System 1.0にバッファーオーバーフロー脆弱性が発見、重大な影響の可能性に警鐘

【CVE-2024-10559】SourceCodester Airport Booking ...

SourceCodesterのAirport Booking Management System 1.0において、パスポート番号処理機能にバッファーオーバーフローの脆弱性が発見された。CVE-2024-10559として識別されたこの脆弱性は、ローカルからの攻撃が可能で既に公開されている。CVSSスコアは4.8から5.3の範囲で評価されており、中程度の深刻度とされるが、攻撃コードが利用可能な状態であるため、早急な対応が求められている。

【CVE-2024-10559】SourceCodester Airport Booking ...

SourceCodesterのAirport Booking Management System 1.0において、パスポート番号処理機能にバッファーオーバーフローの脆弱性が発見された。CVE-2024-10559として識別されたこの脆弱性は、ローカルからの攻撃が可能で既に公開されている。CVSSスコアは4.8から5.3の範囲で評価されており、中程度の深刻度とされるが、攻撃コードが利用可能な状態であるため、早急な対応が求められている。

【CVE-2024-10601】Tongda OA 2017のSQL注入の脆弱性が発見、バージョン11.10までの全バージョンに影響

【CVE-2024-10601】Tongda OA 2017のSQL注入の脆弱性が発見、バージ...

Tongda OA 2017のdelete.phpファイルにおいて、SQL注入の脆弱性が発見された。この脆弱性は【CVE-2024-10601】として識別され、バージョン11.10までの全バージョンに影響を与える。where_repeat引数の操作によってSQL注入が可能となり、リモートからの攻撃が可能な状態だ。CVSSスコアはバージョン4.0で5.3(Medium)と評価されており、データベースへの不正アクセスによる情報漏洩や改ざんのリスクが存在している。

【CVE-2024-10601】Tongda OA 2017のSQL注入の脆弱性が発見、バージ...

Tongda OA 2017のdelete.phpファイルにおいて、SQL注入の脆弱性が発見された。この脆弱性は【CVE-2024-10601】として識別され、バージョン11.10までの全バージョンに影響を与える。where_repeat引数の操作によってSQL注入が可能となり、リモートからの攻撃が可能な状態だ。CVSSスコアはバージョン4.0で5.3(Medium)と評価されており、データベースへの不正アクセスによる情報漏洩や改ざんのリスクが存在している。

【CVE-2024-49663】WordPress用プラグインuCAT – Next Story 2.0.0にXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-49663】WordPress用プラグインuCAT – Next Stor...

WordPressプラグインuCAT – Next Story 2.0.0以前のバージョンにおいて、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSS 3.1で7.1(High)と評価されており、攻撃者は特別な権限を必要とせずにWebページ生成時の入力を不適切に処理する箇所を悪用することが可能。影響範囲は機密性・整合性・可用性の全てに及び、早急な対応が求められる。

【CVE-2024-49663】WordPress用プラグインuCAT – Next Stor...

WordPressプラグインuCAT – Next Story 2.0.0以前のバージョンにおいて、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSS 3.1で7.1(High)と評価されており、攻撃者は特別な権限を必要とせずにWebページ生成時の入力を不適切に処理する箇所を悪用することが可能。影響範囲は機密性・整合性・可用性の全てに及び、早急な対応が求められる。

【CVE-2024-9489】AutoCAD 2025.1でメモリ破損の脆弱性を発見、任意コード実行のリスクが浮上

【CVE-2024-9489】AutoCAD 2025.1でメモリ破損の脆弱性を発見、任意コー...

AutodeskはAutoCAD 2025.1において、DWGファイルの解析時にメモリ破損の脆弱性【CVE-2024-9489】を発見した。この脆弱性はCVSS v3.1で7.8のHIGHレベルと評価され、攻撃者が悪意のあるDWGファイルを介してシステムクラッシュや任意コード実行を引き起こす可能性がある。影響範囲は機密性、完全性、可用性のすべてにおいて高く、早急な対応が求められる。

【CVE-2024-9489】AutoCAD 2025.1でメモリ破損の脆弱性を発見、任意コー...

AutodeskはAutoCAD 2025.1において、DWGファイルの解析時にメモリ破損の脆弱性【CVE-2024-9489】を発見した。この脆弱性はCVSS v3.1で7.8のHIGHレベルと評価され、攻撃者が悪意のあるDWGファイルを介してシステムクラッシュや任意コード実行を引き起こす可能性がある。影響範囲は機密性、完全性、可用性のすべてにおいて高く、早急な対応が求められる。

【CVE-2024-8896】AutoCAD 2025.1でDXFファイル解析の脆弱性が発見、任意コード実行のリスクが浮上

【CVE-2024-8896】AutoCAD 2025.1でDXFファイル解析の脆弱性が発見、...

Autodeskは2024年10月29日、AutoCAD 2025.1のDXFファイル解析において未初期化変数へのアクセスを可能とする脆弱性を公開した。この脆弱性はCVSS v3.1で7.8(High)と評価され、悪意のあるDXFファイルによってプログラムのクラッシュや任意のコード実行が可能となる。WindowsプラットフォームのAutoCAD 2025.1に影響し、早急な対応が推奨されている。

【CVE-2024-8896】AutoCAD 2025.1でDXFファイル解析の脆弱性が発見、...

Autodeskは2024年10月29日、AutoCAD 2025.1のDXFファイル解析において未初期化変数へのアクセスを可能とする脆弱性を公開した。この脆弱性はCVSS v3.1で7.8(High)と評価され、悪意のあるDXFファイルによってプログラムのクラッシュや任意のコード実行が可能となる。WindowsプラットフォームのAutoCAD 2025.1に影響し、早急な対応が推奨されている。

【CVE-2024-9826】AutoCAD ACTranslatorsに深刻な脆弱性、3DMファイル経由で任意のコード実行が可能に

【CVE-2024-9826】AutoCAD ACTranslatorsに深刻な脆弱性、3DM...

AutodeskのAutoCAD ACTranslatorsにおいて、3DMファイルの解析時にUse-After-Free脆弱性が発見された。CVE-2024-9826として識別されるこの脆弱性は、CVSSスコア7.8の高リスクに分類され、悪意のある攻撃者が細工した3DMファイルを使用することで、プロセス内での任意のコード実行やクラッシュ、機密データの書き込みが可能となる。AutoCAD 2025.1が影響を受けることが確認されている。

【CVE-2024-9826】AutoCAD ACTranslatorsに深刻な脆弱性、3DM...

AutodeskのAutoCAD ACTranslatorsにおいて、3DMファイルの解析時にUse-After-Free脆弱性が発見された。CVE-2024-9826として識別されるこの脆弱性は、CVSSスコア7.8の高リスクに分類され、悪意のある攻撃者が細工した3DMファイルを使用することで、プロセス内での任意のコード実行やクラッシュ、機密データの書き込みが可能となる。AutoCAD 2025.1が影響を受けることが確認されている。

【CVE-2024-8599】AutoCAD 2025.1のACTranslatorsにメモリ破損の脆弱性、任意コード実行のリスクが発生

【CVE-2024-8599】AutoCAD 2025.1のACTranslatorsにメモリ...

Autodeskは2024年10月29日、AutoCAD 2025.1のACTranslators.exeにおいて深刻なメモリ破損の脆弱性が発見されたことを公開した。CVE-2024-8599として識別されるこの脆弱性は、悪意のあるSTPファイルを解析する際に発生し、攻撃者によってシステムのクラッシュやセンシティブデータの書き込み、任意のコード実行などが可能となる。CVSSスコアは7.8と高リスクに分類されている。

【CVE-2024-8599】AutoCAD 2025.1のACTranslatorsにメモリ...

Autodeskは2024年10月29日、AutoCAD 2025.1のACTranslators.exeにおいて深刻なメモリ破損の脆弱性が発見されたことを公開した。CVE-2024-8599として識別されるこの脆弱性は、悪意のあるSTPファイルを解析する際に発生し、攻撃者によってシステムのクラッシュやセンシティブデータの書き込み、任意のコード実行などが可能となる。CVSSスコアは7.8と高リスクに分類されている。

【CVE-2024-8595】AutoCAD 2025.1にUse-After-Free脆弱性、任意コード実行の危険性が明らかに

【CVE-2024-8595】AutoCAD 2025.1にUse-After-Free脆弱性...

Autodeskは2024年10月29日、AutoCAD 2025.1のlibodxdll.dllにおいてUse-After-Free脆弱性(CVE-2024-8595)を発見したことを公開した。悪意のあるMODELファイルによってシステムクラッシュや任意コード実行が可能となる深刻な脆弱性で、CVSSスコアは7.8(HIGH)と評価されている。Windows環境のAutoCAD 2025.1が影響を受けるため、早急な対応が必要だ。

【CVE-2024-8595】AutoCAD 2025.1にUse-After-Free脆弱性...

Autodeskは2024年10月29日、AutoCAD 2025.1のlibodxdll.dllにおいてUse-After-Free脆弱性(CVE-2024-8595)を発見したことを公開した。悪意のあるMODELファイルによってシステムクラッシュや任意コード実行が可能となる深刻な脆弱性で、CVSSスコアは7.8(HIGH)と評価されている。Windows環境のAutoCAD 2025.1が影響を受けるため、早急な対応が必要だ。

【CVE-2024-8589】AutoCAD 2025.1にSLDPRTファイル解析の深刻な脆弱性、情報漏洩やシステムクラッシュのリスクに

【CVE-2024-8589】AutoCAD 2025.1にSLDPRTファイル解析の深刻な脆...

AutodeskがAutoCAD 2025.1におけるSLDPRTファイル解析の重大な脆弱性を公開した。odxsw_dll.dllに存在するOut-of-Bounds Read型の脆弱性により、悪意のある攻撃者が機密情報の漏洩やシステムのクラッシュ、任意のコード実行を引き起こす可能性がある。CVSS評価は7.8(High)で、Windowsプラットフォームが影響を受ける。

【CVE-2024-8589】AutoCAD 2025.1にSLDPRTファイル解析の深刻な脆...

AutodeskがAutoCAD 2025.1におけるSLDPRTファイル解析の重大な脆弱性を公開した。odxsw_dll.dllに存在するOut-of-Bounds Read型の脆弱性により、悪意のある攻撃者が機密情報の漏洩やシステムのクラッシュ、任意のコード実行を引き起こす可能性がある。CVSS評価は7.8(High)で、Windowsプラットフォームが影響を受ける。

【CVE-2024-8588】AutoCAD 2025.1にSLDPRTファイル解析の脆弱性、範囲外読み取りによる深刻な影響の可能性

【CVE-2024-8588】AutoCAD 2025.1にSLDPRTファイル解析の脆弱性、...

AutodeskはAutoCAD 2025.1においてSLDPRTファイル解析時の範囲外読み取り脆弱性【CVE-2024-8588】を公開した。CVSSスコア7.8のHIGHレベルで、悪意のあるファイルを介してシステムクラッシュや機密データの取得、任意のコード実行が可能となる。CISAの評価ではエクスプロイト性は「none」、自動化可能性は「no」とされているが、機密性・完全性・可用性への高い影響が懸念される。

【CVE-2024-8588】AutoCAD 2025.1にSLDPRTファイル解析の脆弱性、...

AutodeskはAutoCAD 2025.1においてSLDPRTファイル解析時の範囲外読み取り脆弱性【CVE-2024-8588】を公開した。CVSSスコア7.8のHIGHレベルで、悪意のあるファイルを介してシステムクラッシュや機密データの取得、任意のコード実行が可能となる。CISAの評価ではエクスプロイト性は「none」、自動化可能性は「no」とされているが、機密性・完全性・可用性への高い影響が懸念される。

【CVE-2024-7992】AutoCADにDWGファイルの重大な脆弱性、スタックベースバッファオーバーフローによる任意コード実行のリスクが発覚

【CVE-2024-7992】AutoCADにDWGファイルの重大な脆弱性、スタックベースバッ...

Autodeskが2025年版のAutoCADおよび関連製品において、悪意のあるDWGファイルによってスタックベースのバッファオーバーフローを引き起こす重大な脆弱性を公開した。CVSSスコア7.8(High)と評価されており、攻撃者によるシステムクラッシュや機密データの読み取り、任意のコード実行などのリスクが指摘されている。セキュリティアドバイザリADSK-SA-2024-0021を通じて対策方法が提供されている。

【CVE-2024-7992】AutoCADにDWGファイルの重大な脆弱性、スタックベースバッ...

Autodeskが2025年版のAutoCADおよび関連製品において、悪意のあるDWGファイルによってスタックベースのバッファオーバーフローを引き起こす重大な脆弱性を公開した。CVSSスコア7.8(High)と評価されており、攻撃者によるシステムクラッシュや機密データの読み取り、任意のコード実行などのリスクが指摘されている。セキュリティアドバイザリADSK-SA-2024-0021を通じて対策方法が提供されている。

【CVE-2024-6673】parisneo/lollms-webuiにおけるCSRF脆弱性の発見、ComfyUIの不正インストールのリスクが浮上

【CVE-2024-6673】parisneo/lollms-webuiにおけるCSRF脆弱性...

parisneo/lollms-webuiのバージョンv9.9以降において、`lollms_comfyui.py`ファイル内の`install_comfyui`エンドポイントにCSRF脆弱性が発見された。この脆弱性により、攻撃者が被害者のデバイスに意図しないComfyUIのインストールを実行可能な状態となっており、デバイス容量不足によるシステムクラッシュのリスクが指摘されている。CVSS v3.0では4.4(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2024-6673】parisneo/lollms-webuiにおけるCSRF脆弱性...

parisneo/lollms-webuiのバージョンv9.9以降において、`lollms_comfyui.py`ファイル内の`install_comfyui`エンドポイントにCSRF脆弱性が発見された。この脆弱性により、攻撃者が被害者のデバイスに意図しないComfyUIのインストールを実行可能な状態となっており、デバイス容量不足によるシステムクラッシュのリスクが指摘されている。CVSS v3.0では4.4(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2024-51180】PHPGurukul IFSC Code Finder Project v1.0にXSS脆弱性、リモートからの任意コード実行が可能に

【CVE-2024-51180】PHPGurukul IFSC Code Finder Pro...

PHPGurukul IFSC Code Finder Project v1.0において、/ifscfinder/index.phpのsearchifsccodeパラメータにReflected XSSの脆弱性が発見された。CVSSスコア8.8のHigh評価で、リモートからの任意のコード実行を可能にする深刻な問題となっている。攻撃には特権は不要だがユーザーの関与が必要で、CWE-79に分類される入力の不適切な無害化が原因とされている。

【CVE-2024-51180】PHPGurukul IFSC Code Finder Pro...

PHPGurukul IFSC Code Finder Project v1.0において、/ifscfinder/index.phpのsearchifsccodeパラメータにReflected XSSの脆弱性が発見された。CVSSスコア8.8のHigh評価で、リモートからの任意のコード実行を可能にする深刻な問題となっている。攻撃には特権は不要だがユーザーの関与が必要で、CWE-79に分類される入力の不適切な無害化が原因とされている。

【CVE-2024-8598】AutoCAD 2025.1でメモリ破損の脆弱性が発見、早急な対応が必要な事態に

【CVE-2024-8598】AutoCAD 2025.1でメモリ破損の脆弱性が発見、早急な対...

AutodeskのAutoCAD 2025.1において、STPファイルの解析時にメモリ破損を引き起こす重大な脆弱性が発見された。【CVE-2024-8598】として識別されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、悪意のあるSTPファイルによってシステムのクラッシュや任意のコード実行が可能となる。Windows版のみが影響を受け、ユーザーの操作を必要とするものの、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-8598】AutoCAD 2025.1でメモリ破損の脆弱性が発見、早急な対...

AutodeskのAutoCAD 2025.1において、STPファイルの解析時にメモリ破損を引き起こす重大な脆弱性が発見された。【CVE-2024-8598】として識別されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、悪意のあるSTPファイルによってシステムのクラッシュや任意のコード実行が可能となる。Windows版のみが影響を受け、ユーザーの操作を必要とするものの、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-8594】AutoCAD 2025.1でMODELファイル解析の脆弱性を確認、任意コード実行のリスクに警戒

【CVE-2024-8594】AutoCAD 2025.1でMODELファイル解析の脆弱性を確...

Autodeskは2024年10月29日、AutoCAD 2025.1のMODELファイル解析における重大な脆弱性【CVE-2024-8594】を公開した。libodxdll.dllで発生するHeap-Based Bufferオーバーフロー脆弱性により、悪意のある攻撃者によるシステムクラッシュや機密データの漏洩、任意コード実行などのリスクが確認された。CVSS 3.1で深刻度7.8のハイリスクと評価されており、早急な対応が推奨される。

【CVE-2024-8594】AutoCAD 2025.1でMODELファイル解析の脆弱性を確...

Autodeskは2024年10月29日、AutoCAD 2025.1のMODELファイル解析における重大な脆弱性【CVE-2024-8594】を公開した。libodxdll.dllで発生するHeap-Based Bufferオーバーフロー脆弱性により、悪意のある攻撃者によるシステムクラッシュや機密データの漏洩、任意コード実行などのリスクが確認された。CVSS 3.1で深刻度7.8のハイリスクと評価されており、早急な対応が推奨される。