Tech Insights
【CVE-2024-10699】code-projects Wazifa Systemにクリテ...
code-projects Wazifa System 1.0のlogincontrol.phpにSQLインジェクションの脆弱性が発見された。CVE-2024-10699として識別されるこの脆弱性は、CVSS 3.1で7.3(High)と評価されており、リモートからの攻撃が可能で特権も不要という危険性の高いものとなっている。usernameパラメータを悪用した攻撃により、データベースの改ざんや情報漏洩のリスクが存在する。
【CVE-2024-10699】code-projects Wazifa Systemにクリテ...
code-projects Wazifa System 1.0のlogincontrol.phpにSQLインジェクションの脆弱性が発見された。CVE-2024-10699として識別されるこの脆弱性は、CVSS 3.1で7.3(High)と評価されており、リモートからの攻撃が可能で特権も不要という危険性の高いものとなっている。usernameパラメータを悪用した攻撃により、データベースの改ざんや情報漏洩のリスクが存在する。
【CVE-2024-10619】Tongda OA 2017にSQL injection脆弱性...
Tongda OA 2017のnext_detail.phpファイルにおいて、repid引数に対するSQL injectionの脆弱性が発見された。バージョン11.0から11.10まですべてのバージョンが影響を受け、CVSSスコアは6.3(Medium)を記録。リモートからの攻撃が可能で、すでにエクスプロイトコードが公開されており、早急な対応が必要とされている。
【CVE-2024-10619】Tongda OA 2017にSQL injection脆弱性...
Tongda OA 2017のnext_detail.phpファイルにおいて、repid引数に対するSQL injectionの脆弱性が発見された。バージョン11.0から11.10まですべてのバージョンが影響を受け、CVSSスコアは6.3(Medium)を記録。リモートからの攻撃が可能で、すでにエクスプロイトコードが公開されており、早急な対応が必要とされている。
【CVE-2024-10618】Tongda OA 2017にSQL Injection脆弱性...
Tongda OA 2017のバージョン11.10までに深刻な脆弱性が発見された。この脆弱性は/pda/reportshop/record_detail.phpファイル内のrepid引数の処理に関連しており、SQL injectionの脆弱性が確認されている。リモートからの攻撃が可能で、特権レベルは低いものの認証は不要となっており、早急な対応が必要とされている。
【CVE-2024-10618】Tongda OA 2017にSQL Injection脆弱性...
Tongda OA 2017のバージョン11.10までに深刻な脆弱性が発見された。この脆弱性は/pda/reportshop/record_detail.phpファイル内のrepid引数の処理に関連しており、SQL injectionの脆弱性が確認されている。リモートからの攻撃が可能で、特権レベルは低いものの認証は不要となっており、早急な対応が必要とされている。
【CVE-2024-10617】Tongda OAにSQLインジェクションの脆弱性が発見、バー...
Tongda OAのcheck_seal.phpファイルにSQLインジェクションの脆弱性が発見され、CVE-2024-10617として公開された。バージョン11.0から11.10までの全バージョンが影響を受け、遠隔からの攻撃が可能。CVSSスコアは中程度だが、認証があれば攻撃コードを実行できる可能性があり、早急な対応が必要とされている。
【CVE-2024-10617】Tongda OAにSQLインジェクションの脆弱性が発見、バー...
Tongda OAのcheck_seal.phpファイルにSQLインジェクションの脆弱性が発見され、CVE-2024-10617として公開された。バージョン11.0から11.10までの全バージョンが影響を受け、遠隔からの攻撃が可能。CVSSスコアは中程度だが、認証があれば攻撃コードを実行できる可能性があり、早急な対応が必要とされている。
【CVE-2024-10615】Tongda OA 2017にSQL injection脆弱性...
Tongda OA 2017のdelete_data_attach.phpファイルにSQL injection脆弱性が発見され、CVE-2024-10615として公開された。この脆弱性はバージョン11.0から11.10まで影響を及ぼし、リモートからの攻撃が可能である。CVSSスコアは中程度だが、既に攻撃コードが公開されており、早急な対応が必要とされる。
【CVE-2024-10615】Tongda OA 2017にSQL injection脆弱性...
Tongda OA 2017のdelete_data_attach.phpファイルにSQL injection脆弱性が発見され、CVE-2024-10615として公開された。この脆弱性はバージョン11.0から11.10まで影響を及ぼし、リモートからの攻撃が可能である。CVSSスコアは中程度だが、既に攻撃コードが公開されており、早急な対応が必要とされる。
【CVE-2024-10613】ESAFENET CDG 5にSQL injection脆弱性...
ESAFENET CDG 5において、delSystemEncryptPolicy関数のSystemEncryptPolicyService.javaファイルにSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10613】として公開され、CVSS 4.0で5.3(Medium)、CVSS 3.1で6.3(Medium)と評価されている。遠隔からの攻撃が可能で、既に公開された状態となっているため、早急な対応が求められる状況だ。
【CVE-2024-10613】ESAFENET CDG 5にSQL injection脆弱性...
ESAFENET CDG 5において、delSystemEncryptPolicy関数のSystemEncryptPolicyService.javaファイルにSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10613】として公開され、CVSS 4.0で5.3(Medium)、CVSS 3.1で6.3(Medium)と評価されている。遠隔からの攻撃が可能で、既に公開された状態となっているため、早急な対応が求められる状況だ。
【CVE-2024-10609】itsourcecode Tailoring Manageme...
itsourcecode Tailoring Management System Project 1.0のtypeadd.phpファイルにSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-10609として識別され、CVSSスコア6.3で評価されている。リモートからの攻撃が可能で、認証されたユーザーによって悪用される可能性があることから、システム管理者による早急な対応が推奨される。
【CVE-2024-10609】itsourcecode Tailoring Manageme...
itsourcecode Tailoring Management System Project 1.0のtypeadd.phpファイルにSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-10609として識別され、CVSSスコア6.3で評価されている。リモートからの攻撃が可能で、認証されたユーザーによって悪用される可能性があることから、システム管理者による早急な対応が推奨される。
【CVE-2024-10608】code-projects Courier Managemen...
code-projects Courier Management System 1.0のlogin.phpにSQL injection脆弱性が発見された。CVE-2024-10608として登録されたこの脆弱性は、txtusername引数の処理に起因し、認証機能を迂回される可能性がある。CVSSv4で6.9、CVSSv3.1とv3.0で7.3、CVSSv2で7.5のスコアが付与されており、リモートからの攻撃が可能で特権も不要なため、早急な対策が必要とされている。
【CVE-2024-10608】code-projects Courier Managemen...
code-projects Courier Management System 1.0のlogin.phpにSQL injection脆弱性が発見された。CVE-2024-10608として登録されたこの脆弱性は、txtusername引数の処理に起因し、認証機能を迂回される可能性がある。CVSSv4で6.9、CVSSv3.1とv3.0で7.3、CVSSv2で7.5のスコアが付与されており、リモートからの攻撃が可能で特権も不要なため、早急な対策が必要とされている。
【CVE-2024-10607】code-projects Courier Managemen...
code-projects Courier Management System 1.0のtrack-result.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10607として識別されるこの脆弱性は、Consignment引数の操作によってリモートからの攻撃が可能となっている。CVSSスコアは最大7.5と評価され、既に公開されているため早急な対応が必要とされている状況だ。
【CVE-2024-10607】code-projects Courier Managemen...
code-projects Courier Management System 1.0のtrack-result.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10607として識別されるこの脆弱性は、Consignment引数の操作によってリモートからの攻撃が可能となっている。CVSSスコアは最大7.5と評価され、既に公開されているため早急な対応が必要とされている状況だ。
【CVE-2024-10605】Blood Bank Management System 1....
code-projectsのBlood Bank Management System 1.0のrequest.phpファイルにおいて、cross-site request forgeryの脆弱性が発見された。CVSSスコア6.9のMEDIUM評価で、攻撃者は特権不要でリモートから攻撃可能。医療情報を扱うシステムであることから、早急なセキュリティ対策の実施が求められる。exploitが公開されており、システム管理者は直ちにアップデートやパッチ適用を検討する必要がある。
【CVE-2024-10605】Blood Bank Management System 1....
code-projectsのBlood Bank Management System 1.0のrequest.phpファイルにおいて、cross-site request forgeryの脆弱性が発見された。CVSSスコア6.9のMEDIUM評価で、攻撃者は特権不要でリモートから攻撃可能。医療情報を扱うシステムであることから、早急なセキュリティ対策の実施が求められる。exploitが公開されており、システム管理者は直ちにアップデートやパッチ適用を検討する必要がある。
【CVE-2024-10600】Tongda OA 2017にSQLインジェクションの脆弱性、...
Tongda OA 2017のpda/appcenter/submenu.phpファイルにおいて、appid引数に関連するSQLインジェクションの脆弱性が発見された。この脆弱性は認証不要でリモートから攻撃可能であり、CVSSスコアは7.3と評価されている。影響を受けるバージョンは11.0から11.6までで、既に攻撃コードが公開されており早急な対応が必要とされている。
【CVE-2024-10600】Tongda OA 2017にSQLインジェクションの脆弱性、...
Tongda OA 2017のpda/appcenter/submenu.phpファイルにおいて、appid引数に関連するSQLインジェクションの脆弱性が発見された。この脆弱性は認証不要でリモートから攻撃可能であり、CVSSスコアは7.3と評価されている。影響を受けるバージョンは11.0から11.6までで、既に攻撃コードが公開されており早急な対応が必要とされている。
【CVE-2024-10598】Tongda OA 11.2-11.6に認証バイパスの脆弱性、...
Tongda OA 11.2から11.6において、年次休暇機能の認証処理に重大な脆弱性が発見された。general/hr/setting/attendance/leave/data.phpファイルの認証処理が不適切であり、リモートからの攻撃が可能。CVSSスコアは6.9で中程度の深刻度とされ、認証バイパスによる情報漏洩や改ざんのリスクが存在する。既に公開されており、早急な対応が必要だ。
【CVE-2024-10598】Tongda OA 11.2-11.6に認証バイパスの脆弱性、...
Tongda OA 11.2から11.6において、年次休暇機能の認証処理に重大な脆弱性が発見された。general/hr/setting/attendance/leave/data.phpファイルの認証処理が不適切であり、リモートからの攻撃が可能。CVSSスコアは6.9で中程度の深刻度とされ、認証バイパスによる情報漏洩や改ざんのリスクが存在する。既に公開されており、早急な対応が必要だ。
【CVE-2024-10596】ESAFENET CDG 5にSQL injection脆弱性...
ESAFENET CDG 5のEncryptPolicyTypeService.javaファイルにSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10596】として識別され、delEntryptPolicySort関数内でidパラメータを適切に検証せずにSQL文を実行することで攻撃が可能となる。既に攻撃コードが公開されており、早急な対策が必要とされている。
【CVE-2024-10596】ESAFENET CDG 5にSQL injection脆弱性...
ESAFENET CDG 5のEncryptPolicyTypeService.javaファイルにSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10596】として識別され、delEntryptPolicySort関数内でidパラメータを適切に検証せずにSQL文を実行することで攻撃が可能となる。既に攻撃コードが公開されており、早急な対策が必要とされている。
【CVE-2024-10594】ESAFENET CDG 5にSQLインジェクションの脆弱性、...
ESAFENET CDG 5において重大なセキュリティ脆弱性が発見された。FileDirectoryService.javaのdocHistory機能でSQLインジェクション攻撃が可能となる問題が判明し、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に脆弱性情報が公開されているにも関わらず、ベンダーからの対応が得られていない状況だ。
【CVE-2024-10594】ESAFENET CDG 5にSQLインジェクションの脆弱性、...
ESAFENET CDG 5において重大なセキュリティ脆弱性が発見された。FileDirectoryService.javaのdocHistory機能でSQLインジェクション攻撃が可能となる問題が判明し、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に脆弱性情報が公開されているにも関わらず、ベンダーからの対応が得られていない状況だ。
【CVE-2024-10561】Codezips Pet Shop Management Sy...
CodezipsのPet Shop Management System 1.0において、birdsupdate.phpファイルのid引数にSQL injection脆弱性が発見された。CVE-2024-10561として報告されたこの脆弱性は、CVSS 4.0でMedium(6.9)、CVSS 3.1とCVSS 3.0でHIGH(7.3)と評価されており、リモートからの攻撃が可能で認証も不要なため、早急な対応が必要となっている。既に攻撃コードも公開されており、システム管理者は直ちにセキュリティアップデートの適用を検討すべき状況だ。
【CVE-2024-10561】Codezips Pet Shop Management Sy...
CodezipsのPet Shop Management System 1.0において、birdsupdate.phpファイルのid引数にSQL injection脆弱性が発見された。CVE-2024-10561として報告されたこの脆弱性は、CVSS 4.0でMedium(6.9)、CVSS 3.1とCVSS 3.0でHIGH(7.3)と評価されており、リモートからの攻撃が可能で認証も不要なため、早急な対応が必要となっている。既に攻撃コードも公開されており、システム管理者は直ちにセキュリティアップデートの適用を検討すべき状況だ。
【CVE-2024-10509】Codezips Online Institute Manag...
Codezips Online Institute Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10509として登録されたこの脆弱性は、emailパラメータを操作することで攻撃が可能となり、CVSSスコアは3.1で7.3(High)と評価されている。認証不要でリモートからの攻撃が可能なため、教育機関の個人情報漏洩リスクが高まっている状況だ。
【CVE-2024-10509】Codezips Online Institute Manag...
Codezips Online Institute Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10509として登録されたこの脆弱性は、emailパラメータを操作することで攻撃が可能となり、CVSSスコアは3.1で7.3(High)と評価されている。認証不要でリモートからの攻撃が可能なため、教育機関の個人情報漏洩リスクが高まっている状況だ。
【CVE-2024-10507】Free Exam Hall Seating Manageme...
Codezips社のFree Exam Hall Seating Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。emailパラメータを介した攻撃が可能で、CVSSスコアは最大7.3(HIGH)と評価されている。リモートからの攻撃実行が可能で認証も不要なため、教育機関のデータセキュリティに重大な影響を及ぼす可能性がある。脆弱性情報は既に公開されており、早急な対策が求められる状況だ。
【CVE-2024-10507】Free Exam Hall Seating Manageme...
Codezips社のFree Exam Hall Seating Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。emailパラメータを介した攻撃が可能で、CVSSスコアは最大7.3(HIGH)と評価されている。リモートからの攻撃実行が可能で認証も不要なため、教育機関のデータセキュリティに重大な影響を及ぼす可能性がある。脆弱性情報は既に公開されており、早急な対策が求められる状況だ。
【CVE-2024-10469】VINCE 3.0.9未満のバージョンに認証済みユーザー情報ア...
CERT/CCはVINCE 3.0.9未満のバージョンにおいて、認証済みユーザーがUser Management画面に不正アクセス可能な脆弱性を発見した。この問題はCWE-276に分類される権限設定の不備であり、ユーザー情報の漏洩リスクが指摘されている。CERT/CCは修正プログラムを提供しており、影響を受けるバージョンのユーザーに対して速やかな更新を推奨している。
【CVE-2024-10469】VINCE 3.0.9未満のバージョンに認証済みユーザー情報ア...
CERT/CCはVINCE 3.0.9未満のバージョンにおいて、認証済みユーザーがUser Management画面に不正アクセス可能な脆弱性を発見した。この問題はCWE-276に分類される権限設定の不備であり、ユーザー情報の漏洩リスクが指摘されている。CERT/CCは修正プログラムを提供しており、影響を受けるバージョンのユーザーに対して速やかな更新を推奨している。
【CVE-2024-10465】MozillaがFirefox 132とFirefox ESR...
MozillaはFirefox 132未満とFirefox ESR 128.4未満のバージョンにおいて、クリップボードのペーストボタンがタブ間で残存することによるなりすまし攻撃の可能性がある脆弱性を修正した。この脆弱性はCVSS3.1のスコアが7.5と評価され、特権が不要な状態で攻撃が可能とされている。Punggawa Cybersecurityの研究者によって発見されたこの問題は、すべてのユーザーに対して最新バージョンへのアップデートが推奨されている。
【CVE-2024-10465】MozillaがFirefox 132とFirefox ESR...
MozillaはFirefox 132未満とFirefox ESR 128.4未満のバージョンにおいて、クリップボードのペーストボタンがタブ間で残存することによるなりすまし攻撃の可能性がある脆弱性を修正した。この脆弱性はCVSS3.1のスコアが7.5と評価され、特権が不要な状態で攻撃が可能とされている。Punggawa Cybersecurityの研究者によって発見されたこの問題は、すべてのユーザーに対して最新バージョンへのアップデートが推奨されている。
【CVE-2024-10462】Firefox 132以前のURL表示に脆弱性、権限プロンプト...
Mozillaは2024年10月29日、Firefox 132未満、Firefox ESR 128.4未満、およびThunderbird 128.4未満と132未満のバージョンに影響を与える重大な脆弱性を公開した。長いURLの切り詰め表示を悪用した権限プロンプトの偽装が可能となる脆弱性で、CVSSスコア7.5(High)と評価される。攻撃の複雑さは低く、特権は不要とされており、早急な修正パッチの適用が推奨されている。
【CVE-2024-10462】Firefox 132以前のURL表示に脆弱性、権限プロンプト...
Mozillaは2024年10月29日、Firefox 132未満、Firefox ESR 128.4未満、およびThunderbird 128.4未満と132未満のバージョンに影響を与える重大な脆弱性を公開した。長いURLの切り詰め表示を悪用した権限プロンプトの偽装が可能となる脆弱性で、CVSSスコア7.5(High)と評価される。攻撃の複雑さは低く、特権は不要とされており、早急な修正パッチの適用が推奨されている。
【CVE-2024-10310】Element Pack Elementor Addonsにク...
WordPressプラグインのElement Pack Elementor Addonsにおいて、バージョン5.10.1以前に深刻な脆弱性が発見された。Custom GalleryウィジェットのImage_titleパラメータで入力値の無害化処理と出力エスケープが不十分であり、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4(Medium)で、機密性と完全性に低レベルの影響が想定される。
【CVE-2024-10310】Element Pack Elementor Addonsにク...
WordPressプラグインのElement Pack Elementor Addonsにおいて、バージョン5.10.1以前に深刻な脆弱性が発見された。Custom GalleryウィジェットのImage_titleパラメータで入力値の無害化処理と出力エスケープが不十分であり、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4(Medium)で、機密性と完全性に低レベルの影響が想定される。
【CVE-2024-10214】Mattermostデスクトップアプリでセッション認証の脆弱性...
Mattermost社が2024年10月28日、デスクトップアプリケーションにおけるセッション認証の脆弱性を公開した。CVE-2024-10214として識別されるこの問題は、デスクトップSSOを使用した際にブラウザとデスクトップアプリで不正な設定の2つのセッションが発行される。影響を受けるバージョンは9.11.0-9.11.1および9.5.0-9.5.9で、最新バージョンで修正済み。
【CVE-2024-10214】Mattermostデスクトップアプリでセッション認証の脆弱性...
Mattermost社が2024年10月28日、デスクトップアプリケーションにおけるセッション認証の脆弱性を公開した。CVE-2024-10214として識別されるこの問題は、デスクトップSSOを使用した際にブラウザとデスクトップアプリで不正な設定の2つのセッションが発行される。影響を受けるバージョンは9.11.0-9.11.1および9.5.0-9.5.9で、最新バージョンで修正済み。
ソフトクリエイトがASMサービス「SCSmart ASM」を提供開始、IT資産の包括的な脅威対...
株式会社ソフトクリエイトは2024年11月1日、サイバー攻撃対象になりうる全てのIT資産の検出と可視化、監視をサポートするASMサービス「SCSmart ASM」の提供を開始した。KELAの監視ソリューション「SLING」との連携により、シャドーITや設定ミス、漏洩した認証情報などのリスクを可視化し、包括的なセキュリティ対策を実現する。月額82,000円から利用可能で、専門家による運用代行も含まれている。
ソフトクリエイトがASMサービス「SCSmart ASM」を提供開始、IT資産の包括的な脅威対...
株式会社ソフトクリエイトは2024年11月1日、サイバー攻撃対象になりうる全てのIT資産の検出と可視化、監視をサポートするASMサービス「SCSmart ASM」の提供を開始した。KELAの監視ソリューション「SLING」との連携により、シャドーITや設定ミス、漏洩した認証情報などのリスクを可視化し、包括的なセキュリティ対策を実現する。月額82,000円から利用可能で、専門家による運用代行も含まれている。
【CVE-2024-9896】BBP Core 1.2.5以前のバージョンにクロスサイトスクリ...
WordPressのBBP Coreプラグインにおいて、バージョン1.2.5以前に重大なクロスサイトスクリプティング脆弱性が発見された。add_query_argパラメータの不適切なエスケープ処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1(MEDIUM)と評価され、攻撃には何らかのユーザー操作が必要とされる。情報漏洩やセッションハイジャックなどのリスクが指摘されている。
【CVE-2024-9896】BBP Core 1.2.5以前のバージョンにクロスサイトスクリ...
WordPressのBBP Coreプラグインにおいて、バージョン1.2.5以前に重大なクロスサイトスクリプティング脆弱性が発見された。add_query_argパラメータの不適切なエスケープ処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1(MEDIUM)と評価され、攻撃には何らかのユーザー操作が必要とされる。情報漏洩やセッションハイジャックなどのリスクが指摘されている。
【CVE-2024-51774】qBittorrent 5.0.1未満に証明書検証エラーの脆弱...
qBittorrentの5.0.1より前のバージョンで、HTTPSの証明書検証エラーが発生した後もURLの使用を継続してしまう重大な脆弱性が発見された。この問題は【CVE-2024-51774】として識別され、中間者攻撃などのセキュリティリスクを引き起こす可能性が指摘されている。開発チームは5.0.1で修正を実施し、HTTPSの安全性が向上。早急なアップデートが推奨される。
【CVE-2024-51774】qBittorrent 5.0.1未満に証明書検証エラーの脆弱...
qBittorrentの5.0.1より前のバージョンで、HTTPSの証明書検証エラーが発生した後もURLの使用を継続してしまう重大な脆弱性が発見された。この問題は【CVE-2024-51774】として識別され、中間者攻撃などのセキュリティリスクを引き起こす可能性が指摘されている。開発チームは5.0.1で修正を実施し、HTTPSの安全性が向上。早急なアップデートが推奨される。
【CVE-2024-10697】Tenda AC6 15.03.05.19にコマンドインジェク...
Tenda AC6 15.03.05.19のAPI EndpointにおけるWriteFacMac機能で深刻な脆弱性が発見された。CVE-2024-10697として識別されるこの脆弱性は、コマンドインジェクション攻撃を可能にする重大な問題として報告されている。CVSSスコアは5.3から6.5の範囲で評価され、リモートからの攻撃が可能であることから、早急な対策が求められている。
【CVE-2024-10697】Tenda AC6 15.03.05.19にコマンドインジェク...
Tenda AC6 15.03.05.19のAPI EndpointにおけるWriteFacMac機能で深刻な脆弱性が発見された。CVE-2024-10697として識別されるこの脆弱性は、コマンドインジェクション攻撃を可能にする重大な問題として報告されている。CVSSスコアは5.3から6.5の範囲で評価され、リモートからの攻撃が可能であることから、早急な対策が求められている。
【CVE-2024-10540】BookingPress 1.1.16にSQLインジェクション...
WordPressプラグインのBookingPress 1.1.16以前のバージョンにおいて、SQLインジェクションの脆弱性が発見された。bookingpress_formショートコードのserviceパラメータにおける不十分なエスケープ処理により、Subscriber以上の権限を持つユーザーがデータベースから機密情報を抽出できる状態にある。CVSSスコアは5.3(MEDIUM)と評価され、早急なアップデートが推奨されている。
【CVE-2024-10540】BookingPress 1.1.16にSQLインジェクション...
WordPressプラグインのBookingPress 1.1.16以前のバージョンにおいて、SQLインジェクションの脆弱性が発見された。bookingpress_formショートコードのserviceパラメータにおける不十分なエスケープ処理により、Subscriber以上の権限を持つユーザーがデータベースから機密情報を抽出できる状態にある。CVSSスコアは5.3(MEDIUM)と評価され、早急なアップデートが推奨されている。
【CVE-2024-10602】Tongda OA 2017にSQLインジェクションの脆弱性、...
Tongda OA 2017のバージョン11.0から11.9において、data_picker_link.phpファイル内のdataSrc引数を操作することでSQLインジェクションが可能になる重大な脆弱性が発見された。CVSSスコアは中程度と評価されているが、攻撃コードが既に公開されており、早急な対応が必要とされている。リモートからの攻撃が可能で、認証された状態での実行により、機密性・整合性・可用性に影響を及ぼす可能性がある。
【CVE-2024-10602】Tongda OA 2017にSQLインジェクションの脆弱性、...
Tongda OA 2017のバージョン11.0から11.9において、data_picker_link.phpファイル内のdataSrc引数を操作することでSQLインジェクションが可能になる重大な脆弱性が発見された。CVSSスコアは中程度と評価されているが、攻撃コードが既に公開されており、早急な対応が必要とされている。リモートからの攻撃が可能で、認証された状態での実行により、機密性・整合性・可用性に影響を及ぼす可能性がある。
【CVE-2024-10656】Tongda OA 2017にSQL injection脆弱性...
Tongda OA 2017の/pda/meeting/apply.phpファイルにおいて、mr_idパラメータのSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10656】として識別され、バージョン11.0から11.9まで影響を受ける。CVSSスコアはv4.0で5.3(Medium)、攻撃コードが既に公開されており、早急な対応が必要とされている。
【CVE-2024-10656】Tongda OA 2017にSQL injection脆弱性...
Tongda OA 2017の/pda/meeting/apply.phpファイルにおいて、mr_idパラメータのSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10656】として識別され、バージョン11.0から11.9まで影響を受ける。CVSSスコアはv4.0で5.3(Medium)、攻撃コードが既に公開されており、早急な対応が必要とされている。
【CVE-2024-22733】TP Link MR200 V4 Firmwareにヌルポイン...
TP Link MR200 V4 Firmwareのバージョン210201において、Web管理パネルの/cgi/loginにヌルポインタ参照の脆弱性が発見された。sign、ActionまたはLoginStatusクエリパラメータを介したサービス拒否攻撃が可能となっており、未認証の攻撃者によってローカルまたはリモートから攻撃可能であることが判明。早急なセキュリティパッチの適用が推奨されている。
【CVE-2024-22733】TP Link MR200 V4 Firmwareにヌルポイン...
TP Link MR200 V4 Firmwareのバージョン210201において、Web管理パネルの/cgi/loginにヌルポインタ参照の脆弱性が発見された。sign、ActionまたはLoginStatusクエリパラメータを介したサービス拒否攻撃が可能となっており、未認証の攻撃者によってローカルまたはリモートから攻撃可能であることが判明。早急なセキュリティパッチの適用が推奨されている。