Tech Insights

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPHPオブジェクトインジェクションの脆弱性発見、認証済みユーザーによる攻撃に注意

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPH...

WordPressテーマEmpowermentのバージョン1.0.2以前に、PHPオブジェクトインジェクションの脆弱性が発見された。Contributor以上の権限を持つ認証済みユーザーが悪用可能で、CVSSスコアは8.8と高く評価されている。追加のプラグインやテーマがインストールされている環境では、任意のファイルの削除や機密データの取得、コードの実行などの攻撃が可能になる可能性がある。

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPH...

WordPressテーマEmpowermentのバージョン1.0.2以前に、PHPオブジェクトインジェクションの脆弱性が発見された。Contributor以上の権限を持つ認証済みユーザーが悪用可能で、CVSSスコアは8.8と高く評価されている。追加のプラグインやテーマがインストールされている環境では、任意のファイルの削除や機密データの取得、コードの実行などの攻撃が可能になる可能性がある。

【CVE-2024-8881】Zyxel GS1900-48スイッチにコマンドインジェクションの脆弱性、管理者権限で特定コマンドが実行可能に

【CVE-2024-8881】Zyxel GS1900-48スイッチにコマンドインジェクション...

Zyxel CorporationのGS1900-48スイッチファームウェアV2.80(AAHN.1)C0以前のバージョンにおいて、認証後のコマンドインジェクション脆弱性が発見された。認証済み管理者権限を持つ攻撃者がLAN経由で細工されたHTTPリクエストを送信することで、対象デバイスでOSコマンドが実行可能になる。CVSSv3.1スコアは6.8で中程度の深刻度と評価されている。

【CVE-2024-8881】Zyxel GS1900-48スイッチにコマンドインジェクション...

Zyxel CorporationのGS1900-48スイッチファームウェアV2.80(AAHN.1)C0以前のバージョンにおいて、認証後のコマンドインジェクション脆弱性が発見された。認証済み管理者権限を持つ攻撃者がLAN経由で細工されたHTTPリクエストを送信することで、対象デバイスでOSコマンドが実行可能になる。CVSSv3.1スコアは6.8で中程度の深刻度と評価されている。

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Injection脆弱性、認証済みユーザーによる攻撃の可能性

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Inj...

WordPressテーマUnseen Blog 1.0.0以前にPHP Object Injectionの脆弱性が発見された。CVE-2024-7432として識別されるこの脆弱性は、投稿者以上の権限を持つ認証済みユーザーが任意のPHPオブジェクトを注入可能。POP chainが存在する環境では、任意のファイル削除や機密データの取得、コード実行などの深刻な影響が懸念される。CVSSスコアは8.8(HIGH)と評価されており、早急な対応が推奨される。

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Inj...

WordPressテーマUnseen Blog 1.0.0以前にPHP Object Injectionの脆弱性が発見された。CVE-2024-7432として識別されるこの脆弱性は、投稿者以上の権限を持つ認証済みユーザーが任意のPHPオブジェクトを注入可能。POP chainが存在する環境では、任意のファイル削除や機密データの取得、コード実行などの深刻な影響が懸念される。CVSSスコアは8.8(HIGH)と評価されており、早急な対応が推奨される。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発見、バージョン1.0以前のユーザーに影響

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻なSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻...

Patchstack OÜがWordPress用プラグインBlrt WP Embedにおいて、深刻なSQLインジェクション脆弱性【CVE-2024-51606】を発見した。本脆弱性はバージョン1.6.9以前のすべてのバージョンに影響を与えており、CVSSスコア8.5と高い深刻度で評価されている。特に攻撃の複雑さが低く、低い特権レベルで実行可能であることから、早急な対応が求められている。

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻...

Patchstack OÜがWordPress用プラグインBlrt WP Embedにおいて、深刻なSQLインジェクション脆弱性【CVE-2024-51606】を発見した。本脆弱性はバージョン1.6.9以前のすべてのバージョンに影響を与えており、CVSSスコア8.5と高い深刻度で評価されている。特に攻撃の複雑さが低く、低い特権レベルで実行可能であることから、早急な対応が求められている。

【CVE-2024-51587】Definitive Addons for Elementor 1.5.16にXSS脆弱性、WordPress開発者の対応が急務に

【CVE-2024-51587】Definitive Addons for Elementor...

WordPress用プラグインDefinitive Addons for Elementorにおいて、バージョン1.5.16以前に存在するStored XSSの脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価されており、低い特権で攻撃が可能で影響範囲が変更される可能性がある。Patchstack Allianceのセキュリティリサーチャーによって発見されたこの脆弱性は、WordPress用プラグインの安全性に警鐘を鳴らす重要な事例となっている。

【CVE-2024-51587】Definitive Addons for Elementor...

WordPress用プラグインDefinitive Addons for Elementorにおいて、バージョン1.5.16以前に存在するStored XSSの脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価されており、低い特権で攻撃が可能で影響範囲が変更される可能性がある。Patchstack Allianceのセキュリティリサーチャーによって発見されたこの脆弱性は、WordPress用プラグインの安全性に警鐘を鳴らす重要な事例となっている。

【CVE-2024-51488】Ampache7.0.1未満でメッセージ削除機能のCSRF脆弱性が発見、早急な更新が必要に

【CVE-2024-51488】Ampache7.0.1未満でメッセージ削除機能のCSRF脆弱...

オープンソースのWeb音声・動画ストリーミングアプリケーションAmpacheにおいて、メッセージ削除機能のCSRFトークン検証が不十分である脆弱性が発見された。CVSSv4スコアは5.3(Medium)で、攻撃者は悪意のあるリクエストを送信し、管理者を含む任意のユーザーのメッセージを削除可能となる。開発チームは脆弱性を修正したバージョン7.0.1をリリースしており、影響を受ける可能性のあるユーザーに対して即時のアップデートを強く推奨している。

【CVE-2024-51488】Ampache7.0.1未満でメッセージ削除機能のCSRF脆弱...

オープンソースのWeb音声・動画ストリーミングアプリケーションAmpacheにおいて、メッセージ削除機能のCSRFトークン検証が不十分である脆弱性が発見された。CVSSv4スコアは5.3(Medium)で、攻撃者は悪意のあるリクエストを送信し、管理者を含む任意のユーザーのメッセージを削除可能となる。開発チームは脆弱性を修正したバージョン7.0.1をリリースしており、影響を受ける可能性のあるユーザーに対して即時のアップデートを強く推奨している。

【CVE-2024-11099】code-projects Job Recruitment 1.0にSQLインジェクションの脆弱性が発見、即時の対応が必要に

【CVE-2024-11099】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のlogin.phpファイルにおいて、emailパラメータに対するSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特権も必要としないため、早急な対応が求められる。既に攻撃コードが公開されており、データベースへの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2024-11099】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のlogin.phpファイルにおいて、emailパラメータに対するSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特権も必要としないため、早急な対応が求められる。既に攻撃コードが公開されており、データベースへの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2024-11076】code-projects Job Recruitment 1.0にSQL injection脆弱性、リモートからの攻撃が可能に

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロスサイトスクリプティングの脆弱性、未認証攻撃者によるスクリプト実行のリスク

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロス...

WordfenceはWordPress用プラグイン「Form Maker by 10Web」のバージョン1.15.30以前に存在するクロスサイトスクリプティングの脆弱性を公開した。add_query_argパラメータのエスケープ処理が不適切なため、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。CVSS基本値6.1のMEDIUMと評価されており、早急な対応が推奨される。

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロス...

WordfenceはWordPress用プラグイン「Form Maker by 10Web」のバージョン1.15.30以前に存在するクロスサイトスクリプティングの脆弱性を公開した。add_query_argパラメータのエスケープ処理が不適切なため、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。CVSS基本値6.1のMEDIUMと評価されており、早急な対応が推奨される。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートからの攻撃リスクで早急な対応が必要に

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に修正パッチリリース予定

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に...

Netadmin Software社のNetAdmin IAM 3.5以前のバージョンにおいて、HTTP POSTリクエストハンドラーの実装に関する重大な脆弱性が発見された。この脆弱性はCVE-2024-9513として識別され、CVSS v4.0で6.3のミディアムスコアが付与されている。攻撃難易度は高いものの、リモートからの攻撃が可能であり、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に...

Netadmin Software社のNetAdmin IAM 3.5以前のバージョンにおいて、HTTP POSTリクエストハンドラーの実装に関する重大な脆弱性が発見された。この脆弱性はCVE-2024-9513として識別され、CVSS v4.0で6.3のミディアムスコアが付与されている。攻撃難易度は高いものの、リモートからの攻撃が可能であり、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-7434】UltraPress 1.2.1のPHPオブジェクトインジェクション脆弱性、認証済みユーザーによる重大な攻撃のリスクに警鐘

【CVE-2024-7434】UltraPress 1.2.1のPHPオブジェクトインジェクシ...

WordPressテーマのUltraPressにおいて、バージョン1.2.1以前に深刻な脆弱性が発見された。CVE-2024-7434として識別されるこの脆弱性は、Contributor以上の権限を持つ認証済みユーザーによるPHPオブジェクトインジェクションを可能にする。追加プラグインやテーマが存在する環境では、POPチェーンを介した任意のファイル削除やコード実行などの重大な被害につながる可能性がある。

【CVE-2024-7434】UltraPress 1.2.1のPHPオブジェクトインジェクシ...

WordPressテーマのUltraPressにおいて、バージョン1.2.1以前に深刻な脆弱性が発見された。CVE-2024-7434として識別されるこの脆弱性は、Contributor以上の権限を持つ認証済みユーザーによるPHPオブジェクトインジェクションを可能にする。追加プラグインやテーマが存在する環境では、POPチェーンを介した任意のファイル削除やコード実行などの重大な被害につながる可能性がある。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確認、管理者権限の悪用リスクに対応急ぐ

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-44102】Siemens TeleControl Server Basicに深刻な脆弱性、リモートからの任意コード実行の危険性

【CVE-2024-44102】Siemens TeleControl Server Basi...

Siemensは、TeleControl Server Basic V3.1シリーズに重大な脆弱性を発見した。CVE-2024-44102として識別されるこの脆弱性は、CVSS評価で最高値の10.0を記録し、認証なしでのリモート攻撃が可能となる。影響を受けるのはV3.1.2.1未満の全バージョンで、攻撃者はSYSTEM権限でコードを実行できる可能性がある。

【CVE-2024-44102】Siemens TeleControl Server Basi...

Siemensは、TeleControl Server Basic V3.1シリーズに重大な脆弱性を発見した。CVE-2024-44102として識別されるこの脆弱性は、CVSS評価で最高値の10.0を記録し、認証なしでのリモート攻撃が可能となる。影響を受けるのはV3.1.2.1未満の全バージョンで、攻撃者はSYSTEM権限でコードを実行できる可能性がある。

【CVE-2024-47808】SINEC NMS V3.0 SP1未満に深刻な脆弱性、ファイルシステム権限の不適切な設定により任意のコンテンツ書き込みが可能に

【CVE-2024-47808】SINEC NMS V3.0 SP1未満に深刻な脆弱性、ファイ...

Siemens社のSINEC NMS V3.0 SP1未満のバージョンにおいて、データベース機能のファイルシステム権限が適切に制限されていない脆弱性が発見された。CVSSスコア8.4の高リスク脆弱性として評価され、認証済みの中程度の特権を持つ攻撃者がホストシステムのファイルシステム上の任意の場所に任意のコンテンツを書き込むことが可能となる。

【CVE-2024-47808】SINEC NMS V3.0 SP1未満に深刻な脆弱性、ファイ...

Siemens社のSINEC NMS V3.0 SP1未満のバージョンにおいて、データベース機能のファイルシステム権限が適切に制限されていない脆弱性が発見された。CVSSスコア8.4の高リスク脆弱性として評価され、認証済みの中程度の特権を持つ攻撃者がホストシステムのファイルシステム上の任意の場所に任意のコンテンツを書き込むことが可能となる。

【CVE-2024-51030】Cab Management System 1.0にSQLインジェクションの脆弱性、データベース情報漏洩のリスクが深刻化

【CVE-2024-51030】Cab Management System 1.0にSQLイン...

MITREはCab Management System 1.0における重大な脆弱性【CVE-2024-51030】を公開した。manage_client.phpとview_cab.phpにSQLインジェクションの脆弱性が確認され、idパラメータを介して任意のSQLコマンドが実行可能になっている。攻撃者による不正アクセスやデータベース内の機密情報漏洩が懸念され、早急な対策が求められている。

【CVE-2024-51030】Cab Management System 1.0にSQLイン...

MITREはCab Management System 1.0における重大な脆弱性【CVE-2024-51030】を公開した。manage_client.phpとview_cab.phpにSQLインジェクションの脆弱性が確認され、idパラメータを介して任意のSQLコマンドが実行可能になっている。攻撃者による不正アクセスやデータベース内の機密情報漏洩が懸念され、早急な対策が求められている。

【CVE-2024-49403】Samsung Voice Recorderにセキュリティ脆弱性、録音ファイルへの不正アクセスのリスクが判明

【CVE-2024-49403】Samsung Voice Recorderにセキュリティ脆弱...

Samsung Mobileは2024年11月6日、Samsung Voice Recorderのバージョン21.5.40.37未満に存在するセキュリティ脆弱性を公開した。CVE-2024-49403として識別されるこの脆弱性では、物理的な攻撃者がロック画面上で録音ファイルに不正アクセス可能となる。CVSSスコアは4.6(MEDIUM)を記録し、バージョン21.5.40.37で修正された。

【CVE-2024-49403】Samsung Voice Recorderにセキュリティ脆弱...

Samsung Mobileは2024年11月6日、Samsung Voice Recorderのバージョン21.5.40.37未満に存在するセキュリティ脆弱性を公開した。CVE-2024-49403として識別されるこの脆弱性では、物理的な攻撃者がロック画面上で録音ファイルに不正アクセス可能となる。CVSSスコアは4.6(MEDIUM)を記録し、バージョン21.5.40.37で修正された。

【CVE-2024-48045】Happy Elementor Addonsにアクセス制御の脆弱性が発見、バージョン3.12.4で修正完了

【CVE-2024-48045】Happy Elementor Addonsにアクセス制御の脆...

WordPressプラグインHappy Elementor Addonsにおいて、バージョン3.12.3以前に影響を与えるアクセス制御の脆弱性が発見された。CVE-2024-48045として識別されるこの脆弱性は、認可機能の欠如によるものでCVSSスコア4.3の中程度の深刻度とされている。Leevioは迅速に対応しバージョン3.12.4で修正を完了。ユーザーには早急なアップデートが推奨される。

【CVE-2024-48045】Happy Elementor Addonsにアクセス制御の脆...

WordPressプラグインHappy Elementor Addonsにおいて、バージョン3.12.3以前に影響を与えるアクセス制御の脆弱性が発見された。CVE-2024-48045として識別されるこの脆弱性は、認可機能の欠如によるものでCVSSスコア4.3の中程度の深刻度とされている。Leevioは迅速に対応しバージョン3.12.4で修正を完了。ユーザーには早急なアップデートが推奨される。

【CVE-2024-47768】Lif Authentication Serverにパスワード更新の認証バイパスの脆弱性、アカウント乗っ取りのリスクに直面

【CVE-2024-47768】Lif Authentication Serverにパスワード...

Lif Authentication Serverのアカウント復旧システムに重大な脆弱性が発見された。バージョン1.7.3未満では、メールアドレスを知っているだけでパスワードリセットが可能な状態であり、アカウント乗っ取りのリスクが存在。CVSSスコアは6.9(MEDIUM)で、攻撃条件の複雑さは低く特権も不要。バージョン1.7.3で適切な認証チェックが実装され、脆弱性は修正された。

【CVE-2024-47768】Lif Authentication Serverにパスワード...

Lif Authentication Serverのアカウント復旧システムに重大な脆弱性が発見された。バージョン1.7.3未満では、メールアドレスを知っているだけでパスワードリセットが可能な状態であり、アカウント乗っ取りのリスクが存在。CVSSスコアは6.9(MEDIUM)で、攻撃条件の複雑さは低く特権も不要。バージョン1.7.3で適切な認証チェックが実装され、脆弱性は修正された。

【CVE-2024-46948】Northern.tech Menderにアクセス制御の脆弱性、早急なアップデートが必要に

【CVE-2024-46948】Northern.tech Menderにアクセス制御の脆弱性...

Northern.tech社のMenderに重大な脆弱性【CVE-2024-46948】が発見された。この脆弱性は3.6.5未満のバージョン及び3.7.x系列の3.7.5未満のバージョンに影響を与えるアクセス制御の不備に関連するものだ。セキュリティ専門家による分析により、この脆弱性が攻撃者によって悪用される可能性が指摘されており、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-46948】Northern.tech Menderにアクセス制御の脆弱性...

Northern.tech社のMenderに重大な脆弱性【CVE-2024-46948】が発見された。この脆弱性は3.6.5未満のバージョン及び3.7.x系列の3.7.5未満のバージョンに影響を与えるアクセス制御の不備に関連するものだ。セキュリティ専門家による分析により、この脆弱性が攻撃者によって悪用される可能性が指摘されており、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-43923】WordPressプラグインTimeticsに権限関連の脆弱性、バージョン1.0.24で修正完了

【CVE-2024-43923】WordPressプラグインTimeticsに権限関連の脆弱性...

WordPressプラグインTimeticsにおいて、アクセス制御リストによる権限確認が適切に行われていない脆弱性【CVE-2024-43923】が発見された。この脆弱性はバージョン1.0.23以前に影響し、CVSS 3.1で深刻度5.3(中程度)と評価されている。Arraytics社は対策としてバージョン1.0.24を提供し、認証機能の強化により未認証ユーザーによる不正アクセスのリスクを軽減した。

【CVE-2024-43923】WordPressプラグインTimeticsに権限関連の脆弱性...

WordPressプラグインTimeticsにおいて、アクセス制御リストによる権限確認が適切に行われていない脆弱性【CVE-2024-43923】が発見された。この脆弱性はバージョン1.0.23以前に影響し、CVSS 3.1で深刻度5.3(中程度)と評価されている。Arraytics社は対策としてバージョン1.0.24を提供し、認証機能の強化により未認証ユーザーによる不正アクセスのリスクを軽減した。

【CVE-2024-43323】ReviewX 1.6.28で認可不備の脆弱性が発見、アクセス制御に問題あり

【CVE-2024-43323】ReviewX 1.6.28で認可不備の脆弱性が発見、アクセス...

WordPressプラグインReviewXにおいて、アクセス制御リスト(ACL)による機能制限が適切に機能しない脆弱性が発見された。CVE-2024-43323として識別されるこの問題は、1.6.28以前のバージョンに影響を与え、CVSS 3.1で中程度(5.3)の深刻度が評価されている。認可が適切に実装されていないため、本来アクセスできない機能への不正アクセスが可能となる可能性がある。対策として1.6.29以降へのアップデートが推奨される。

【CVE-2024-43323】ReviewX 1.6.28で認可不備の脆弱性が発見、アクセス...

WordPressプラグインReviewXにおいて、アクセス制御リスト(ACL)による機能制限が適切に機能しない脆弱性が発見された。CVE-2024-43323として識別されるこの問題は、1.6.28以前のバージョンに影響を与え、CVSS 3.1で中程度(5.3)の深刻度が評価されている。認可が適切に実装されていないため、本来アクセスできない機能への不正アクセスが可能となる可能性がある。対策として1.6.29以降へのアップデートが推奨される。

【CVE-2024-40240】HomeServe Home Repair 3.3.4に認証機能の脆弱性、物理的な近接攻撃により権限昇格の危険性

【CVE-2024-40240】HomeServe Home Repair 3.3.4に認証機...

HomeServe Home RepairのAndroidアプリバージョン3.3.4において、指紋認証機能に関する重大な脆弱性が発見された。CVE-2024-40240として識別されるこの脆弱性は、物理的に近接した攻撃者による権限昇格を可能にする。CVSSスコア6.1(MEDIUM)と評価され、機密性と完全性への高い影響が懸念される。特権レベルは不要で攻撃条件の複雑さも低いとされている。

【CVE-2024-40240】HomeServe Home Repair 3.3.4に認証機...

HomeServe Home RepairのAndroidアプリバージョン3.3.4において、指紋認証機能に関する重大な脆弱性が発見された。CVE-2024-40240として識別されるこの脆弱性は、物理的に近接した攻撃者による権限昇格を可能にする。CVSSスコア6.1(MEDIUM)と評価され、機密性と完全性への高い影響が懸念される。特権レベルは不要で攻撃条件の複雑さも低いとされている。

【CVE-2024-32946】LevelOne WBR-6012 R0.40e6に脆弱性、機密情報が平文送信されるリスクが発覚

【CVE-2024-32946】LevelOne WBR-6012 R0.40e6に脆弱性、機...

LevelOne WBR-6012ルーターのファームウェアR0.40e6において、WebおよびFTPサービスを介して機密情報が平文で送信される重大な脆弱性が発見された。CVE-2024-32946として識別されたこの問題は、ネットワークスニッフィング攻撃によるデータ漏洩のリスクをもたらす。CVSSスコア5.9でMEDIUMと評価され、特別な権限なしで攻撃が可能な状態となっている。

【CVE-2024-32946】LevelOne WBR-6012 R0.40e6に脆弱性、機...

LevelOne WBR-6012ルーターのファームウェアR0.40e6において、WebおよびFTPサービスを介して機密情報が平文で送信される重大な脆弱性が発見された。CVE-2024-32946として識別されたこの問題は、ネットワークスニッフィング攻撃によるデータ漏洩のリスクをもたらす。CVSSスコア5.9でMEDIUMと評価され、特別な権限なしで攻撃が可能な状態となっている。

【CVE-2024-11000】CodeAstro Real Estate Management System 1.0に脆弱性が発見、ファイルアップロードの制限回避が可能に

【CVE-2024-11000】CodeAstro Real Estate Managemen...

CodeAstroのReal Estate Management System 1.0のAbout Us Pageコンポーネントにおいて、aboutedit.phpファイルのaimage引数を介して制限のないファイルアップロードが可能となる脆弱性が発見された。CVE-2024-11000として識別されたこの脆弱性は、認証された攻撃者によってリモートから攻撃可能であり、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-11000】CodeAstro Real Estate Managemen...

CodeAstroのReal Estate Management System 1.0のAbout Us Pageコンポーネントにおいて、aboutedit.phpファイルのaimage引数を介して制限のないファイルアップロードが可能となる脆弱性が発見された。CVE-2024-11000として識別されたこの脆弱性は、認証された攻撃者によってリモートから攻撃可能であり、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-41745】IBM CICS TX StandardのWeb UIに深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクが発生

【CVE-2024-41745】IBM CICS TX StandardのWeb UIに深刻な...

IBMは2024年11月1日、CICS TX Standard 11.1のWeb UIにおけるクロスサイトスクリプティングの脆弱性を公開した。CVE-2024-41745として識別されたこの脆弱性は、認証されていないユーザーが任意のJavaScriptコードを埋め込むことを可能にし、信頼されたセッション内での認証情報漏洩のリスクをもたらす。CVSSスコア6.1の中程度の深刻度と評価されており、早急な対応が推奨されている。

【CVE-2024-41745】IBM CICS TX StandardのWeb UIに深刻な...

IBMは2024年11月1日、CICS TX Standard 11.1のWeb UIにおけるクロスサイトスクリプティングの脆弱性を公開した。CVE-2024-41745として識別されたこの脆弱性は、認証されていないユーザーが任意のJavaScriptコードを埋め込むことを可能にし、信頼されたセッション内での認証情報漏洩のリスクをもたらす。CVSSスコア6.1の中程度の深刻度と評価されており、早急な対応が推奨されている。

Windows 10 Build 19045.5194が最後のBetaチャネルアップデートとなり、Windows 11への移行を促進

Windows 10 Build 19045.5194が最後のBetaチャネルアップデートとな...

Windows Insider Programチームが2024年11月14日にWindows 10 22H2 Build 19045.5194をBetaチャネルとRelease Previewチャネルに公開。このアップデートを最後にWindows 10のBetaチャネルは終了となり、ユーザーはRelease Previewチャネルへ移行。Start menuのRecommendedセクションにMicrosoft Storeアプリを表示する新機能と、複数の不具合修正も実施された。

Windows 10 Build 19045.5194が最後のBetaチャネルアップデートとな...

Windows Insider Programチームが2024年11月14日にWindows 10 22H2 Build 19045.5194をBetaチャネルとRelease Previewチャネルに公開。このアップデートを最後にWindows 10のBetaチャネルは終了となり、ユーザーはRelease Previewチャネルへ移行。Start menuのRecommendedセクションにMicrosoft Storeアプリを表示する新機能と、複数の不具合修正も実施された。

Green CarbonがSMBCVCと三菱UFJキャピタルから資金調達、カーボンクレジット事業の国際展開を加速

Green CarbonがSMBCVCと三菱UFJキャピタルから資金調達、カーボンクレジット事...

Green Carbon株式会社はSMBCベンチャーキャピタルと三菱UFJキャピタルを引受先とした第三者割当増資を実施。2024年度から日本・東南アジア・オセアニアでネイチャーベースカーボンクレジット事業を本格展開。水田J-クレジットで日本初の認証を取得し、クレジット創出からワンストップで提供するAgreenプラットフォームも提供開始。

Green CarbonがSMBCVCと三菱UFJキャピタルから資金調達、カーボンクレジット事...

Green Carbon株式会社はSMBCベンチャーキャピタルと三菱UFJキャピタルを引受先とした第三者割当増資を実施。2024年度から日本・東南アジア・オセアニアでネイチャーベースカーボンクレジット事業を本格展開。水田J-クレジットで日本初の認証を取得し、クレジット創出からワンストップで提供するAgreenプラットフォームも提供開始。

パスロジがMicrosoft 365の認証基盤Microsoft Entra IDとPassLogicの連携を発表、多要素認証による安全性向上を実現

パスロジがMicrosoft 365の認証基盤Microsoft Entra IDとPassL...

パスロジ株式会社は多要素認証ソリューション「PassLogic」の最新バージョンとMicrosoft 365の認証基盤「Microsoft Entra ID」とのSAML連携検証の完了を発表した。PassLogicの8種類の認証方法を組み合わせた16種類の多彩な多要素認証がMicrosoft 365で利用可能になり、企業の情報セキュリティ強化に貢献する。

パスロジがMicrosoft 365の認証基盤Microsoft Entra IDとPassL...

パスロジ株式会社は多要素認証ソリューション「PassLogic」の最新バージョンとMicrosoft 365の認証基盤「Microsoft Entra ID」とのSAML連携検証の完了を発表した。PassLogicの8種類の認証方法を組み合わせた16種類の多彩な多要素認証がMicrosoft 365で利用可能になり、企業の情報セキュリティ強化に貢献する。