Tech Insights

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正済み

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11にクロスサイトスクリプティングの脆弱性、情報漏洩のリスクに警戒

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52424】WordPress用Wp-Login Customizerプラグインに深刻な脆弱性、早急なアップデートが必要に

【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...

Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。

【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...

Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。

【CVE-2024-52419】WordPress Copy Anything to Clipboard 4.0.3にXSS脆弱性、ユーザーセッションへの影響に注意

【CVE-2024-52419】WordPress Copy Anything to Clip...

WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。

【CVE-2024-52419】WordPress Copy Anything to Clip...

WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24.10.0で修正完了

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事投稿機能での悪意あるコード実行が可能に

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...

MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting(XSS)の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)で、CWE-79に分類される深刻な問題となっている。

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...

MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting(XSS)の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)で、CWE-79に分類される深刻な問題となっている。

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能の不正利用が可能に

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...

MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...

MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXSS攻撃が可能に

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なSQL Injection脆弱性が発見、早急な対応が必要な状況に

【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...

ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。

【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...

ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りのリスクで緊急アップデートが必要に

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-11258】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性、管理者ページが攻撃の対象に

【CVE-2024-11258】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-11258】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-11247】SourceCodester Online Eyewear Shop 1.0にXSS脆弱性が発見、リモート攻撃のリスクが拡大

【CVE-2024-11247】SourceCodester Online Eyewear S...

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-11247】SourceCodester Online Eyewear S...

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサイトスクリプティングの脆弱性、早急な対策が必要な状況に

【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...

IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。

【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...

IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5.2.1にXSS脆弱性、認証不要の攻撃が可能に

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にSQLインジェクション脆弱性が発見、データベースへの不正アクセスのリスクが浮上

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...

Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...

Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。

【CVE-2024-52434】WordPressのPopup by Supsysticプラグインにコマンドインジェクションの脆弱性、深刻度は9.1のCritical評価

【CVE-2024-52434】WordPressのPopup by Supsysticプラグ...

WordPressプラグイン「Popup by Supsystic」のバージョン1.10.29以前に、テンプレートエンジンの特殊要素による不適切な中和化の脆弱性が発見された。CVSSスコア9.1のCritical評価で、攻撃の複雑さが低く、ユーザーの操作を必要としないため、早急な対応が求められている。この脆弱性は【CVE-2024-52434】として識別され、Patchstack社のセキュリティ研究者によって報告された。

【CVE-2024-52434】WordPressのPopup by Supsysticプラグ...

WordPressプラグイン「Popup by Supsystic」のバージョン1.10.29以前に、テンプレートエンジンの特殊要素による不適切な中和化の脆弱性が発見された。CVSSスコア9.1のCritical評価で、攻撃の複雑さが低く、ユーザーの操作を必要としないため、早急な対応が求められている。この脆弱性は【CVE-2024-52434】として識別され、Patchstack社のセキュリティ研究者によって報告された。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆弱性、深刻度は中程度でCVSS値6.5を記録

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正完了へ

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port Settings画面での不正なJavaScript実行が可能に

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権限で悪用可能な状態に

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...

WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...

WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。

【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意のファイル読み取りが可能に

【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意...

TRCoreのDVCバージョン6.0から6.3において、パストラバーサル脆弱性が発見された。この脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを読み取ることが可能となる。CVSSスコアは7.5と高く、TWCERTは攻撃の自動化も可能であると報告している。早急な対策が必要とされる事態となっている。

【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意...

TRCoreのDVCバージョン6.0から6.3において、パストラバーサル脆弱性が発見された。この脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを読み取ることが可能となる。CVSSスコアは7.5と高く、TWCERTは攻撃の自動化も可能であると報告している。早急な対策が必要とされる事態となっている。

【CVE-2024-11256】Portfolio Management System MCA 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが深刻化

【CVE-2024-11256】Portfolio Management System MCA...

1000 Projects社のPortfolio Management System MCA 1.0において、login.phpファイルに重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3(HIGH)を記録し、リモートからの攻撃が可能な状態。特権やユーザーの介入も不要で、機密性・整合性・可用性のすべてに影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-11256】Portfolio Management System MCA...

1000 Projects社のPortfolio Management System MCA 1.0において、login.phpファイルに重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3(HIGH)を記録し、リモートからの攻撃が可能な状態。特権やユーザーの介入も不要で、機密性・整合性・可用性のすべてに影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサイトスクリプティングの脆弱性、複数のパラメータで攻撃の可能性

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のadicionar-cliente.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。nome、cpf、dataNascimentoなどの引数操作によって攻撃が可能で、CVSS v4.0でMedium(5.3点)と評価されている。CWE-79とCWE-94に分類されるこの脆弱性は、既に公開されており早急な対策が必要となっている。

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のadicionar-cliente.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。nome、cpf、dataNascimentoなどの引数操作によって攻撃が可能で、CVSS v4.0でMedium(5.3点)と評価されている。CWE-79とCWE-94に分類されるこの脆弱性は、既に公開されており早急な対策が必要となっている。

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、クロスサイトスクリプティング攻撃のリスクが判明

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...

WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...

WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バージョン10.0.17で対策完了

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...

資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...

資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。

【CVE-2024-11312】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性、未認証での任意コード実行が可能に

【CVE-2024-11312】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TRCore社のDVC製品バージョン6.0から6.3において、パストラバーサルによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のCriticalに分類されるこの脆弱性では、未認証のリモート攻撃者がWebシェルをアップロードすることで任意のコード実行が可能となる。TWCERTが公開した情報によると、技術的影響が全体に及び、攻撃の自動化も可能とされている。

【CVE-2024-11312】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TRCore社のDVC製品バージョン6.0から6.3において、パストラバーサルによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のCriticalに分類されるこの脆弱性では、未認証のリモート攻撃者がWebシェルをアップロードすることで任意のコード実行が可能となる。TWCERTが公開した情報によると、技術的影響が全体に及び、攻撃の自動化も可能とされている。

【CVE-2024-20525】Cisco Identity Services EngineにXSS脆弱性、未認証の遠隔攻撃者による攻撃のリスクが発生

【CVE-2024-20525】Cisco Identity Services Engineに...

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1(ミディアム)と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-20525】Cisco Identity Services Engineに...

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1(ミディアム)と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見、ユーザー情報漏洩のリスクが浮上

【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見...

WordPressプラグイン「WP Githuber MD」のバージョン1.16.3以前にStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、特権アカウントとユーザーの操作を必要とするものの攻撃の複雑さは低く、ユーザーの機密情報漏洩やセッション乗っ取りなどのリスクが指摘されている。早急なアップデートによる対策が推奨される。

【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見...

WordPressプラグイン「WP Githuber MD」のバージョン1.16.3以前にStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、特権アカウントとユーザーの操作を必要とするものの攻撃の複雑さは低く、ユーザーの機密情報漏洩やセッション乗っ取りなどのリスクが指摘されている。早急なアップデートによる対策が推奨される。

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユーザーによる不正コード実行の可能性

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユ...

オープンソースのネットワーク監視システムLibreNMSにおいて、認証済みユーザーが悪用可能なXSS脆弱性が発見された。bill_nameパラメータを介して任意のJavaScriptコードを注入できる問題で、CVSSスコアは4.8(MEDIUM)と評価。攻撃の複雑さは低いものの特権レベルが高く必要で、ユーザーの操作も必要。バージョン24.10.0で修正済みのため、影響を受けるバージョンを使用している組織は速やかなアップデートが推奨される。

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユ...

オープンソースのネットワーク監視システムLibreNMSにおいて、認証済みユーザーが悪用可能なXSS脆弱性が発見された。bill_nameパラメータを介して任意のJavaScriptコードを注入できる問題で、CVSSスコアは4.8(MEDIUM)と評価。攻撃の複雑さは低いものの特権レベルが高く必要で、ユーザーの操作も必要。バージョン24.10.0で修正済みのため、影響を受けるバージョンを使用している組織は速やかなアップデートが推奨される。

HOT TOPICS