Tech Insights

【CVE-2024-49404】Samsung Video Playerに不適切なアクセス制御の脆弱性、他ユーザーの動画ファイルへのアクセスが可能に

【CVE-2024-49404】Samsung Video Playerに不適切なアクセス制御...

Samsungは2024年11月6日、Samsung Video Playerの一部バージョンにおける不適切なアクセス制御の脆弱性を公開した。Android 12では7.3.29.1より前のバージョン、Android 13では7.3.36.1より前のバージョン、Android 14では7.3.41.230より前のバージョンが影響を受け、物理的な攻撃者による他ユーザーの動画ファイルへのアクセスが可能となる。CVSSスコアは5.5(Medium)と評価されている。

【CVE-2024-49404】Samsung Video Playerに不適切なアクセス制御...

Samsungは2024年11月6日、Samsung Video Playerの一部バージョンにおける不適切なアクセス制御の脆弱性を公開した。Android 12では7.3.29.1より前のバージョン、Android 13では7.3.36.1より前のバージョン、Android 14では7.3.41.230より前のバージョンが影響を受け、物理的な攻撃者による他ユーザーの動画ファイルへのアクセスが可能となる。CVSSスコアは5.5(Medium)と評価されている。

【CVE-2024-45764】Dell Enterprise SONiC OSの認証バイパス脆弱性が発見、早急なアップデートの適用が必要に

【CVE-2024-45764】Dell Enterprise SONiC OSの認証バイパス...

Dell EMCは2024年11月8日、Dell Enterprise SONiC OSのバージョン4.1.x、4.2.xに存在する重大な認証バイパスの脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として評価され、リモートからの不正アクセスが可能となる問題が指摘されている。Dell EMCはバージョン4.1.6および4.2.2以降へのアップグレードを提供しており、早急な対応が推奨される。

【CVE-2024-45764】Dell Enterprise SONiC OSの認証バイパス...

Dell EMCは2024年11月8日、Dell Enterprise SONiC OSのバージョン4.1.x、4.2.xに存在する重大な認証バイパスの脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として評価され、リモートからの不正アクセスが可能となる問題が指摘されている。Dell EMCはバージョン4.1.6および4.2.2以降へのアップグレードを提供しており、早急な対応が推奨される。

【CVE-2024-43925】WordPress用プラグインEnvira Gallery Liteに認証の欠如による脆弱性が発見、バージョン1.8.15で修正済みに

【CVE-2024-43925】WordPress用プラグインEnvira Gallery L...

Patchstack OÜはWordPressプラグインEnvira Gallery Liteのバージョン1.8.14以前に認証の欠如による脆弱性が存在することを公開した。CVSSスコアは4.3で中程度の深刻度とされている。この脆弱性はアクセス制御の設定が適切に構成されていないことに起因しており、攻撃者が不正なアクセス権限を取得する可能性がある。Envira Gallery Teamはバージョン1.8.15でパッチを適用し、認証機能の強化を実施している。

【CVE-2024-43925】WordPress用プラグインEnvira Gallery L...

Patchstack OÜはWordPressプラグインEnvira Gallery Liteのバージョン1.8.14以前に認証の欠如による脆弱性が存在することを公開した。CVSSスコアは4.3で中程度の深刻度とされている。この脆弱性はアクセス制御の設定が適切に構成されていないことに起因しており、攻撃者が不正なアクセス権限を取得する可能性がある。Envira Gallery Teamはバージョン1.8.15でパッチを適用し、認証機能の強化を実施している。

【CVE-2024-40239】Life: Personal Diary, Journal 17.5.0の指紋認証に脆弱性、物理的な権限昇格の可能性が発覚

【CVE-2024-40239】Life: Personal Diary, Journal 1...

Androidアプリケーション「Life: Personal Diary, Journal 17.5.0」において、指紋認証機能のアクセス制御に不備が発見された。CVSSスコア6.1のMedium評価で、物理的に近接する攻撃者による権限昇格が可能となる脆弱性が確認されている。機密性と完全性への高い影響が指摘され、個人のプライバシー情報を扱うアプリケーションとして早急な対応が必要とされている。

【CVE-2024-40239】Life: Personal Diary, Journal 1...

Androidアプリケーション「Life: Personal Diary, Journal 17.5.0」において、指紋認証機能のアクセス制御に不備が発見された。CVSSスコア6.1のMedium評価で、物理的に近接する攻撃者による権限昇格が可能となる脆弱性が確認されている。機密性と完全性への高い影響が指摘され、個人のプライバシー情報を扱うアプリケーションとして早急な対応が必要とされている。

【CVE-2024-34682】Samsung MobileのSettingsにおける認証不備、メンテナンスモードでのWiFiパスワード参照が可能に

【CVE-2024-34682】Samsung MobileのSettingsにおける認証不備...

Samsung Mobileは、同社のモバイル端末のSettingsにおいて認証に関する脆弱性を発見し公開した。この脆弱性はSMR Nov-2024 Release 1以前のバージョンに影響を及ぼし、メンテナンスモードにおいて物理的なアクセスを持つ攻撃者がWiFiパスワードを参照できる問題が確認されている。CVSSスコアは2.4(Low)と評価され、Android 14向けにSMR Nov-2024 Releaseで修正された。

【CVE-2024-34682】Samsung MobileのSettingsにおける認証不備...

Samsung Mobileは、同社のモバイル端末のSettingsにおいて認証に関する脆弱性を発見し公開した。この脆弱性はSMR Nov-2024 Release 1以前のバージョンに影響を及ぼし、メンテナンスモードにおいて物理的なアクセスを持つ攻撃者がWiFiパスワードを参照できる問題が確認されている。CVSSスコアは2.4(Low)と評価され、Android 14向けにSMR Nov-2024 Releaseで修正された。

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱性が発覚、ユーザーアカウント管理機能に深刻な影響

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...

Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...

Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。

【CVE-2024-50451】WordPress MDTFプラグイン1.3.3.4にXSS脆弱性が発見、早急な対策が必要に

【CVE-2024-50451】WordPress MDTFプラグイン1.3.3.4にXSS脆...

WordPress用プラグイン「Meta Data And Taxonomies Filter (MDTF)」のバージョン1.3.3.4以前に格納型XSSの脆弱性が発見された。CVE-2024-50451として識別されたこの脆弱性は、Webページ生成時の入力値の無害化処理が不適切であることに起因する。CVSSスコアは6.5と評価され、攻撃には低い権限と利用者の操作が必要だが、早急なアップデートが推奨される。

【CVE-2024-50451】WordPress MDTFプラグイン1.3.3.4にXSS脆...

WordPress用プラグイン「Meta Data And Taxonomies Filter (MDTF)」のバージョン1.3.3.4以前に格納型XSSの脆弱性が発見された。CVE-2024-50451として識別されたこの脆弱性は、Webページ生成時の入力値の無害化処理が不適切であることに起因する。CVSSスコアは6.5と評価され、攻撃には低い権限と利用者の操作が必要だが、早急なアップデートが推奨される。

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7.14.6と8.7.1で対策実施

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...

オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...

オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。

【CVE-2024-6442】Zephyr OS 3.6のBluetoothスタックに脆弱性、バッファオーバーフローによるセキュリティリスクが浮上

【CVE-2024-6442】Zephyr OS 3.6のBluetoothスタックに脆弱性、...

Zephyr Projectは2024年10月4日、Zephyr OSのBluetoothスタックにバッファオーバーフロー脆弱性が存在することを公開した。CVE-2024-6442として識別されるこの脆弱性は、ASCSのレスポンスバッファの未チェックにより発生し、CVSSスコア6.3の中程度の深刻度と評価されている。影響を受けるのはZephyr 3.6までのすべてのバージョンで、システムの機密性、整合性、可用性に影響を与える可能性がある。

【CVE-2024-6442】Zephyr OS 3.6のBluetoothスタックに脆弱性、...

Zephyr Projectは2024年10月4日、Zephyr OSのBluetoothスタックにバッファオーバーフロー脆弱性が存在することを公開した。CVE-2024-6442として識別されるこの脆弱性は、ASCSのレスポンスバッファの未チェックにより発生し、CVSSスコア6.3の中程度の深刻度と評価されている。影響を受けるのはZephyr 3.6までのすべてのバージョンで、システムの機密性、整合性、可用性に影響を与える可能性がある。

【CVE-2024-50561】Siemens製品のファイル名サニタイズ処理に脆弱性、バージョン8.2未満の製品でシステム整合性に影響

【CVE-2024-50561】Siemens製品のファイル名サニタイズ処理に脆弱性、バージョ...

Siemensは複数の産業用ネットワーク機器においてファイル名のサニタイズ処理に関する脆弱性【CVE-2024-50561】を公開した。RUGGEDCOM RM1224 LTE(4G)やSCALANCEシリーズなど、バージョン8.2未満の製品が影響を受け、認証済みリモート攻撃者によるシステム整合性の侵害が可能となる。CVSSスコアはv3.1で4.3、v4.0で5.1のMedium評価だ。

【CVE-2024-50561】Siemens製品のファイル名サニタイズ処理に脆弱性、バージョ...

Siemensは複数の産業用ネットワーク機器においてファイル名のサニタイズ処理に関する脆弱性【CVE-2024-50561】を公開した。RUGGEDCOM RM1224 LTE(4G)やSCALANCEシリーズなど、バージョン8.2未満の製品が影響を受け、認証済みリモート攻撃者によるシステム整合性の侵害が可能となる。CVSSスコアはv3.1で4.3、v4.0で5.1のMedium評価だ。

【CVE-2024-50557】Siemens製品にiPerf機能の入力検証における重大な脆弱性が発見、未認証の攻撃者による任意コード実行のリスク

【CVE-2024-50557】Siemens製品にiPerf機能の入力検証における重大な脆弱...

Siemensは複数の産業用通信機器における重大な脆弱性を公開した。RUGGEDCOM RM1224やSCALANCEシリーズなどのバージョン8.2未満の製品で、iperf機能の設定フィールドにおける入力検証の不備が発見された。未認証のリモート攻撃者による任意のコード実行が可能となる危険性があり、CVSSスコアは3.1で7.2、4.0で8.6と高い深刻度を示している。

【CVE-2024-50557】Siemens製品にiPerf機能の入力検証における重大な脆弱...

Siemensは複数の産業用通信機器における重大な脆弱性を公開した。RUGGEDCOM RM1224やSCALANCEシリーズなどのバージョン8.2未満の製品で、iperf機能の設定フィールドにおける入力検証の不備が発見された。未認証のリモート攻撃者による任意のコード実行が可能となる危険性があり、CVSSスコアは3.1で7.2、4.0で8.6と高い深刻度を示している。

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、重大度HIGHで早急な対応が必要に

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...

SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...

SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。

【CVE-2024-49407】Samsung Flow 4.9.15.7未満に不適切なアクセス制御の脆弱性、物理的な攻撃によるユーザープロファイル間のデータアクセスが可能に

【CVE-2024-49407】Samsung Flow 4.9.15.7未満に不適切なアクセ...

Samsung Mobileは、Samsung Flow 4.9.15.7未満のバージョンにおいて不適切なアクセス制御の脆弱性【CVE-2024-49407】を公開した。この脆弱性により物理的な攻撃者が複数のユーザープロファイル間のデータにアクセスできる状態となっており、CVSSスコアは4.6(Medium)と評価されている。CISAは本脆弱性の攻撃には物理的なアクセスが必要で、攻撃の自動化は不可能と判断。Samsung Flow 4.9.15.7へのアップデートが推奨される。

【CVE-2024-49407】Samsung Flow 4.9.15.7未満に不適切なアクセ...

Samsung Mobileは、Samsung Flow 4.9.15.7未満のバージョンにおいて不適切なアクセス制御の脆弱性【CVE-2024-49407】を公開した。この脆弱性により物理的な攻撃者が複数のユーザープロファイル間のデータにアクセスできる状態となっており、CVSSスコアは4.6(Medium)と評価されている。CISAは本脆弱性の攻撃には物理的なアクセスが必要で、攻撃の自動化は不可能と判断。Samsung Flow 4.9.15.7へのアップデートが推奨される。

【CVE-2024-49405】Samsung Pass認証脆弱性の修正、バージョン4.4.04.7で対策完了

【CVE-2024-49405】Samsung Pass認証脆弱性の修正、バージョン4.4.0...

Samsung MobileはSamsung Passの重要な脆弱性【CVE-2024-49405】を公開した。バージョン4.4.04.7未満に存在するPrivate Info認証処理の脆弱性により、物理的な攻撃者による機密情報へのアクセスが可能となる。CVSSスコア5.3の中程度の深刻度と評価され、攻撃条件の複雑さは低いものの物理的アクセスが必要。Samsung Passユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-49405】Samsung Pass認証脆弱性の修正、バージョン4.4.0...

Samsung MobileはSamsung Passの重要な脆弱性【CVE-2024-49405】を公開した。バージョン4.4.04.7未満に存在するPrivate Info認証処理の脆弱性により、物理的な攻撃者による機密情報へのアクセスが可能となる。CVSSスコア5.3の中程度の深刻度と評価され、攻撃条件の複雑さは低いものの物理的アクセスが必要。Samsung Passユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-48044】ShortPixel Image Optimizer 5.6.3にアクセス制御の脆弱性が発見、早急な更新が必要に

【CVE-2024-48044】ShortPixel Image Optimizer 5.6....

WordPressプラグインのShortPixel Image Optimizerにアクセス制御の脆弱性が発見された。バージョン5.6.3以前が影響を受け、認証済みユーザーによる権限昇格の可能性がある。CVSSスコアは5.4でミディアムレベルの深刻度とされ、Patchstack OÜのRafie Muhammadによって発見された。バージョン5.6.4で修正済みのため、早急なアップデートが推奨される。

【CVE-2024-48044】ShortPixel Image Optimizer 5.6....

WordPressプラグインのShortPixel Image Optimizerにアクセス制御の脆弱性が発見された。バージョン5.6.3以前が影響を受け、認証済みユーザーによる権限昇格の可能性がある。CVSSスコアは5.4でミディアムレベルの深刻度とされ、Patchstack OÜのRafie Muhammadによって発見された。バージョン5.6.4で修正済みのため、早急なアップデートが推奨される。

【CVE-2024-43932】The Plus Addons For Elementor 5.6.2に認可機能の欠落による深刻な脆弱性が発見、直ちにアップデートが必要に

【CVE-2024-43932】The Plus Addons For Elementor 5...

WordPressプラグインThe Plus Addons For Elementor Page Builder Liteにおいて、認可機能の欠落による重大な脆弱性が発見された。CVE-2024-43932として識別されたこの問題は、バージョン5.6.2までのすべてのバージョンに影響を与える。CVSSスコア6.5を記録しており、攻撃の複雑さは低いものの特権が必要とされる。開発元のPOSIMYTHは直ちにバージョン5.6.3をリリースし、脆弱性を修正している。

【CVE-2024-43932】The Plus Addons For Elementor 5...

WordPressプラグインThe Plus Addons For Elementor Page Builder Liteにおいて、認可機能の欠落による重大な脆弱性が発見された。CVE-2024-43932として識別されたこの問題は、バージョン5.6.2までのすべてのバージョンに影響を与える。CVSSスコア6.5を記録しており、攻撃の複雑さは低いものの特権が必要とされる。開発元のPOSIMYTHは直ちにバージョン5.6.3をリリースし、脆弱性を修正している。

【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可機能の欠陥、アクセス制御の不備でセキュリティリスクが増大

【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可...

WordPressプラグインのPhoto Engineにおいて、認可機能に関する重大な脆弱性が発見された。CVSSスコア4.3(MEDIUM)に分類されるこの脆弱性は、アクセス制御の設定が不適切に構成されており、認可されていないユーザーによる不正アクセスが可能となる可能性がある。開発元のJordy Meowはバージョン6.4.1で修正プログラムを提供している。

【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可...

WordPressプラグインのPhoto Engineにおいて、認可機能に関する重大な脆弱性が発見された。CVSSスコア4.3(MEDIUM)に分類されるこの脆弱性は、アクセス制御の設定が不適切に構成されており、認可されていないユーザーによる不正アクセスが可能となる可能性がある。開発元のJordy Meowはバージョン6.4.1で修正プログラムを提供している。

【CVE-2024-43310】WordPress用Print Barcode Labelsプラグインでアクセス制御の脆弱性が発見、バージョン3.4.10で修正へ

【CVE-2024-43310】WordPress用Print Barcode Labelsプ...

UkrSolutionは、WordPress用プラグインPrint Barcode Labels for WooCommerceにアクセス制御の欠陥が存在することを2024年11月1日に公開した。バージョン3.4.9以前に存在する認可の欠如による脆弱性は、CVSSスコア6.5を記録。早急なバージョン3.4.10へのアップデートが推奨される。攻撃者がネットワーク経由でアクセス制御を迂回し、機密情報の漏洩につながる可能性がある。

【CVE-2024-43310】WordPress用Print Barcode Labelsプ...

UkrSolutionは、WordPress用プラグインPrint Barcode Labels for WooCommerceにアクセス制御の欠陥が存在することを2024年11月1日に公開した。バージョン3.4.9以前に存在する認可の欠如による脆弱性は、CVSSスコア6.5を記録。早急なバージョン3.4.10へのアップデートが推奨される。攻撃者がネットワーク経由でアクセス制御を迂回し、機密情報の漏洩につながる可能性がある。

【CVE-2024-43296】WordPress HTML5 Video Player 2.5.30に認証不備の脆弱性、アクセス制御の改善が急務に

【CVE-2024-43296】WordPress HTML5 Video Player 2....

bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度(4.3)の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。

【CVE-2024-43296】WordPress HTML5 Video Player 2....

bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度(4.3)の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する脆弱性、未認証でのアクセスが可能な状態に

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...

Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...

Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。

【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開、制限されたアイテム作成が可能に

【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開...

Jenkins ProjectがJenkins 2.478以前のバージョンにおける重大な脆弱性を公開した。CLIやREST APIを通じてアクセス制御をバイパスし、制限されたアイテムタイプの作成が可能になる問題が発見された。Item/Configure権限を持つ攻撃者が非承認のアイテムを作成できる状態であり、Jenkins 2.462.3およびJenkins 2.479以降で修正された。

【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開...

Jenkins ProjectがJenkins 2.478以前のバージョンにおける重大な脆弱性を公開した。CLIやREST APIを通じてアクセス制御をバイパスし、制限されたアイテムタイプの作成が可能になる問題が発見された。Item/Configure権限を持つ攻撃者が非承認のアイテムを作成できる状態であり、Jenkins 2.462.3およびJenkins 2.479以降で修正された。

【CVE-2024-43312】WPC Frequently Bought Together for WooCommerceに認可制御の脆弱性、バージョン7.2.0で修正完了

【CVE-2024-43312】WPC Frequently Bought Together ...

WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4(Medium)と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。

【CVE-2024-43312】WPC Frequently Bought Together ...

WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4(Medium)と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の欠如による脆弱性が発見、アクセス制御の不備に注意

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...

WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...

WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。

【CVE-2024-50572】Siemensの産業用ネットワーク機器に深刻な脆弱性、管理者権限での不正コード実行の可能性

【CVE-2024-50572】Siemensの産業用ネットワーク機器に深刻な脆弱性、管理者権...

SiemensのRUGGEDCOM RM1224やSCALANCEシリーズなど、複数の産業用ネットワーク機器においてV8.2未満のバージョンに影響する脆弱性が発見された。CVE-2024-50572として識別されたこの脆弱性は、認証済み管理者権限を持つリモート攻撃者によるコード実行やシステムルートシェルの取得を可能にする可能性がある。CVSS v3.1で7.2、v4.0で8.6のスコアが付与された。

【CVE-2024-50572】Siemensの産業用ネットワーク機器に深刻な脆弱性、管理者権...

SiemensのRUGGEDCOM RM1224やSCALANCEシリーズなど、複数の産業用ネットワーク機器においてV8.2未満のバージョンに影響する脆弱性が発見された。CVE-2024-50572として識別されたこの脆弱性は、認証済み管理者権限を持つリモート攻撃者によるコード実行やシステムルートシェルの取得を可能にする可能性がある。CVSS v3.1で7.2、v4.0で8.6のスコアが付与された。

【CVE-2024-50560】SiemensのネットワークデバイスにSSHユーザー名切り捨ての脆弱性、システム完全性への影響に懸念

【CVE-2024-50560】SiemensのネットワークデバイスにSSHユーザー名切り捨て...

Siemens社がRUGGEDCOM RM1224シリーズやSCALANCEシリーズなど複数のネットワークデバイスにおいて、SSHやTelnet接続時に15文字を超えるユーザー名が切り捨てられる脆弱性を公開した。CVSSスコアは3.1で低リスクと評価されているが、システムの完全性を損なう可能性があり、バージョン8.2未満の製品すべてに影響を与えることが判明している。

【CVE-2024-50560】SiemensのネットワークデバイスにSSHユーザー名切り捨て...

Siemens社がRUGGEDCOM RM1224シリーズやSCALANCEシリーズなど複数のネットワークデバイスにおいて、SSHやTelnet接続時に15文字を超えるユーザー名が切り捨てられる脆弱性を公開した。CVSSスコアは3.1で低リスクと評価されているが、システムの完全性を損なう可能性があり、バージョン8.2未満の製品すべてに影響を与えることが判明している。

【CVE-2024-43293】WordPressプラグインRecipe Card Blocks 3.3.1に認証の脆弱性、アクセス制御の設定不備で整合性に影響

【CVE-2024-43293】WordPressプラグインRecipe Card Block...

WPZOOMが開発するWordPressプラグインRecipe Card Blocks for Gutenberg & Elementorにおいて、3.3.1以前のバージョンで認証に関する脆弱性が発見された。この脆弱性はCVE-2024-43293として識別され、CVSSスコア4.3(MEDIUM)が付与されている。アクセス制御の設定不備により、権限のないユーザーによるリソースへのアクセスが可能となる可能性がある。

【CVE-2024-43293】WordPressプラグインRecipe Card Block...

WPZOOMが開発するWordPressプラグインRecipe Card Blocks for Gutenberg & Elementorにおいて、3.3.1以前のバージョンで認証に関する脆弱性が発見された。この脆弱性はCVE-2024-43293として識別され、CVSSスコア4.3(MEDIUM)が付与されている。アクセス制御の設定不備により、権限のないユーザーによるリソースへのアクセスが可能となる可能性がある。

【CVE-2024-32870】iTop Hub Connectorに情報漏洩の脆弱性、複数バージョンでパッチ適用による対策を実施

【CVE-2024-32870】iTop Hub Connectorに情報漏洩の脆弱性、複数バ...

CombodoのITサービス管理ツールiTopにおいて重要な情報漏洩の脆弱性が発見された。この脆弱性により、iTopのURIにアクセス可能な誰もがサーバー情報やOS情報、DBMS情報などの機密情報を読み取ることが可能となっている。CVSSスコア5.8と評価され、バージョン2.7.11、3.0.5、3.1.2、3.2.0でパッチが適用された。

【CVE-2024-32870】iTop Hub Connectorに情報漏洩の脆弱性、複数バ...

CombodoのITサービス管理ツールiTopにおいて重要な情報漏洩の脆弱性が発見された。この脆弱性により、iTopのURIにアクセス可能な誰もがサーバー情報やOS情報、DBMS情報などの機密情報を読み取ることが可能となっている。CVSSスコア5.8と評価され、バージョン2.7.11、3.0.5、3.1.2、3.2.0でパッチが適用された。

【CVE-2024-31151】LevelOne WBR-6012に重大な認証バイパスの脆弱性、起動直後の30秒間で未認証アクセスが可能に

【CVE-2024-31151】LevelOne WBR-6012に重大な認証バイパスの脆弱性...

Talosは2024年10月30日、LevelOne WBR-6012のWebサービスに認証情報が固定化される重大な脆弱性を公開した。CVE-2024-31151として報告されたこの脆弱性では、デバイス起動後30秒間で未認証アクセスが可能となり、強制再起動と組み合わせることで継続的な不正アクセスが実行可能。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。

【CVE-2024-31151】LevelOne WBR-6012に重大な認証バイパスの脆弱性...

Talosは2024年10月30日、LevelOne WBR-6012のWebサービスに認証情報が固定化される重大な脆弱性を公開した。CVE-2024-31151として報告されたこの脆弱性では、デバイス起動後30秒間で未認証アクセスが可能となり、強制再起動と組み合わせることで継続的な不正アクセスが実行可能。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。

【CVE-2024-24409】ManageEngine ADManager Plus 7203に特権昇格の脆弱性、早急なアップデートの適用が必要に

【CVE-2024-24409】ManageEngine ADManager Plus 720...

ManageEngineはADManager Plusにおいて、特権昇格の脆弱性【CVE-2024-24409】を公開した。この脆弱性はModify Computers機能に存在し、バージョン7203以前のすべてのバージョンが影響を受ける。CVSS基本値8.8の高リスクとして評価されており、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低く、早急な対応が求められている。

【CVE-2024-24409】ManageEngine ADManager Plus 720...

ManageEngineはADManager Plusにおいて、特権昇格の脆弱性【CVE-2024-24409】を公開した。この脆弱性はModify Computers機能に存在し、バージョン7203以前のすべてのバージョンが影響を受ける。CVSS基本値8.8の高リスクとして評価されており、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低く、早急な対応が求められている。

【CVE-2024-10429】WAVLINKルーターに深刻な脆弱性、コマンドインジェクションの危険性が明らかに

【CVE-2024-10429】WAVLINKルーターに深刻な脆弱性、コマンドインジェクション...

WAVLINKのWN530H4、WN530HG4、WN572HG3において重大な脆弱性が発見され、IPv6関連機能でコマンドインジェクションが可能となっている。CVSSスコアは8.6と高評価で、遠隔からの攻撃が可能な状態だ。特に企業の対応の遅れが問題視されており、IoT機器のセキュリティ管理における課題が浮き彫りとなっている。

【CVE-2024-10429】WAVLINKルーターに深刻な脆弱性、コマンドインジェクション...

WAVLINKのWN530H4、WN530HG4、WN572HG3において重大な脆弱性が発見され、IPv6関連機能でコマンドインジェクションが可能となっている。CVSSスコアは8.6と高評価で、遠隔からの攻撃が可能な状態だ。特に企業の対応の遅れが問題視されており、IoT機器のセキュリティ管理における課題が浮き彫りとなっている。