Tech Insights
【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...
Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト(ACL)による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。
【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...
Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト(ACL)による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。
【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱...
WordPressのTemplatelyプラグインにおいて、バージョン3.1.2以前に重大な認証の脆弱性が発見された。Missing Authorization脆弱性として確認されたこの問題は、アクセスコントロールリスト(ACL)による適切な制御が不足しており、CVSSスコア6.5を記録。影響を受けるユーザーには、脆弱性が修正されたバージョン3.1.3へのアップデートが推奨される。
【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱...
WordPressのTemplatelyプラグインにおいて、バージョン3.1.2以前に重大な認証の脆弱性が発見された。Missing Authorization脆弱性として確認されたこの問題は、アクセスコントロールリスト(ACL)による適切な制御が不足しており、CVSSスコア6.5を記録。影響を受けるユーザーには、脆弱性が修正されたバージョン3.1.3へのアップデートが推奨される。
【CVE-2024-43928】WordPressのJobSearch Plugin 2.5....
WordPressのJobSearch Plugin 2.5.4以前のバージョンにおいて、アクセス制御に関する重大な脆弱性が発見された。CVE-2024-43928として識別されたこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価され、認証機能の不備によりセキュリティレベルに問題が生じている。影響を受けるバージョンは2.5.4以前のすべてのバージョンであり、管理者は速やかなアップデートが推奨される。
【CVE-2024-43928】WordPressのJobSearch Plugin 2.5....
WordPressのJobSearch Plugin 2.5.4以前のバージョンにおいて、アクセス制御に関する重大な脆弱性が発見された。CVE-2024-43928として識別されたこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価され、認証機能の不備によりセキュリティレベルに問題が生じている。影響を受けるバージョンは2.5.4以前のすべてのバージョンであり、管理者は速やかなアップデートが推奨される。
【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理...
Linux Workbooth v2.5においてネットワーク設定スクリプトを操作することで管理者権限を取得できる特権昇格の脆弱性が発見された。CVSSスコア7.0の高リスクと評価され、CWE-284の不適切なアクセス制御に分類。攻撃の複雑さは高いものの、ユーザーの操作を必要とせず、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性がある深刻な脆弱性となっている。
【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理...
Linux Workbooth v2.5においてネットワーク設定スクリプトを操作することで管理者権限を取得できる特権昇格の脆弱性が発見された。CVSSスコア7.0の高リスクと評価され、CWE-284の不適切なアクセス制御に分類。攻撃の複雑さは高いものの、ユーザーの操作を必要とせず、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性がある深刻な脆弱性となっている。
【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...
Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。
【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...
Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。
【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...
h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。
【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...
h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。
【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...
Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0(MEDIUM)と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。
【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...
Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0(MEDIUM)と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。
PayPayが決済と送金の上限額を100万円に引き上げ、高額決済需要への対応を強化
PayPayが2024年11月より決済上限額と送金上限額を100万円に引き上げることを発表。PayPayクレジットでもPayPayカードの利用可能枠まで決済可能となり、Trip.comでの利用開始など高額決済への対応を強化。eKYC済みユーザーが対象で、セキュリティ対策も実施。送金機能は95%のシェアを誇り、年間送金額は1兆円を突破している。
PayPayが決済と送金の上限額を100万円に引き上げ、高額決済需要への対応を強化
PayPayが2024年11月より決済上限額と送金上限額を100万円に引き上げることを発表。PayPayクレジットでもPayPayカードの利用可能枠まで決済可能となり、Trip.comでの利用開始など高額決済への対応を強化。eKYC済みユーザーが対象で、セキュリティ対策も実施。送金機能は95%のシェアを誇り、年間送金額は1兆円を突破している。
Adobe CommerceとMagento Open SourceがCommerce Ser...
AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。
Adobe CommerceとMagento Open SourceがCommerce Ser...
AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。
【CVE-2024-34675】Samsung Mobile Dex Modeに脆弱性、物理的...
Samsung MobileはDex Modeにおける物理的なアクセス制御の脆弱性を修正するセキュリティアップデートをSMR Nov-2024 Release 1として公開した。この脆弱性は【CVE-2024-34675】として識別され、CVSSスコア2.4(Low)と評価されているが、物理的な攻撃者がロック解除された画面に一時的にアクセスできてしまう問題が存在している。Android 14搭載端末において深刻な影響を及ぼす可能性があり、速やかなアップデートの適用が推奨される。
【CVE-2024-34675】Samsung Mobile Dex Modeに脆弱性、物理的...
Samsung MobileはDex Modeにおける物理的なアクセス制御の脆弱性を修正するセキュリティアップデートをSMR Nov-2024 Release 1として公開した。この脆弱性は【CVE-2024-34675】として識別され、CVSSスコア2.4(Low)と評価されているが、物理的な攻撃者がロック解除された画面に一時的にアクセスできてしまう問題が存在している。Android 14搭載端末において深刻な影響を及ぼす可能性があり、速やかなアップデートの適用が推奨される。
【CVE-2024-47830】Planeにサーバサイドリクエストフォージェリの脆弱性、画像処...
オープンソースのプロジェクト管理ツールPlaneに深刻な脆弱性が発見された。/_next/Imageエンドポイントにおけるワイルドカードサポートの実装により、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が確認され、CVE-2024-47830として報告された。CVSSスコア9.3のクリティカルな脆弱性として評価され、バージョン0.23.0で修正が完了している。
【CVE-2024-47830】Planeにサーバサイドリクエストフォージェリの脆弱性、画像処...
オープンソースのプロジェクト管理ツールPlaneに深刻な脆弱性が発見された。/_next/Imageエンドポイントにおけるワイルドカードサポートの実装により、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が確認され、CVE-2024-47830として報告された。CVSSスコア9.3のクリティカルな脆弱性として評価され、バージョン0.23.0で修正が完了している。
【CVE-2024-47302】WordPress用プラグインFluent Support 1...
WPManageNinja LLCのWordPressプラグインFluent Support 1.8.0以前のバージョンにおいて、認可機能の不備による重大な脆弱性が発見された。CVE-2024-47302として識別されたこの脆弱性は、CVSSスコア5.3(MEDIUM)と評価され、アクセス制御の設定不備によりセキュリティリスクが確認されている。開発元は迅速な対応を行い、バージョン1.8.1で修正を完了している。
【CVE-2024-47302】WordPress用プラグインFluent Support 1...
WPManageNinja LLCのWordPressプラグインFluent Support 1.8.0以前のバージョンにおいて、認可機能の不備による重大な脆弱性が発見された。CVE-2024-47302として識別されたこの脆弱性は、CVSSスコア5.3(MEDIUM)と評価され、アクセス制御の設定不備によりセキュリティリスクが確認されている。開発元は迅速な対応を行い、バージョン1.8.1で修正を完了している。
【CVE-2024-45402】picotlsにDouble Free脆弱性が発見、任意のコー...
h2o社が開発するTLSプロトコルライブラリpicotlsにおいて、偽装されたTLSハンドシェイクメッセージを解析する際に深刻な脆弱性が発見された。この脆弱性は同じメモリ領域を二重に解放してしまう問題で、特定の条件下では攻撃者による任意のコード実行を許してしまう可能性がある。CVSSスコアは8.6(High)と高い深刻度が付与されており、早急な対応が必要とされている。
【CVE-2024-45402】picotlsにDouble Free脆弱性が発見、任意のコー...
h2o社が開発するTLSプロトコルライブラリpicotlsにおいて、偽装されたTLSハンドシェイクメッセージを解析する際に深刻な脆弱性が発見された。この脆弱性は同じメモリ領域を二重に解放してしまう問題で、特定の条件下では攻撃者による任意のコード実行を許してしまう可能性がある。CVSSスコアは8.6(High)と高い深刻度が付与されており、早急な対応が必要とされている。
【CVE-2024-43929】WordPress用プラグインJobSearchに認証の欠如に...
Patchstack社がWordPressプラグインJobSearchのバージョン2.5.4以前に認証の欠如による脆弱性が存在することを公開した。CVE-2024-43929として識別されたこの脆弱性は、アクセス制御リスト(ACL)による制約が不十分であり、攻撃者による不正なアクセスを許す可能性がある。CVSS3.1での評価は6.5(ミディアム)で、対策としてバージョン2.5.6へのアップデートが提供されている。
【CVE-2024-43929】WordPress用プラグインJobSearchに認証の欠如に...
Patchstack社がWordPressプラグインJobSearchのバージョン2.5.4以前に認証の欠如による脆弱性が存在することを公開した。CVE-2024-43929として識別されたこの脆弱性は、アクセス制御リスト(ACL)による制約が不十分であり、攻撃者による不正なアクセスを許す可能性がある。CVSS3.1での評価は6.5(ミディアム)で、対策としてバージョン2.5.6へのアップデートが提供されている。
ソースポッドがSPC Leak Detectionの新コースコンテンツをリリース、効率的な情報...
株式会社ソースポッドは情報セキュリティ教育サービス『SPC Leak Detection』において、2024年11月12日より新たな「コースコンテンツ」の提供を開始する。総合コース、個別コース、テストコース、認証規格コースの4種類で構成され、新人教育から年次効果測定まで幅広いニーズに対応。日本語・英語対応で、グローバル展開する企業での統一的な情報セキュリティ教育を実現する。
ソースポッドがSPC Leak Detectionの新コースコンテンツをリリース、効率的な情報...
株式会社ソースポッドは情報セキュリティ教育サービス『SPC Leak Detection』において、2024年11月12日より新たな「コースコンテンツ」の提供を開始する。総合コース、個別コース、テストコース、認証規格コースの4種類で構成され、新人教育から年次効果測定まで幅広いニーズに対応。日本語・英語対応で、グローバル展開する企業での統一的な情報セキュリティ教育を実現する。
大阪ガスが生成AI活用のカーボンクレジット品質評価システムを開発、詳細説明ウェビナーを11月に開催
大阪ガスが開発した生成AIを活用したカーボンクレジット品質評価システムについて、11月28日にウェビナーを開催する。このシステムはカーボンクレジット創出プロジェクトの計画書を生成AIで分析し、認証基準との整合性を評価することで品質を判断するもので、クレジット市場の透明性向上に貢献することが期待されている。
大阪ガスが生成AI活用のカーボンクレジット品質評価システムを開発、詳細説明ウェビナーを11月に開催
大阪ガスが開発した生成AIを活用したカーボンクレジット品質評価システムについて、11月28日にウェビナーを開催する。このシステムはカーボンクレジット創出プロジェクトの計画書を生成AIで分析し、認証基準との整合性を評価することで品質を判断するもので、クレジット市場の透明性向上に貢献することが期待されている。
エレコムが4K/30Hz対応イーサネット対応ハイスピードHDMIケーブルを発売、高速デジタル伝...
エレコムが2024年11月中旬より新型HDMIケーブルの販売を開始する。最大4K/30Hzの解像度と10.2Gbpsの高速伝送に対応し、3重シールドケーブルや金メッキコネクターによるノイズ対策を実現。イーサネット通信機能とARC機能を搭載し、映像・音声信号のデジタル伝送と100Mbpsの双方向通信を1本のケーブルで可能にした。
エレコムが4K/30Hz対応イーサネット対応ハイスピードHDMIケーブルを発売、高速デジタル伝...
エレコムが2024年11月中旬より新型HDMIケーブルの販売を開始する。最大4K/30Hzの解像度と10.2Gbpsの高速伝送に対応し、3重シールドケーブルや金メッキコネクターによるノイズ対策を実現。イーサネット通信機能とARC機能を搭載し、映像・音声信号のデジタル伝送と100Mbpsの双方向通信を1本のケーブルで可能にした。
株式会社ReceptがproovyアプリにDID/VC技術を活用した生体認証機能を実装、セキュ...
DID/VC技術を専門とする株式会社Receptが、アプリケーションproovyに生体認証機能を実装。アプリログインやVerifialbe Credentials受取時の認証プロセスがより安全かつスムーズに。EBSIの国際認証取得やデータの選択的開示機能の提供など、先駆的な取り組みを展開する同社が、さらなるセキュリティ強化を実現した。
株式会社ReceptがproovyアプリにDID/VC技術を活用した生体認証機能を実装、セキュ...
DID/VC技術を専門とする株式会社Receptが、アプリケーションproovyに生体認証機能を実装。アプリログインやVerifialbe Credentials受取時の認証プロセスがより安全かつスムーズに。EBSIの国際認証取得やデータの選択的開示機能の提供など、先駆的な取り組みを展開する同社が、さらなるセキュリティ強化を実現した。
TailorがTerraform Providerをリリース、Infrastructure a...
Tailor Technologies, Inc.は2024年11月12日、Tailor PlatformのリソースをTerraformで管理できる新ツールTailor Terraform Providerをリリースした。15種類のリソースをサポートし、ワークスペース管理からOAuth2クライアント定義まで幅広い機能を提供。Infrastructure as Codeのワークフローに統合することで、インフラ管理の効率化とスケーラビリティの向上を実現している。
TailorがTerraform Providerをリリース、Infrastructure a...
Tailor Technologies, Inc.は2024年11月12日、Tailor PlatformのリソースをTerraformで管理できる新ツールTailor Terraform Providerをリリースした。15種類のリソースをサポートし、ワークスペース管理からOAuth2クライアント定義まで幅広い機能を提供。Infrastructure as Codeのワークフローに統合することで、インフラ管理の効率化とスケーラビリティの向上を実現している。
東京都がサステナブル・ツーリズムセミナーを開催、食と観光の未来をテーマに専門家が登壇
東京都と東京観光財団は2024年11月26日、サステナブル・ツーリズムに関する第3回セミナーを開催する。日本サステイナブル・レストラン協会代表理事の下田屋毅氏を講師に迎え、フードロス削減やビーガン・ハラル対応等の具体的な取り組みについて解説。基調講演やパネルディスカッション、ワークショップを通じて、持続可能な観光の実現に向けた知識と実践手法を提供する。
東京都がサステナブル・ツーリズムセミナーを開催、食と観光の未来をテーマに専門家が登壇
東京都と東京観光財団は2024年11月26日、サステナブル・ツーリズムに関する第3回セミナーを開催する。日本サステイナブル・レストラン協会代表理事の下田屋毅氏を講師に迎え、フードロス削減やビーガン・ハラル対応等の具体的な取り組みについて解説。基調講演やパネルディスカッション、ワークショップを通じて、持続可能な観光の実現に向けた知識と実践手法を提供する。
三重県明和町が子育てDX実証プロジェクトを開始、行政手続きのデジタル化で住民サービス向上へ
三重県明和町は子育て世代を対象とした子育てDX実証プロジェクトを10月30日より本格稼働した。デジタルIDやデジタルポスト、来庁予約システムなどの導入により、行政手続きのデジタル完結を目指す。全国初の子育てDXアンバサダーを任命し、住民目線でのサービス向上も図る。総務省の自治体フロントヤード改革モデルプロジェクトの一環として、次世代型の行政サービスの実現を目指す。
三重県明和町が子育てDX実証プロジェクトを開始、行政手続きのデジタル化で住民サービス向上へ
三重県明和町は子育て世代を対象とした子育てDX実証プロジェクトを10月30日より本格稼働した。デジタルIDやデジタルポスト、来庁予約システムなどの導入により、行政手続きのデジタル完結を目指す。全国初の子育てDXアンバサダーを任命し、住民目線でのサービス向上も図る。総務省の自治体フロントヤード改革モデルプロジェクトの一環として、次世代型の行政サービスの実現を目指す。
オルターブースがESGかんたんダッシュボードを発表、Power Platformを活用したCO...
株式会社オルターブースは、企業のESG課題対応を支援するクラウドソリューション「ESGかんたんダッシュボード」を2024年11月12日にリリースした。Microsoft Power Platformを活用し、CO2排出量の報告から集計、可視化までをワンストップで実現する。スコープ2に特化した機能とMFAによるセキュアな入力環境を提供し、従来のExcel管理からの効率化を図る。
オルターブースがESGかんたんダッシュボードを発表、Power Platformを活用したCO...
株式会社オルターブースは、企業のESG課題対応を支援するクラウドソリューション「ESGかんたんダッシュボード」を2024年11月12日にリリースした。Microsoft Power Platformを活用し、CO2排出量の報告から集計、可視化までをワンストップで実現する。スコープ2に特化した機能とMFAによるセキュアな入力環境を提供し、従来のExcel管理からの効率化を図る。
リンクスインターナショナルがAntec GSK850 ATX3.1 Whiteを発表、ホワイト...
リンクスインターナショナルは、Antec製の850W電源ユニットGSK850 ATX3.1 Whiteを発表した。ATX12V 3.1規格に準拠し、80PLUS GOLD認証を取得した高効率電源ユニットで、本体からケーブルまでホワイトで統一されている。力率改善回路アクティブPFCを搭載し、120mm静音ファンによる冷却システムを採用することで、安定した動作環境を実現している。
リンクスインターナショナルがAntec GSK850 ATX3.1 Whiteを発表、ホワイト...
リンクスインターナショナルは、Antec製の850W電源ユニットGSK850 ATX3.1 Whiteを発表した。ATX12V 3.1規格に準拠し、80PLUS GOLD認証を取得した高効率電源ユニットで、本体からケーブルまでホワイトで統一されている。力率改善回路アクティブPFCを搭載し、120mm静音ファンによる冷却システムを採用することで、安定した動作環境を実現している。
【CVE-2024-8499】Checkout Field Editor for WooCom...
WordPressプラグインCheckout Field Editor for WooCommerceのバージョン2.0.3以前に反映型クロスサイトスクリプティングの脆弱性が発見された。render_review_request_notice関数での入力検証の不備が原因で、認証不要で悪意のあるスクリプトを注入可能。CVSSスコア4.7の中程度の深刻度だが、ECサイトのユーザー情報漏洩のリスクがある。
【CVE-2024-8499】Checkout Field Editor for WooCom...
WordPressプラグインCheckout Field Editor for WooCommerceのバージョン2.0.3以前に反映型クロスサイトスクリプティングの脆弱性が発見された。render_review_request_notice関数での入力検証の不備が原因で、認証不要で悪意のあるスクリプトを注入可能。CVSSスコア4.7の中程度の深刻度だが、ECサイトのユーザー情報漏洩のリスクがある。
【CVE-2024-35522】Netgear EX3700 AC750に深刻な認証済みコマン...
Netgear EX3700 AC750 WiFi Range Extender Essentials Editionにおいて、operating_mode.cgiのap_modeパラメータを介した認証済みコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4のHigh評価で、機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、ファームウェアの更新による対応が必要となっている。
【CVE-2024-35522】Netgear EX3700 AC750に深刻な認証済みコマン...
Netgear EX3700 AC750 WiFi Range Extender Essentials Editionにおいて、operating_mode.cgiのap_modeパラメータを介した認証済みコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4のHigh評価で、機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、ファームウェアの更新による対応が必要となっている。
【CVE-2024-6762】JettyのPushSessionCacheFilterに認証不...
Eclipse FoundationがJettyのPushSessionCacheFilterに認証されていないユーザーによるDoS攻撃が可能な脆弱性を公開した。バージョン10.0.0から10.0.17、11.0.0から11.0.17、12.0.0から12.0.3に影響し、メモリリソースの枯渇によるサービス停止の危険性がある。CVSSスコアは3.1でLowに分類されているが、早急な対応が推奨されている。
【CVE-2024-6762】JettyのPushSessionCacheFilterに認証不...
Eclipse FoundationがJettyのPushSessionCacheFilterに認証されていないユーザーによるDoS攻撃が可能な脆弱性を公開した。バージョン10.0.0から10.0.17、11.0.0から11.0.17、12.0.0から12.0.3に影響し、メモリリソースの枯渇によるサービス停止の危険性がある。CVSSスコアは3.1でLowに分類されているが、早急な対応が推奨されている。
【CVE-2024-9486】Kubernetes Image Builder v0.1.37...
Kubernetes Image Builder v0.1.37以前のバージョンで、Proxmoxプロバイダーを使用したVMイメージにデフォルト認証情報が残存する重大な脆弱性が発見された。CVSSスコア9.8のCRITICALレベルで、root権限でのアクセスが可能となるリスクがある。v0.1.38で修正されており、影響を受けるシステムの緊急アップデートが推奨される。
【CVE-2024-9486】Kubernetes Image Builder v0.1.37...
Kubernetes Image Builder v0.1.37以前のバージョンで、Proxmoxプロバイダーを使用したVMイメージにデフォルト認証情報が残存する重大な脆弱性が発見された。CVSSスコア9.8のCRITICALレベルで、root権限でのアクセスが可能となるリスクがある。v0.1.38で修正されており、影響を受けるシステムの緊急アップデートが推奨される。
【CVE-2024-49340】IBM Watson Studio Local 1.2.3でC...
IBMはWatson Studio Local 1.2.3においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見したと発表した。CVE-2024-49340として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度であり、信頼されたユーザーから送信された不正な操作要求が実行される可能性がある。影響を受けるのはバージョン1.2.3のみで、早急な修正パッチの適用が推奨されている。
【CVE-2024-49340】IBM Watson Studio Local 1.2.3でC...
IBMはWatson Studio Local 1.2.3においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見したと発表した。CVE-2024-49340として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度であり、信頼されたユーザーから送信された不正な操作要求が実行される可能性がある。影響を受けるのはバージョン1.2.3のみで、早急な修正パッチの適用が推奨されている。
【CVE-2024-38139】Microsoft Dataverseに特権昇格の脆弱性、認証...
Microsoftは2024年10月15日、Microsoft Dataverseに特権昇格の脆弱性が存在することを公開した。CVE-2024-38139として識別されるこの脆弱性は、認証の不備により認可された攻撃者がネットワークを介して特権を昇格させることを可能にする。CVSSスコアは8.7と高く、機密性と完全性への影響が特に懸念される。
【CVE-2024-38139】Microsoft Dataverseに特権昇格の脆弱性、認証...
Microsoftは2024年10月15日、Microsoft Dataverseに特権昇格の脆弱性が存在することを公開した。CVE-2024-38139として識別されるこの脆弱性は、認証の不備により認可された攻撃者がネットワークを介して特権を昇格させることを可能にする。CVSSスコアは8.7と高く、機密性と完全性への影響が特に懸念される。
【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...
MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。
【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...
MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。