Tech Insights
【CVE-2024-9846】Enable Shortcodesプラグインに認証不要な任意コー...
WordPressプラグインEnable Shortcodes inside Widgets,Comments and Expertsのバージョン1.0.0以前において、認証不要で任意のショートコードを実行可能な脆弱性が発見された。CVSSスコア7.3のハイリスク脆弱性として報告されており、攻撃の複雑性は低く特権も不要とされている。機密性と整合性、可用性のすべてに影響があるため、早急な対応が必要だ。
【CVE-2024-9846】Enable Shortcodesプラグインに認証不要な任意コー...
WordPressプラグインEnable Shortcodes inside Widgets,Comments and Expertsのバージョン1.0.0以前において、認証不要で任意のショートコードを実行可能な脆弱性が発見された。CVSSスコア7.3のハイリスク脆弱性として報告されており、攻撃の複雑性は低く特権も不要とされている。機密性と整合性、可用性のすべてに影響があるため、早急な対応が必要だ。
【CVE-2024-9689】WordPressプラグインPost From Frontend...
WordPressプラグインPost From Frontend 1.0.0以前にCSRF脆弱性が発見され、CVE-2024-9689として報告された。WPScanによって発見されたこの脆弱性は、投稿削除機能にCSRFチェックが実装されていないことが原因で、管理者権限を持つユーザーが意図せず投稿を削除してしまう可能性がある。CVSSスコアは4.8でMedium(中程度)の深刻度に分類されている。
【CVE-2024-9689】WordPressプラグインPost From Frontend...
WordPressプラグインPost From Frontend 1.0.0以前にCSRF脆弱性が発見され、CVE-2024-9689として報告された。WPScanによって発見されたこの脆弱性は、投稿削除機能にCSRFチェックが実装されていないことが原因で、管理者権限を持つユーザーが意図せず投稿を削除してしまう可能性がある。CVSSスコアは4.8でMedium(中程度)の深刻度に分類されている。
【CVE-2024-9686】Order Notification for Telegram ...
WordPressプラグインのOrder Notification for Telegramにおいて、バージョン1.0.1以前に重大な認証機能の不備が発見された。CVE-2024-9686として識別されたこの脆弱性により、未認証の攻撃者がTelegram Bot APIを介してテストメッセージを送信可能な状態となっている。CVSSスコアは5.3で中程度の深刻度とされ、早急な対応が推奨される。
【CVE-2024-9686】Order Notification for Telegram ...
WordPressプラグインのOrder Notification for Telegramにおいて、バージョン1.0.1以前に重大な認証機能の不備が発見された。CVE-2024-9686として識別されたこの脆弱性により、未認証の攻撃者がTelegram Bot APIを介してテストメッセージを送信可能な状態となっている。CVSSスコアは5.3で中程度の深刻度とされ、早急な対応が推奨される。
【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...
WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。
【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...
WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。
【CVE-2024-9459】ManageEngine Exchange Reporter P...
ManageEngine Exchange Reporter Plusのバージョン5718以前に、認証済みSQL Injectionの脆弱性が発見された。CVSSスコア8.3の高リスク脆弱性として報告されており、攻撃の難易度は低く評価されている。機密性と完全性への高い影響が指摘されており、早急なバージョン5719へのアップデートが推奨される。レポートモジュールを介した攻撃により、データベースの改ざんや情報漏洩のリスクがある。
【CVE-2024-9459】ManageEngine Exchange Reporter P...
ManageEngine Exchange Reporter Plusのバージョン5718以前に、認証済みSQL Injectionの脆弱性が発見された。CVSSスコア8.3の高リスク脆弱性として報告されており、攻撃の難易度は低く評価されている。機密性と完全性への高い影響が指摘されており、早急なバージョン5719へのアップデートが推奨される。レポートモジュールを介した攻撃により、データベースの改ざんや情報漏洩のリスクがある。
【CVE-2024-9109】WooCommerce UPS Shipping 2.3.11以...
WordfenceはWooCommerce UPS Shipping – Live Rates and Access Pointsプラグインのバージョン2.3.11以前に認証バイパスの脆弱性が存在することを公開した。delete_oauth_data関数に適切な権限チェックが実装されていないため、Subscriber以上の権限を持つユーザーがAPIキーを削除可能となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の実行は容易だが影響は限定的とされている。
【CVE-2024-9109】WooCommerce UPS Shipping 2.3.11以...
WordfenceはWooCommerce UPS Shipping – Live Rates and Access Pointsプラグインのバージョン2.3.11以前に認証バイパスの脆弱性が存在することを公開した。delete_oauth_data関数に適切な権限チェックが実装されていないため、Subscriber以上の権限を持つユーザーがAPIキーを削除可能となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の実行は容易だが影響は限定的とされている。
【CVE-2024-8792】Subscribe to Comments 2.3に反射型XSS...
WordPressプラグインのSubscribe to Comments 2.3以前のバージョンにおいて、反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコアは6.1のMedium評価で、認証不要でURLパラメータを介した攻撃が可能となっている。ユーザーインタラクションは必要だが、攻撃成功時には重大な影響を及ぼす可能性があるため、早急な対策が必要だ。
【CVE-2024-8792】Subscribe to Comments 2.3に反射型XSS...
WordPressプラグインのSubscribe to Comments 2.3以前のバージョンにおいて、反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコアは6.1のMedium評価で、認証不要でURLパラメータを介した攻撃が可能となっている。ユーザーインタラクションは必要だが、攻撃成功時には重大な影響を及ぼす可能性があるため、早急な対策が必要だ。
【CVE-2024-7876】Appointment Booking Calendar 1.6...
WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に深刻な脆弱性が発見された。この脆弱性は管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行できる状態にあり、CVSSスコアは4.8でMedium評価となっている。unfiltered_htmlが無効化されている環境でも攻撃が可能であり、早急なアップデートが推奨される。
【CVE-2024-7876】Appointment Booking Calendar 1.6...
WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に深刻な脆弱性が発見された。この脆弱性は管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行できる状態にあり、CVSSスコアは4.8でMedium評価となっている。unfiltered_htmlが無効化されている環境でも攻撃が可能であり、早急なアップデートが推奨される。
【CVE-2024-5764】Nexus Repository 3の暗号化パスフレーズ脆弱性、...
Sonatype社のNexus Repositoryにおいて、静的なハードコード暗号化パスフレーズが使用されている脆弱性が発見された。CVE-2024-5764として識別されるこの問題は、バージョン3.0.0から3.72.0に影響を与え、SMTPやHTTPプロキシの認証情報、ユーザートークンなどの暗号化に関わる重要な脆弱性となっている。CVSSスコアは5.9(MEDIUM)と評価され、早急な対応が推奨される。
【CVE-2024-5764】Nexus Repository 3の暗号化パスフレーズ脆弱性、...
Sonatype社のNexus Repositoryにおいて、静的なハードコード暗号化パスフレーズが使用されている脆弱性が発見された。CVE-2024-5764として識別されるこの問題は、バージョン3.0.0から3.72.0に影響を与え、SMTPやHTTPプロキシの認証情報、ユーザートークンなどの暗号化に関わる重要な脆弱性となっている。CVSSスコアは5.9(MEDIUM)と評価され、早急な対応が推奨される。
【CVE-2024-51561】AeroにおけるOTP検証の脆弱性が発見、他ユーザーアカウント...
Brokerage Technology Solutions社のAeroにおいて、OTP検証メカニズムの不適切な実装による認証バイパスの脆弱性が発見された。CVE-2024-51561として識別されたこの脆弱性は、CVSS v4.0で9.3(CRITICAL)と評価されており、攻撃者による他のユーザーアカウントへの不正アクセスを可能にする。影響を受けるバージョンは120820241550より前のバージョンであり、早急なアップデートが推奨される。
【CVE-2024-51561】AeroにおけるOTP検証の脆弱性が発見、他ユーザーアカウント...
Brokerage Technology Solutions社のAeroにおいて、OTP検証メカニズムの不適切な実装による認証バイパスの脆弱性が発見された。CVE-2024-51561として識別されたこの脆弱性は、CVSS v4.0で9.3(CRITICAL)と評価されており、攻撃者による他のユーザーアカウントへの不正アクセスを可能にする。影響を受けるバージョンは120820241550より前のバージョンであり、早急なアップデートが推奨される。
【CVE-2024-51431】LB-LINK BL-WR 1300H v.1.0.4にハード...
LB-LINK BL-WR 1300H v.1.0.4において、/etc/shadowファイルにハードコード化された認証情報が容易に推測可能な状態で格納されている深刻な脆弱性が発見された。CISAによってCVSSスコア8.1のHIGHレベルと評価されており、自動化された攻撃が可能で特権も不要なため、早急な対応が求められている。CWE-798に分類されるこの脆弱性は、不正アクセスのリスクを著しく高める可能性がある。
【CVE-2024-51431】LB-LINK BL-WR 1300H v.1.0.4にハード...
LB-LINK BL-WR 1300H v.1.0.4において、/etc/shadowファイルにハードコード化された認証情報が容易に推測可能な状態で格納されている深刻な脆弱性が発見された。CISAによってCVSSスコア8.1のHIGHレベルと評価されており、自動化された攻撃が可能で特権も不要なため、早急な対応が求められている。CWE-798に分類されるこの脆弱性は、不正アクセスのリスクを著しく高める可能性がある。
【CVE-2024-51329】Agile-Board 1.0にHost header inj...
Agile-Board 1.0において、Host header injectionの脆弱性が発見された。CVE-2024-51329として識別されるこの脆弱性は、パスワードリセット機能を標的とし、攻撃者がリセットトークンを不正に取得可能。CVSSスコア8.1のハイリスクと評価され、ユーザー操作は必要だが特別な権限は不要である。認証システムの根幹に関わる部分への攻撃であり、早急な対応が求められている。
【CVE-2024-51329】Agile-Board 1.0にHost header inj...
Agile-Board 1.0において、Host header injectionの脆弱性が発見された。CVE-2024-51329として識別されるこの脆弱性は、パスワードリセット機能を標的とし、攻撃者がリセットトークンを不正に取得可能。CVSSスコア8.1のハイリスクと評価され、ユーザー操作は必要だが特別な権限は不要である。認証システムの根幹に関わる部分への攻撃であり、早急な対応が求められている。
【CVE-2024-51327】Travel Management System v1.0に認...
ProjectWorldsのTravel Management System v1.0において、loginform.phpのユーザー名とパスワードフィールドにSQLインジェクションの脆弱性が発見された。CVSSスコア9.8を記録する重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。CISAの評価では攻撃の自動化も可能とされ、早急な対策が必要な状況だ。
【CVE-2024-51327】Travel Management System v1.0に認...
ProjectWorldsのTravel Management System v1.0において、loginform.phpのユーザー名とパスワードフィールドにSQLインジェクションの脆弱性が発見された。CVSSスコア9.8を記録する重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。CISAの評価では攻撃の自動化も可能とされ、早急な対策が必要な状況だ。
【CVE-2024-51326】Travel management System v.1.0に...
projectworlds社のTravel management System v.1.0において、deletesubcategory.phpのt2パラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.5(High)と評価されており、リモートからの攻撃が可能で、特権やユーザー介入も不要。CWE-89に分類されるこの脆弱性により、攻撃者による任意のコード実行が可能となっている。
【CVE-2024-51326】Travel management System v.1.0に...
projectworlds社のTravel management System v.1.0において、deletesubcategory.phpのt2パラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.5(High)と評価されており、リモートからの攻撃が可能で、特権やユーザー介入も不要。CWE-89に分類されるこの脆弱性により、攻撃者による任意のコード実行が可能となっている。
PayPayが商品特定クーポンを本格始動、スギ薬局グループで85商品を対象にメーカー向け販促支...
PayPayは特定商品をお得に購入できる「PayPay 商品特定クーポン」を本格始動し、第一弾としてスギ薬局グループの85商品を対象にクーポンを発行する。eKYC情報を活用した年齢確認機能により、アルコール飲料などの年齢制限商品にも対応。今後はサンドラッグやオーケーなどの加盟店、アサヒ飲料やキリンなどのメーカー商品への展開も予定している。
PayPayが商品特定クーポンを本格始動、スギ薬局グループで85商品を対象にメーカー向け販促支...
PayPayは特定商品をお得に購入できる「PayPay 商品特定クーポン」を本格始動し、第一弾としてスギ薬局グループの85商品を対象にクーポンを発行する。eKYC情報を活用した年齢確認機能により、アルコール飲料などの年齢制限商品にも対応。今後はサンドラッグやオーケーなどの加盟店、アサヒ飲料やキリンなどのメーカー商品への展開も予定している。
【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、シ...
IceWhaleTechが開発するZimaOSのバージョン1.2.4以前において、APIエンドポイントに深刻なディレクトリトラバーサルの脆弱性が発見された。この脆弱性により、認証済みユーザーが任意のディレクトリ内容を一覧表示可能となり、重要なシステム設定ファイルが露出するリスクが確認されている。CVSSスコアは7.5(High)と評価され、現時点で修正パッチは未提供の状態である。
【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、シ...
IceWhaleTechが開発するZimaOSのバージョン1.2.4以前において、APIエンドポイントに深刻なディレクトリトラバーサルの脆弱性が発見された。この脆弱性により、認証済みユーザーが任意のディレクトリ内容を一覧表示可能となり、重要なシステム設定ファイルが露出するリスクが確認されている。CVSSスコアは7.5(High)と評価され、現時点で修正パッチは未提供の状態である。
【CVE-2024-49358】ZimaOS 1.2.4にユーザー名列挙の脆弱性、クレデンシャ...
IceWhaleTech社のZimaOS 1.2.4およびそれ以前のバージョンにおいて、ユーザー名列挙を可能にする脆弱性が発見された。この脆弱性は【CVE-2024-49358】として識別され、CVSSスコア5.3(MEDIUM)に分類されている。攻撃者はAPIエンドポイントのレスポンスの違いを利用してユーザー名を特定し、二次攻撃に悪用する可能性がある。現時点でパッチ適用済みバージョンは未リリースだ。
【CVE-2024-49358】ZimaOS 1.2.4にユーザー名列挙の脆弱性、クレデンシャ...
IceWhaleTech社のZimaOS 1.2.4およびそれ以前のバージョンにおいて、ユーザー名列挙を可能にする脆弱性が発見された。この脆弱性は【CVE-2024-49358】として識別され、CVSSスコア5.3(MEDIUM)に分類されている。攻撃者はAPIエンドポイントのレスポンスの違いを利用してユーザー名を特定し、二次攻撃に悪用する可能性がある。現時点でパッチ適用済みバージョンは未リリースだ。
【CVE-2024-49357】ZimaOS 1.2.4以前のバージョンで認証なし情報漏洩の脆...
ZimaOSのAPIエンドポイントにおいて、認証や承認なしで機密情報にアクセスできる重大な脆弱性が発見された。バージョン1.2.4以前の全バージョンが影響を受け、インストール済みアプリケーションやシステム情報が露出する可能性がある。CVSS v3.1で深刻度7.5(High)と評価されており、早急な対応が求められている。現時点でパッチ適用済みバージョンは未公開。
【CVE-2024-49357】ZimaOS 1.2.4以前のバージョンで認証なし情報漏洩の脆...
ZimaOSのAPIエンドポイントにおいて、認証や承認なしで機密情報にアクセスできる重大な脆弱性が発見された。バージョン1.2.4以前の全バージョンが影響を受け、インストール済みアプリケーションやシステム情報が露出する可能性がある。CVSS v3.1で深刻度7.5(High)と評価されており、早急な対応が求められている。現時点でパッチ適用済みバージョンは未公開。
【CVE-2024-49256】WordPress用Htaccess File Editor ...
WPChillが開発するWordPress用プラグインHtaccess File Editorにおいて、バージョン1.0.18以前に認可の問題による脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価されたこの脆弱性は、アクセス制御リストによる適切な制約が不十分であることが原因とされている。WPChillはセキュリティアップデートとしてバージョン1.0.19を提供しており、早急な対応が推奨される。
【CVE-2024-49256】WordPress用Htaccess File Editor ...
WPChillが開発するWordPress用プラグインHtaccess File Editorにおいて、バージョン1.0.18以前に認可の問題による脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価されたこの脆弱性は、アクセス制御リストによる適切な制約が不十分であることが原因とされている。WPChillはセキュリティアップデートとしてバージョン1.0.19を提供しており、早急な対応が推奨される。
【CVE-2024-49237】WordPressプラグインAhmeti Wp Timelin...
Patchstack OÜがWordPress用プラグインAhmeti Wp Timeline 5.1以前のバージョンに存在するCSRFからStoredXSSへの攻撃が可能な脆弱性を報告した。CVE-2024-49237として識別されるこの脆弱性は、CVSSスコア7.1(High)と評価され、攻撃者が認証なしで遠隔から攻撃を実行できる可能性がある。影響範囲は機密性、整合性、可用性のすべてに及ぶ。
【CVE-2024-49237】WordPressプラグインAhmeti Wp Timelin...
Patchstack OÜがWordPress用プラグインAhmeti Wp Timeline 5.1以前のバージョンに存在するCSRFからStoredXSSへの攻撃が可能な脆弱性を報告した。CVE-2024-49237として識別されるこの脆弱性は、CVSSスコア7.1(High)と評価され、攻撃者が認証なしで遠隔から攻撃を実行できる可能性がある。影響範囲は機密性、整合性、可用性のすべてに及ぶ。
【CVE-2024-49223】WordPress用CJ Change Howdy 3.3.1...
WordPress用プラグインCJ Change Howdy 3.3.1以前のバージョンにおいて、Cross-Site Request Forgery (CSRF)からStored XSSが可能となる重大な脆弱性が発見された。CVSS 7.1の高リスク評価を受けており、特別な権限なしで攻撃が可能。ユーザーの操作は必要だが、影響範囲が変更される可能性があり、早急な対応が求められている。
【CVE-2024-49223】WordPress用CJ Change Howdy 3.3.1...
WordPress用プラグインCJ Change Howdy 3.3.1以前のバージョンにおいて、Cross-Site Request Forgery (CSRF)からStored XSSが可能となる重大な脆弱性が発見された。CVSS 7.1の高リスク評価を受けており、特別な権限なしで攻撃が可能。ユーザーの操作は必要だが、影響範囲が変更される可能性があり、早急な対応が求められている。
【CVE-2024-49220】WordPress Cookie Scanner Plugin...
PatchstackがWordPress用プラグインCookie Scannerにおいて、CSRFを介したStored XSSの脆弱性を発見した。CVSSスコア7.1の高深刻度で、バージョン1.1以前が影響を受ける。攻撃者は特権不要でリモートから攻撃可能で、技術的影響は部分的だが、ユーザーの関与があれば攻撃が成立する可能性がある。
【CVE-2024-49220】WordPress Cookie Scanner Plugin...
PatchstackがWordPress用プラグインCookie Scannerにおいて、CSRFを介したStored XSSの脆弱性を発見した。CVSSスコア7.1の高深刻度で、バージョン1.1以前が影響を受ける。攻撃者は特権不要でリモートから攻撃可能で、技術的影響は部分的だが、ユーザーの関与があれば攻撃が成立する可能性がある。
アドバンテックのTPC-100WシリーズがArm SystemReady IR認証を取得、産業...
アドバンテック株式会社のArmベースHMI TPC-100WシリーズがArm SystemReady IR認証を取得し、PKIを活用したセキュアブート機能により産業用IoTのセキュリティを強化。UEFIの採用で複数OSをサポートし、相互運用性を確保。7インチから21.5インチまでのラインナップで、P-CAPマルチタッチやCAN 2.0プロトコルをサポートし、産業用途に最適化された製品として注目を集める。
アドバンテックのTPC-100WシリーズがArm SystemReady IR認証を取得、産業...
アドバンテック株式会社のArmベースHMI TPC-100WシリーズがArm SystemReady IR認証を取得し、PKIを活用したセキュアブート機能により産業用IoTのセキュリティを強化。UEFIの採用で複数OSをサポートし、相互運用性を確保。7インチから21.5インチまでのラインナップで、P-CAPマルチタッチやCAN 2.0プロトコルをサポートし、産業用途に最適化された製品として注目を集める。
【CVE-2024-49219】WordPressプラグインRS-Members 1.0.3に...
WordPressプラグインのRS-Membersにおいて、バージョン1.0.3以前に影響を及ぼす特権昇格の脆弱性が発見された。CVSSスコア8.8と高い深刻度で評価されており、攻撃の複雑さは低く、特権が必要なものの、ユーザーの関与なしで攻撃が可能となる。この脆弱性は【CVE-2024-49219】として識別され、早急な対応が求められている。
【CVE-2024-49219】WordPressプラグインRS-Members 1.0.3に...
WordPressプラグインのRS-Membersにおいて、バージョン1.0.3以前に影響を及ぼす特権昇格の脆弱性が発見された。CVSSスコア8.8と高い深刻度で評価されており、攻撃の複雑さは低く、特権が必要なものの、ユーザーの関与なしで攻撃が可能となる。この脆弱性は【CVE-2024-49219】として識別され、早急な対応が求められている。
【CVE-2024-49217】WordPress用プラグインAdding drop down...
WordPressプラグインのAdding drop down roles in registrationにおいて、バージョン1.1以前に影響を与える重大な権限昇格の脆弱性が発見された。CVE-2024-49217として識別されるこの脆弱性は、CVSSスコア9.8と極めて高い深刻度を示しており、特別な権限を必要とせずにリモートから攻撃可能である点が特徴だ。影響を受けるすべてのユーザーに早急な対応が求められる。
【CVE-2024-49217】WordPress用プラグインAdding drop down...
WordPressプラグインのAdding drop down roles in registrationにおいて、バージョン1.1以前に影響を与える重大な権限昇格の脆弱性が発見された。CVE-2024-49217として識別されるこの脆弱性は、CVSSスコア9.8と極めて高い深刻度を示しており、特別な権限を必要とせずにリモートから攻撃可能である点が特徴だ。影響を受けるすべてのユーザーに早急な対応が求められる。
【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報...
IceWhaleTech社のZimaOSにおいて、バージョン1.2.4以前に重大な認証バイパスの脆弱性が発見された。APIエンドポイントにおいて認証なしでユーザー名情報にアクセス可能な状態となっており、CVE-2024-48932として識別されている。CVSSスコアは5.3(Medium)と評価され、この脆弱性を悪用されるとブルートフォース攻撃やフィッシングの足がかりとされる可能性がある。現時点でパッチ適用版は未リリース。
【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報...
IceWhaleTech社のZimaOSにおいて、バージョン1.2.4以前に重大な認証バイパスの脆弱性が発見された。APIエンドポイントにおいて認証なしでユーザー名情報にアクセス可能な状態となっており、CVE-2024-48932として識別されている。CVSSスコアは5.3(Medium)と評価され、この脆弱性を悪用されるとブルートフォース攻撃やフィッシングの足がかりとされる可能性がある。現時点でパッチ適用版は未リリース。
【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...
IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5(High)と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。
【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...
IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5(High)と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。
【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...
Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。
【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...
Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。
【CVE-2024-45164】Akamai SIAのThreatAvert Policyに認...
Akamai SIA(Secure Internet Access Enterprise)のThreatAvertで重要な認証制御の脆弱性が発見された。SPS 19.2.0パッチ以前およびApps Portal 19.2.0.3/19.2.0.20240814以前のバージョンで、認証済みユーザーがThreatAvert Policyページの管理機能に直接アクセスし、ポリシー強制を無効化できる状態になっていることが判明。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題である。
【CVE-2024-45164】Akamai SIAのThreatAvert Policyに認...
Akamai SIA(Secure Internet Access Enterprise)のThreatAvertで重要な認証制御の脆弱性が発見された。SPS 19.2.0パッチ以前およびApps Portal 19.2.0.3/19.2.0.20240814以前のバージョンで、認証済みユーザーがThreatAvert Policyページの管理機能に直接アクセスし、ポリシー強制を無効化できる状態になっていることが判明。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題である。
【CVE-2024-43924】WordPressのResponsive Lightbox 2...
WordPressプラグインのResponsive Lightboxにおいて、バージョン2.4.7以前に重大な認証の脆弱性が発見された。CVE-2024-43924として識別されたこの問題は、アクセス制御リストによる適切な制限がない状態でシステム機能にアクセスできる脆弱性である。CVSSスコア5.3の中程度の深刻度と評価され、特権レベルや利用者の関与を必要としない点が特徴的だ。
【CVE-2024-43924】WordPressのResponsive Lightbox 2...
WordPressプラグインのResponsive Lightboxにおいて、バージョン2.4.7以前に重大な認証の脆弱性が発見された。CVE-2024-43924として識別されたこの問題は、アクセス制御リストによる適切な制限がない状態でシステム機能にアクセスできる脆弱性である。CVSSスコア5.3の中程度の深刻度と評価され、特権レベルや利用者の関与を必要としない点が特徴的だ。