Tech Insights
ホロラボがソフトバンク苫小牧データセンターのPRアプリケーションを開発、Apple Visio...
ホロラボは、ソフトバンクが北海道苫小牧市に建設を進めるデータセンターのPR用アプリケーション「Spatial Presentation」の開発に協力した。Apple Vision ProとiPadに対応したアプリケーションは、2024年11月7日から8日に開催された北海道ビジネスEXPOで体験展示を実施。施設の概要や特徴を直感的に伝えることが可能になり、来場者から高い関心を集めている。
ホロラボがソフトバンク苫小牧データセンターのPRアプリケーションを開発、Apple Visio...
ホロラボは、ソフトバンクが北海道苫小牧市に建設を進めるデータセンターのPR用アプリケーション「Spatial Presentation」の開発に協力した。Apple Vision ProとiPadに対応したアプリケーションは、2024年11月7日から8日に開催された北海道ビジネスEXPOで体験展示を実施。施設の概要や特徴を直感的に伝えることが可能になり、来場者から高い関心を集めている。
MicrosoftがVSCode向けGitHub Copilot for Azureを発表、A...
MicrosoftはVSCodeの拡張機能として、GitHub Copilot for Azureのプレビュー版を2024年11月15日に公開した。この拡張機能により、開発者はIDEとAzureポータルを行き来することなくインフラストラクチャの管理やコマンドの確認が可能になる。@azureコマンドを使用したチャット形式での質問対応や、アプリケーションデプロイ時のリソースセットアップガイドなど、幅広い機能を提供している。
MicrosoftがVSCode向けGitHub Copilot for Azureを発表、A...
MicrosoftはVSCodeの拡張機能として、GitHub Copilot for Azureのプレビュー版を2024年11月15日に公開した。この拡張機能により、開発者はIDEとAzureポータルを行き来することなくインフラストラクチャの管理やコマンドの確認が可能になる。@azureコマンドを使用したチャット形式での質問対応や、アプリケーションデプロイ時のリソースセットアップガイドなど、幅広い機能を提供している。
【CVE-2024-20537】Cisco Identity Services Engineに...
Ciscoは2024年11月6日、Identity Services Engine(ISE)のWeb管理インターフェースに認証バイパスの脆弱性が存在することを公表した。この脆弱性により、読み取り専用管理者権限を持つ攻撃者が巧妙に細工されたHTTPリクエストを送信することで、本来のアクセス権限を超えた管理機能を実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3までの全バージョンとそのパッチ版となっている。
【CVE-2024-20537】Cisco Identity Services Engineに...
Ciscoは2024年11月6日、Identity Services Engine(ISE)のWeb管理インターフェースに認証バイパスの脆弱性が存在することを公表した。この脆弱性により、読み取り専用管理者権限を持つ攻撃者が巧妙に細工されたHTTPリクエストを送信することで、本来のアクセス権限を超えた管理機能を実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3までの全バージョンとそのパッチ版となっている。
【CVE-2024-9967】WordPress用プラグインWP show moreにXSS脆...
Wordfenceは2024年10月26日、WordPressプラグイン「WP show more」のバージョン1.0.7以前に存在するクロスサイトスクリプティング脆弱性を公開した。この脆弱性はContributorレベル以上のユーザーがshow_moreショートコードを介して任意のスクリプトを注入可能で、CVSS 3.1で深刻度「MEDIUM」、スコア6.4を記録している。プラグインの入力サニタイズと出力エスケープの不備が原因とされている。
【CVE-2024-9967】WordPress用プラグインWP show moreにXSS脆...
Wordfenceは2024年10月26日、WordPressプラグイン「WP show more」のバージョン1.0.7以前に存在するクロスサイトスクリプティング脆弱性を公開した。この脆弱性はContributorレベル以上のユーザーがshow_moreショートコードを介して任意のスクリプトを注入可能で、CVSS 3.1で深刻度「MEDIUM」、スコア6.4を記録している。プラグインの入力サニタイズと出力エスケープの不備が原因とされている。
【CVE-2024-9542】Sky Addons For Elementorに機密情報露出の...
WordPressプラグインのSky Addons For Elementorにおいて、バージョン2.6.1以前に深刻な脆弱性が発見された。Content Switcher Widgetのレンダリング機能に存在する脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートや下書きテンプレートにアクセス可能な状態となっている。CVSSスコア4.3のMEDIUMレベルと評価されており、早急な対応が求められる。
【CVE-2024-9542】Sky Addons For Elementorに機密情報露出の...
WordPressプラグインのSky Addons For Elementorにおいて、バージョン2.6.1以前に深刻な脆弱性が発見された。Content Switcher Widgetのレンダリング機能に存在する脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートや下書きテンプレートにアクセス可能な状態となっている。CVSSスコア4.3のMEDIUMレベルと評価されており、早急な対応が求められる。
【CVE-2024-47877】extractライブラリにパストラバーサルの脆弱性、シンボリッ...
Goのアーカイブ解凍ライブラリextractに深刻な脆弱性が発見された。不適切なパス名制限により、悪意のあるアーカイブファイルを使用して解凍対象ディレクトリ外にシンボリックリンクを作成される可能性がある。CVSSスコア6.9(MEDIUM)と評価され、バージョン4.0.0で修正済み。全てのバージョン4.0.0未満のユーザーに早急なアップデートが推奨されている。
【CVE-2024-47877】extractライブラリにパストラバーサルの脆弱性、シンボリッ...
Goのアーカイブ解凍ライブラリextractに深刻な脆弱性が発見された。不適切なパス名制限により、悪意のあるアーカイブファイルを使用して解凍対象ディレクトリ外にシンボリックリンクを作成される可能性がある。CVSSスコア6.9(MEDIUM)と評価され、バージョン4.0.0で修正済み。全てのバージョン4.0.0未満のユーザーに早急なアップデートが推奨されている。
【CVE-2024-11589】itsourcecode Tailoring Manageme...
itsourcecodeのTailoring Management System 1.0のexpcatedit.phpファイルに深刻な脆弱性が発見された。CVE-2024-11589として報告されたこの脆弱性は、SQLインジェクションによるものであり、リモートからの攻撃が可能。CVSS 4.0スコアは5.3で深刻度は「MEDIUM」と評価され、機密性、完全性、可用性への影響が指摘されている。既に公開されており、早急な対応が求められる。
【CVE-2024-11589】itsourcecode Tailoring Manageme...
itsourcecodeのTailoring Management System 1.0のexpcatedit.phpファイルに深刻な脆弱性が発見された。CVE-2024-11589として報告されたこの脆弱性は、SQLインジェクションによるものであり、リモートからの攻撃が可能。CVSS 4.0スコアは5.3で深刻度は「MEDIUM」と評価され、機密性、完全性、可用性への影響が指摘されている。既に公開されており、早急な対応が求められる。
【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...
115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。
【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...
115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。
【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、w...
オープンソースのネットワーク監視システムLibreNMSにおいて、"/wireless"および"/health"エンドポイントの"metric"パラメータにReflected XSS(反射型クロスサイトスクリプティング)の脆弱性が発見された。CVSSスコアは4.8(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。バージョン24.10.0未満が影響を受け、最新版へのアップデートが推奨される。
【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、w...
オープンソースのネットワーク監視システムLibreNMSにおいて、"/wireless"および"/health"エンドポイントの"metric"パラメータにReflected XSS(反射型クロスサイトスクリプティング)の脆弱性が発見された。CVSSスコアは4.8(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。バージョン24.10.0未満が影響を受け、最新版へのアップデートが推奨される。
【CVE-2024-28729】D-Link DWR 2000M 5G CPEに深刻な脆弱性、...
MITREが2024年11月12日に公開したD-Link DWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEの脆弱性情報によると、ローカルの攻撃者が細工されたリクエストを通じて任意のコードを実行できる問題が発見された。CVSSスコア7.8のHigh評価を受けており、早急な対策が必要とされている。
【CVE-2024-28729】D-Link DWR 2000M 5G CPEに深刻な脆弱性、...
MITREが2024年11月12日に公開したD-Link DWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEの脆弱性情報によると、ローカルの攻撃者が細工されたリクエストを通じて任意のコードを実行できる問題が発見された。CVSSスコア7.8のHigh評価を受けており、早急な対策が必要とされている。
【CVE-2024-50351】LibreNMSにReflected XSSの脆弱性が発見、バ...
オープンソースのネットワーク監視システムLibreNMSにおいて、Reflected XSSの脆弱性(CVE-2024-50351)が発見された。この脆弱性はlogsタブのsectionパラメータに存在し、report_this関数での入力値の無害化処理が不十分であることが原因。CVSSスコアは4.8(MEDIUM)と評価され、バージョン24.10.0で修正が完了している。
【CVE-2024-50351】LibreNMSにReflected XSSの脆弱性が発見、バ...
オープンソースのネットワーク監視システムLibreNMSにおいて、Reflected XSSの脆弱性(CVE-2024-50351)が発見された。この脆弱性はlogsタブのsectionパラメータに存在し、report_this関数での入力値の無害化処理が不十分であることが原因。CVSSスコアは4.8(MEDIUM)と評価され、バージョン24.10.0で修正が完了している。
【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプ...
VulDBは2024年11月20日、115cmsのバージョン20240807以前に存在するクロスサイトスクリプティングの脆弱性を公開した。/app/admin/view/web_user.htmlファイルのks引数の処理に関連する脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、既に一般に公開され悪用される可能性が指摘されている。
【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプ...
VulDBは2024年11月20日、115cmsのバージョン20240807以前に存在するクロスサイトスクリプティングの脆弱性を公開した。/app/admin/view/web_user.htmlファイルのks引数の処理に関連する脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、既に一般に公開され悪用される可能性が指摘されている。
【CVE-2024-11049】ZKTeco ZKBio Time 9.0.1に直接リクエスト...
VulDBがZKTeco ZKBio Time 9.0.1の画像ファイルハンドラーにおける直接リクエストの脆弱性を報告した。CVE-2024-11049として登録されたこの脆弱性は、CVSSスコア6.3(MEDIUM)と評価されており、リモートからの攻撃が可能だ。既にエクスプロイトが公開されているにもかかわらず、ベンダーからの対応がない状況が続いている。
【CVE-2024-11049】ZKTeco ZKBio Time 9.0.1に直接リクエスト...
VulDBがZKTeco ZKBio Time 9.0.1の画像ファイルハンドラーにおける直接リクエストの脆弱性を報告した。CVE-2024-11049として登録されたこの脆弱性は、CVSSスコア6.3(MEDIUM)と評価されており、リモートからの攻撃が可能だ。既にエクスプロイトが公開されているにもかかわらず、ベンダーからの対応がない状況が続いている。
【CVE-2024-10920】mariazevedo88のtravels-java-apiに...
mariazevedo88のtravels-java-apiにおいて、JwtAuthenticationTokenFilter.javaのdoFilterInternal関数で使用されているハードコードされた暗号化キーに関する脆弱性が発見された。この問題はバージョン5.0.0から5.0.1まで影響を与える可能性があり、CVSS 4.0では低リスクと評価されているものの、リモートからの攻撃の可能性が指摘されている。
【CVE-2024-10920】mariazevedo88のtravels-java-apiに...
mariazevedo88のtravels-java-apiにおいて、JwtAuthenticationTokenFilter.javaのdoFilterInternal関数で使用されているハードコードされた暗号化キーに関する脆弱性が発見された。この問題はバージョン5.0.0から5.0.1まで影響を与える可能性があり、CVSS 4.0では低リスクと評価されているものの、リモートからの攻撃の可能性が指摘されている。
【CVE-2024-51208】Boat Booking System 1.0にファイルアップ...
MITRE Corporationは2024年11月20日、Anuj Kumar氏が開発したBoat Booking System version 1.0のchange-image.phpにおいてファイルアップロードの脆弱性を公表した。Image Upload Mechanismのパラメータを介して悪意のあるPHPスクリプトをアップロードすることが可能となっており、システム全体のセキュリティリスクが指摘されている。脆弱性は【CVE-2024-51208】として識別され、早急な対策が求められる。
【CVE-2024-51208】Boat Booking System 1.0にファイルアップ...
MITRE Corporationは2024年11月20日、Anuj Kumar氏が開発したBoat Booking System version 1.0のchange-image.phpにおいてファイルアップロードの脆弱性を公表した。Image Upload Mechanismのパラメータを介して悪意のあるPHPスクリプトをアップロードすることが可能となっており、システム全体のセキュリティリスクが指摘されている。脆弱性は【CVE-2024-51208】として識別され、早急な対策が求められる。
【CVE-2024-7016】Smart DoctorでストアドXSS脆弱性が発見、医療システ...
TR-CERTは、Smarttek InformaticsのSmart Doctorにストアド型XSSの脆弱性(CVE-2024-7016)を発見したと報告した。CVSSスコア7.5(High)と評価され、2024年11月21日までのすべてのバージョンが影響を受けている。ベンダーへの早期連絡にも関わらず応答が得られておらず、医療システムのセキュリティリスクが懸念されている。
【CVE-2024-7016】Smart DoctorでストアドXSS脆弱性が発見、医療システ...
TR-CERTは、Smarttek InformaticsのSmart Doctorにストアド型XSSの脆弱性(CVE-2024-7016)を発見したと報告した。CVSSスコア7.5(High)と評価され、2024年11月21日までのすべてのバージョンが影響を受けている。ベンダーへの早期連絡にも関わらず応答が得られておらず、医療システムのセキュリティリスクが懸念されている。
【CVE-2024-9442】F4 Improvements 1.9.0以前のバージョンでWo...
WordPressプラグインF4 Improvementsにおいて、バージョン1.9.0以前に存在するクロスサイトスクリプティングの脆弱性が発見された。この脆弱性は【CVE-2024-9442】として識別され、SVGファイルアップロード機能を介してAuthor以上の権限を持つユーザーが攻撃可能な状態となっている。CVSS v3.1で6.4(Medium)と評価されており、早急な対応が推奨される。
【CVE-2024-9442】F4 Improvements 1.9.0以前のバージョンでWo...
WordPressプラグインF4 Improvementsにおいて、バージョン1.9.0以前に存在するクロスサイトスクリプティングの脆弱性が発見された。この脆弱性は【CVE-2024-9442】として識別され、SVGファイルアップロード機能を介してAuthor以上の権限を持つユーザーが攻撃可能な状態となっている。CVSS v3.1で6.4(Medium)と評価されており、早急な対応が推奨される。
【CVE-2024-52677】HkCms v2.3.2.240702以前のバージョンでファイ...
MITREは2024年11月20日、HkCms v2.3.2.240702以前のバージョンに存在するファイルアップロード脆弱性をCVE-2024-52677として公開した。この脆弱性は/app/common/library/Upload.phpのgetFileName関数に存在し、適切な入力検証が行われていないことが原因である。GitHubではPoCと詳細な技術情報が公開されており、早急な対応が必要とされている。
【CVE-2024-52677】HkCms v2.3.2.240702以前のバージョンでファイ...
MITREは2024年11月20日、HkCms v2.3.2.240702以前のバージョンに存在するファイルアップロード脆弱性をCVE-2024-52677として公開した。この脆弱性は/app/common/library/Upload.phpのgetFileName関数に存在し、適切な入力検証が行われていないことが原因である。GitHubではPoCと詳細な技術情報が公開されており、早急な対応が必要とされている。
【CVE-2024-52581】Litestar 2.13.0未満にDoS脆弱性、リソース消費...
GitHubは2024年11月20日、ASGIフレームワークLitestarにおいて、リソースの無制限消費を可能にする深刻な脆弱性を公開した。マルチパートフォームパーサーが要求本文全体を単一のバイト文字列として処理し、サイズ制限がないことが原因。バージョン2.13.0未満が影響を受け、CVSSスコアは8.2(HIGH)と評価されている。
【CVE-2024-52581】Litestar 2.13.0未満にDoS脆弱性、リソース消費...
GitHubは2024年11月20日、ASGIフレームワークLitestarにおいて、リソースの無制限消費を可能にする深刻な脆弱性を公開した。マルチパートフォームパーサーが要求本文全体を単一のバイト文字列として処理し、サイズ制限がないことが原因。バージョン2.13.0未満が影響を受け、CVSSスコアは8.2(HIGH)と評価されている。
【CVE-2024-28730】DLink DWR 2000M 5G CPEでXSS脆弱性を発...
DLink社のDWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEにおいて、VPN設定モジュールのファイルアップロード機能に関するXSS脆弱性が発見された。CVE-2024-28730として識別されるこの脆弱性は、CVSSスコア4.6のMEDIUMレベルと評価され、ローカル攻撃者による機密情報の取得が可能となる危険性が指摘されている。
【CVE-2024-28730】DLink DWR 2000M 5G CPEでXSS脆弱性を発...
DLink社のDWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEにおいて、VPN設定モジュールのファイルアップロード機能に関するXSS脆弱性が発見された。CVE-2024-28730として識別されるこの脆弱性は、CVSSスコア4.6のMEDIUMレベルと評価され、ローカル攻撃者による機密情報の取得が可能となる危険性が指摘されている。
【CVE-2024-11590】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。
【CVE-2024-11590】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。
【CVE-2024-9851】LSX Tour Operator 1.4.9以前のバージョンに...
WordPressプラグインのLSX Tour Operator 1.4.9以前のバージョンにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-9851として識別されるこの脆弱性は、SVGファイルのアップロードを通じて悪意のあるスクリプトを埋め込むことが可能。Author以上の権限を持つアカウントがあれば攻撃可能で、CVSSスコアは6.4のミディアムレベルとされている。
【CVE-2024-9851】LSX Tour Operator 1.4.9以前のバージョンに...
WordPressプラグインのLSX Tour Operator 1.4.9以前のバージョンにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-9851として識別されるこの脆弱性は、SVGファイルのアップロードを通じて悪意のあるスクリプトを埋め込むことが可能。Author以上の権限を持つアカウントがあれば攻撃可能で、CVSSスコアは6.4のミディアムレベルとされている。
【CVE-2024-10872】WordPressプラグインGetwid – Gutenber...
WordPressプラグインGetwid – Gutenberg Blocks 2.0.12以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。template-post-custom-fieldブロックの入力サニタイズと出力エスケープが不十分で、投稿者以上の権限を持つユーザーにより悪用される可能性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。
【CVE-2024-10872】WordPressプラグインGetwid – Gutenber...
WordPressプラグインGetwid – Gutenberg Blocks 2.0.12以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。template-post-custom-fieldブロックの入力サニタイズと出力エスケープが不十分で、投稿者以上の権限を持つユーザーにより悪用される可能性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。
【CVE-2024-10450】SourceCodester Kortex Liteに重大な脆...
VulDBは2024年10月28日、SourceCodester Kortex Lite Advocate Office Management System 1.0においてSQLインジェクションの脆弱性を発見したことを報告した。CVE-2024-10450として識別されたこの脆弱性は、edit_profile.phpのPOSTパラメータを悪用することで情報漏洩や改ざんが可能となる。CVSSスコアでは中程度の評価となっているものの、既に公開されており早急な対応が必要だ。
【CVE-2024-10450】SourceCodester Kortex Liteに重大な脆...
VulDBは2024年10月28日、SourceCodester Kortex Lite Advocate Office Management System 1.0においてSQLインジェクションの脆弱性を発見したことを報告した。CVE-2024-10450として識別されたこの脆弱性は、edit_profile.phpのPOSTパラメータを悪用することで情報漏洩や改ざんが可能となる。CVSSスコアでは中程度の評価となっているものの、既に公開されており早急な対応が必要だ。
【CVE-2024-11494】Zyxel P-6101C ADSLモデムに認証不備の脆弱性、...
Zyxel社のP-6101C ADSLモデムのファームウェアバージョンP-6101CSA6AP_20140331において、認証不備の脆弱性が発見された。CVSSスコア7.5の重要度で、未認証の攻撃者がHTTP HEADメソッドを介してデバイス情報を読み取ることが可能となる。この脆弱性はCWE-287の不適切な認証に分類され、エクスプロイトの自動化も可能とされている。
【CVE-2024-11494】Zyxel P-6101C ADSLモデムに認証不備の脆弱性、...
Zyxel社のP-6101C ADSLモデムのファームウェアバージョンP-6101CSA6AP_20140331において、認証不備の脆弱性が発見された。CVSSスコア7.5の重要度で、未認証の攻撃者がHTTP HEADメソッドを介してデバイス情報を読み取ることが可能となる。この脆弱性はCWE-287の不適切な認証に分類され、エクスプロイトの自動化も可能とされている。
【CVE-2024-11487】Code4Berry Decoration Managemen...
Code4Berry社のDecoration Management System 1.0において、Between Dates Reports機能のfromdate/todateパラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11487として識別されるこの脆弱性は、CVSS 3.1で6.3のスコアを記録。リモートからの攻撃が可能で、既に攻撃コードが公開されている状況にもかかわらず、現在も対応が行われていない状態が続いている。
【CVE-2024-11487】Code4Berry Decoration Managemen...
Code4Berry社のDecoration Management System 1.0において、Between Dates Reports機能のfromdate/todateパラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11487として識別されるこの脆弱性は、CVSS 3.1で6.3のスコアを記録。リモートからの攻撃が可能で、既に攻撃コードが公開されている状況にもかかわらず、現在も対応が行われていない状態が続いている。
【CVE-2024-11179】MStore APIプラグインでSQL injection脆弱...
WordPressプラグイン「MStore API」にSQL injectionの脆弱性が発見された。この脆弱性は【CVE-2024-11179】として識別され、バージョン4.15.7以前のすべてのバージョンに影響を及ぼす。Subscriber以上の権限を持つ認証済みユーザーにより、データベースから機密情報が抽出される可能性があり、CVSSスコア6.5(中程度)と評価されている。
【CVE-2024-11179】MStore APIプラグインでSQL injection脆弱...
WordPressプラグイン「MStore API」にSQL injectionの脆弱性が発見された。この脆弱性は【CVE-2024-11179】として識別され、バージョン4.15.7以前のすべてのバージョンに影響を及ぼす。Subscriber以上の権限を持つ認証済みユーザーにより、データベースから機密情報が抽出される可能性があり、CVSSスコア6.5(中程度)と評価されている。
【CVE-2024-11078】code-projects Job Recruitment 1...
code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。
【CVE-2024-11078】code-projects Job Recruitment 1...
code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。
【CVE-2024-11026】Freenow App 12.10.0にハードコードパスワード...
Intelligent Apps社のFreenow App 12.10.0にハードコードパスワードの脆弱性が発見された。SSL.javaファイルのKeystoreコンポーネントにおいて、DEFAULT_KEYSTORE_PASSWORDがハードコードされており、リモートからの攻撃が可能だ。CVSSスコアは6.3で、攻撃には高度な技術が必要とされるが、既に公開されており悪用のリスクが指摘されている。
【CVE-2024-11026】Freenow App 12.10.0にハードコードパスワード...
Intelligent Apps社のFreenow App 12.10.0にハードコードパスワードの脆弱性が発見された。SSL.javaファイルのKeystoreコンポーネントにおいて、DEFAULT_KEYSTORE_PASSWORDがハードコードされており、リモートからの攻撃が可能だ。CVSSスコアは6.3で、攻撃には高度な技術が必要とされるが、既に公開されており悪用のリスクが指摘されている。
【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの...
115cmsのバージョン20240807において、管理者インターフェースのset.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(5.3点)、CVSS 3.1で低(3.5点)と評価されており、typeパラメータの操作によってリモートから攻撃が可能。ベンダーへの報告に対する返答がない状態が続いており、早急な対応が必要とされている。
【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの...
115cmsのバージョン20240807において、管理者インターフェースのset.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(5.3点)、CVSS 3.1で低(3.5点)と評価されており、typeパラメータの操作によってリモートから攻撃が可能。ベンダーへの報告に対する返答がない状態が続いており、早急な対応が必要とされている。