Tech Insights

LINE WORKSがバージョン4.1をリリース、リアクション機能と掲示板機能が大幅に改善され...

2024年11月24日

LINE WORKS株式会社が2024年11月21日、ビジネスチャット「LINE WORKS」の新バージョン4.1をリリース。リアクション機能では「拍手」から「驚き」への変更が実施され、掲示板機能では投稿者名指定や自動保存機能が追加。カレンダー機能もデザインが刷新され、予定管理の効率化が図られた。富士キメラ総研の調査では7年連続で有料ビジネスチャット国内シェアNo.1を獲得している。

LINE WORKSがバージョン4.1をリリース、リアクション機能と掲示板機能が大幅に改善され...

2024年11月24日

LINE WORKS株式会社が2024年11月21日、ビジネスチャット「LINE WORKS」の新バージョン4.1をリリース。リアクション機能では「拍手」から「驚き」への変更が実施され、掲示板機能では投稿者名指定や自動保存機能が追加。カレンダー機能もデザインが刷新され、予定管理の効率化が図られた。富士キメラ総研の調査では7年連続で有料ビジネスチャット国内シェアNo.1を獲得している。

米司法省がGoogleに対しChromeブラウザの売却を要請、独占禁止法違反の是正措置として連...

2024年11月24日

米司法省は2024年11月20日、Googleに対する独占禁止法違反の是正措置としてChromeブラウザの売却を連邦裁判所に要請した。ChromeとAndroidの高いシェアを背景に、検索市場での競争促進を目指す措置案には、Appleとのデフォルト検索契約禁止なども含まれており、デジタル市場の公正な競争環境の実現が期待される。

米司法省がGoogleに対しChromeブラウザの売却を要請、独占禁止法違反の是正措置として連...

2024年11月24日

米司法省は2024年11月20日、Googleに対する独占禁止法違反の是正措置としてChromeブラウザの売却を連邦裁判所に要請した。ChromeとAndroidの高いシェアを背景に、検索市場での競争促進を目指す措置案には、Appleとのデフォルト検索契約禁止なども含まれており、デジタル市場の公正な競争環境の実現が期待される。

コムデザインとギブリーがクラウド型CTIとDECA AI接客を連携、Webでの受電前ヒアリング...

2024年11月22日

コムデザインが提供するクラウド型CTI「CT-e1/SaaS」とギブリーの「DECA AI接客」が連携し、Web上で受電前ヒアリングができる「ビジュアルIVRサービス」の提供を開始した。チャットボットによる事前ヒアリングとFAQレコメンド機能により自己解決を促進し、通話開始時のナレッジ情報自動表示でオペレーター業務の効率化を実現する。

コムデザインとギブリーがクラウド型CTIとDECA AI接客を連携、Webでの受電前ヒアリング...

2024年11月22日

コムデザインが提供するクラウド型CTI「CT-e1/SaaS」とギブリーの「DECA AI接客」が連携し、Web上で受電前ヒアリングができる「ビジュアルIVRサービス」の提供を開始した。チャットボットによる事前ヒアリングとFAQレコメンド機能により自己解決を促進し、通話開始時のナレッジ情報自動表示でオペレーター業務の効率化を実現する。

LINE WORKSが4.1へのメジャーアップデートを実施、リアクション機能と業務効率が大幅に向上

2024年11月22日

LINE WORKS株式会社がビジネスコミュニケーションツール「LINE WORKS」のバージョン4.1をリリース。新リアクション「驚き」の追加や掲示板の自動保存・検索機能の強化、カレンダーのデザイン刷新、ショートカットのカスタマイズ機能など、業務効率を向上させる多くの機能改善が実施された。有償プランではアーカイブ機能も追加され、情報管理の柔軟性が向上している。

LINE WORKSが4.1へのメジャーアップデートを実施、リアクション機能と業務効率が大幅に向上

2024年11月22日

LINE WORKS株式会社がビジネスコミュニケーションツール「LINE WORKS」のバージョン4.1をリリース。新リアクション「驚き」の追加や掲示板の自動保存・検索機能の強化、カレンダーのデザイン刷新、ショートカットのカスタマイズ機能など、業務効率を向上させる多くの機能改善が実施された。有償プランではアーカイブ機能も追加され、情報管理の柔軟性が向上している。

LINE WORKS株式会社がDrive専用アプリを提供開始、モバイルデバイスでの操作性が大幅に向上

2024年11月22日

LINE WORKS株式会社は2024年11月21日、クラウドストレージサービス「LINE WORKS Drive」の専用アプリの提供を開始した。タブ切り替えによる4種類のフォルダ管理やスワイプ操作による階層移動など、モバイルデバイスに最適化された新機能を実装。従来のブラウザ版と同等の機能を備え、PCとモバイルの両方で一貫した操作性を実現している。

LINE WORKS株式会社がDrive専用アプリを提供開始、モバイルデバイスでの操作性が大幅に向上

2024年11月22日

LINE WORKS株式会社は2024年11月21日、クラウドストレージサービス「LINE WORKS Drive」の専用アプリの提供を開始した。タブ切り替えによる4種類のフォルダ管理やスワイプ操作による階層移動など、モバイルデバイスに最適化された新機能を実装。従来のブラウザ版と同等の機能を備え、PCとモバイルの両方で一貫した操作性を実現している。

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCo...

2024年11月22日

AppleはiOS 18.1.1およびiPadOS 18.1.1で、JavaScriptCoreとWebKitの2つの重要な脆弱性を修正した。GoogleのThreat Analysis Groupが発見した脆弱性は、Intel搭載Macで既に悪用の可能性があり、任意のコード実行やクロスサイトスクリプト攻撃のリスクが存在していた。iPhone XS以降などの対象デバイスに対し、チェック機能の改善とクッキー管理の強化で対策を実施している。

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCo...

2024年11月22日

AppleはiOS 18.1.1およびiPadOS 18.1.1で、JavaScriptCoreとWebKitの2つの重要な脆弱性を修正した。GoogleのThreat Analysis Groupが発見した脆弱性は、Intel搭載Macで既に悪用の可能性があり、任意のコード実行やクロスサイトスクリプト攻撃のリスクが存在していた。iPhone XS以降などの対象デバイスに対し、チェック機能の改善とクッキー管理の強化で対策を実施している。

OpenAIがChatGPTのWeb版に高度な音声モードを実装、自然な音声対話とマルチタスク機...

2024年11月22日

OpenAIは2024年11月19日、ChatGPTのWeb版において高度な音声モード(Advanced Voice Mode)の提供を開始した。この機能はモバイルアプリとデスクトップアプリに続き、ブラウザ版でも利用可能となり、ショッピングやプランニング、文章作成などのタスクを音声で実行できる。Plus、Team、Enterprise、Eduの有料ユーザーを対象に順次展開される予定だ。

OpenAIがChatGPTのWeb版に高度な音声モードを実装、自然な音声対話とマルチタスク機...

2024年11月22日

OpenAIは2024年11月19日、ChatGPTのWeb版において高度な音声モード(Advanced Voice Mode)の提供を開始した。この機能はモバイルアプリとデスクトップアプリに続き、ブラウザ版でも利用可能となり、ショッピングやプランニング、文章作成などのタスクを音声で実行できる。Plus、Team、Enterprise、Eduの有料ユーザーを対象に順次展開される予定だ。

【CVE-2024-11182】MDaemon Email Server 24.5.1c未満に...

2024年11月22日

MDaemon Email Serverにおいて、バージョン24.5.1c未満に影響を及ぼすストアード型XSSの脆弱性が発見された。攻撃者がHTMLメール内のimgタグにJavaScriptを埋め込むことで、Webメールユーザーのブラウザ上で任意のコードが実行可能となる。CVSSスコアは4.0バージョンで5.3、3.1バージョンで6.1を記録しており、早急な対応が求められる。

【CVE-2024-11182】MDaemon Email Server 24.5.1c未満に...

2024年11月22日

MDaemon Email Serverにおいて、バージョン24.5.1c未満に影響を及ぼすストアード型XSSの脆弱性が発見された。攻撃者がHTMLメール内のimgタグにJavaScriptを埋め込むことで、Webメールユーザーのブラウザ上で任意のコードが実行可能となる。CVSSスコアは4.0バージョンで5.3、3.1バージョンで6.1を記録しており、早急な対応が求められる。

【CVE-2024-8961】Essential Addons for Elementor 6...

2024年11月22日

WordPressプラグインEssential Addons for Elementorの6.0.7以前のバージョンにクロスサイトスクリプティングの脆弱性が発見された。nomore_items_textパラメータの入力検証が不十分であり、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4でMEDIUMと評価されており、早急な対応が推奨される。

【CVE-2024-8961】Essential Addons for Elementor 6...

2024年11月22日

WordPressプラグインEssential Addons for Elementorの6.0.7以前のバージョンにクロスサイトスクリプティングの脆弱性が発見された。nomore_items_textパラメータの入力検証が不十分であり、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4でMEDIUMと評価されており、早急な対応が推奨される。

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...

2024年11月22日

OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...

2024年11月22日

OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。

【CVE-2024-9682】Royal Elementor Addons 1.7.1001に...

2024年11月22日

WordPressプラグインRoyal Elementor Addons and Templates 1.7.1001以前にStored XSSの脆弱性が発見された。Form Builder Widgetにおける不適切な入力処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスしたユーザーのブラウザ上でスクリプトが実行される可能性がある。

【CVE-2024-9682】Royal Elementor Addons 1.7.1001に...

2024年11月22日

WordPressプラグインRoyal Elementor Addons and Templates 1.7.1001以前にStored XSSの脆弱性が発見された。Form Builder Widgetにおける不適切な入力処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスしたユーザーのブラウザ上でスクリプトが実行される可能性がある。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正...

2024年11月22日

CiscoのIdentity Services Engine（ISE）のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-20538として識別されるこの脆弱性により、未認証の攻撃者が正規ユーザーに細工されたリンクをクリックさせることで、任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3 Patch 3まで。CVSSスコアは6.1（Medium）と評価された。

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正...

2024年11月22日

CiscoのIdentity Services Engine（ISE）のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-20538として識別されるこの脆弱性により、未認証の攻撃者が正規ユーザーに細工されたリンクをクリックさせることで、任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3 Patch 3まで。CVSSスコアは6.1（Medium）と評価された。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

2024年11月22日

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

2024年11月22日

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

2024年11月22日

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5（重要度：中）と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

2024年11月22日

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5（重要度：中）と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

2024年11月22日

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2（High）と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

2024年11月22日

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2（High）と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

2024年11月22日

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

2024年11月22日

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

2024年11月22日

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5（MEDIUM）であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

2024年11月22日

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5（MEDIUM）であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS（クロスサイトスクリプティング）の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS（クロスサイトスクリプティング）の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

2024年11月22日

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

2024年11月22日

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8（MEDIUM）と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8（MEDIUM）と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

2024年11月22日

CiscoのIdentity Services Engine（ISE）の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

2024年11月22日

CiscoのIdentity Services Engine（ISE）の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-11247】SourceCodester Online Eyewear S...

2024年11月22日

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-11247】SourceCodester Online Eyewear S...

2024年11月22日

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

2024年11月22日

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

2024年11月22日

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

2024年11月22日

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング（XSS）の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

2024年11月22日

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング（XSS）の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

2024年11月22日

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

2024年11月22日

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8（MEDIUM）と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8（MEDIUM）と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...

2024年11月22日

WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4（Medium）で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...

2024年11月22日

WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4（Medium）で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。