Tech Insights

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサ...

2024年11月22日

code-projects Farmacia 1.0のadicionar-cliente.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。nome、cpf、dataNascimentoなどの引数操作によって攻撃が可能で、CVSS v4.0でMedium（5.3点）と評価されている。CWE-79とCWE-94に分類されるこの脆弱性は、既に公開されており早急な対策が必要となっている。

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサ...

2024年11月22日

code-projects Farmacia 1.0のadicionar-cliente.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。nome、cpf、dataNascimentoなどの引数操作によって攻撃が可能で、CVSS v4.0でMedium（5.3点）と評価されている。CWE-79とCWE-94に分類されるこの脆弱性は、既に公開されており早急な対策が必要となっている。

【CVE-2024-20525】Cisco Identity Services Engineに...

2024年11月22日

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1（ミディアム）と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-20525】Cisco Identity Services Engineに...

2024年11月22日

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1（ミディアム）と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-9609】LearnPress Export Import 4.0.4にX...

2024年11月22日

WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1（MEDIUM）と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。

【CVE-2024-9609】LearnPress Export Import 4.0.4にX...

2024年11月22日

WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1（MEDIUM）と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョン...

2024年11月22日

TR-CERTは2024年11月18日、django-cmsの3.11.7、3.11.8、4.1.2、4.1.3のバージョンでクロスサイトスクリプティング（XSS）の脆弱性を発見したと発表した。CVSSスコア3.8の脆弱性は、入力値の適切な無害化処理が行われていないことに起因しており、特権ユーザーによる不正なWebページ生成のリスクがある。既に修正バージョン4.1.4がリリースされ、早急なアップデートが推奨される。

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョン...

2024年11月22日

TR-CERTは2024年11月18日、django-cmsの3.11.7、3.11.8、4.1.2、4.1.3のバージョンでクロスサイトスクリプティング（XSS）の脆弱性を発見したと発表した。CVSSスコア3.8の脆弱性は、入力値の適切な無害化処理が行われていないことに起因しており、特権ユーザーによる不正なWebページ生成のリスクがある。既に修正バージョン4.1.4がリリースされ、早急なアップデートが推奨される。

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...

2024年11月21日

GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...

2024年11月21日

GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

2024年11月21日

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4（MEDIUM）と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

2024年11月21日

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4（MEDIUM）と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

2024年11月21日

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

2024年11月21日

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

アップルがiOS 18.1.1を公開、重要なセキュリティアップデートで全ユーザーの保護を強化

2024年11月21日

アップルは2024年11月20日、iOS 18.1.1の提供を開始した。Javascript CoreやWebKitの脆弱性に対する重要な修正が含まれており、全てのユーザーにアップデートが推奨される。同時にiPadOS 18.1.1、visionOS 2.1.1、macOS Sequoia 15.1.1なども公開され、アップル製品全体でのセキュリティ強化が図られている。

アップルがiOS 18.1.1を公開、重要なセキュリティアップデートで全ユーザーの保護を強化

2024年11月21日

アップルは2024年11月20日、iOS 18.1.1の提供を開始した。Javascript CoreやWebKitの脆弱性に対する重要な修正が含まれており、全てのユーザーにアップデートが推奨される。同時にiPadOS 18.1.1、visionOS 2.1.1、macOS Sequoia 15.1.1なども公開され、アップル製品全体でのセキュリティ強化が図られている。

Kaizen PlatformがKAIZEN ENGINEをアップデート、JavaScript...

2024年11月20日

Kaizen Platformは技術基盤KAIZEN ENGINEの大規模アップデートを実施し、JavaScriptタグの設置だけでサイト内の次ページ遷移時の読み込み速度を約30%向上させることに成功した。Google ChromeとMicrosoft Edgeに対応しており、2025年2月にはアクセシビリティ向上機能の追加も予定している。基幹システムに影響を与えることなく、手軽にWebサイトの表示速度改善が可能となる。

Kaizen PlatformがKAIZEN ENGINEをアップデート、JavaScript...

2024年11月20日

Kaizen Platformは技術基盤KAIZEN ENGINEの大規模アップデートを実施し、JavaScriptタグの設置だけでサイト内の次ページ遷移時の読み込み速度を約30%向上させることに成功した。Google ChromeとMicrosoft Edgeに対応しており、2025年2月にはアクセシビリティ向上機能の追加も予定している。基幹システムに影響を与えることなく、手軽にWebサイトの表示速度改善が可能となる。

ジグザグが国内外ECの比較ウェビナーを開催、2025年のEC事業拡大戦略を徹底解説

2024年11月20日

株式会社ジグザグはマクロジ、17LIVE株式会社と共同で2024年11月29日に無料ウェビナーを開催する。訪日外国人数が8ヶ月連続で過去最高を記録する中、国内ECモールと越境ECの比較を通じて2025年のEC事業拡大に向けた戦略を解説する。新規顧客獲得からリピーター育成まで、具体的な販促戦略と成功のポイントを専門家が詳しく説明する予定だ。

ジグザグが国内外ECの比較ウェビナーを開催、2025年のEC事業拡大戦略を徹底解説

2024年11月20日

株式会社ジグザグはマクロジ、17LIVE株式会社と共同で2024年11月29日に無料ウェビナーを開催する。訪日外国人数が8ヶ月連続で過去最高を記録する中、国内ECモールと越境ECの比較を通じて2025年のEC事業拡大に向けた戦略を解説する。新規顧客獲得からリピーター育成まで、具体的な販促戦略と成功のポイントを専門家が詳しく説明する予定だ。

スペースシードホールディングスが月面酒蔵にmetatellを導入、宇宙での発酵技術研究が本格始動

2024年11月20日

株式会社Urthのメタバースシステムmetatellを活用し、2040年の月面酒蔵を現代に再現。新潟の津南醸造をモデルに、宇宙環境での発酵技術研究と食料供給システムの開発を推進。バーチャル蔵見学やグローバルカンファレンスを通じて、世界中の研究者や企業との知見共有を目指す。SPACE FOODSPHEREプログラムの一環として、持続可能な宇宙食の実現に向けた取り組みが加速。

スペースシードホールディングスが月面酒蔵にmetatellを導入、宇宙での発酵技術研究が本格始動

2024年11月20日

株式会社Urthのメタバースシステムmetatellを活用し、2040年の月面酒蔵を現代に再現。新潟の津南醸造をモデルに、宇宙環境での発酵技術研究と食料供給システムの開発を推進。バーチャル蔵見学やグローバルカンファレンスを通じて、世界中の研究者や企業との知見共有を目指す。SPACE FOODSPHEREプログラムの一環として、持続可能な宇宙食の実現に向けた取り組みが加速。

【CVE-2024-52357】LIQUID BLOCKS 1.2.0にXSS脆弱性、バージョ...

2024年11月20日

WordPressプラグインLIQUID BLOCKSにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、特権ユーザーによる永続的なXSS攻撃を可能にする。影響を受けるバージョン1.2.0以前のユーザーは、修正版となるバージョン1.3.0へのアップデートが推奨される。

【CVE-2024-52357】LIQUID BLOCKS 1.2.0にXSS脆弱性、バージョ...

2024年11月20日

WordPressプラグインLIQUID BLOCKSにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、特権ユーザーによる永続的なXSS攻撃を可能にする。影響を受けるバージョン1.2.0以前のユーザーは、修正版となるバージョン1.3.0へのアップデートが推奨される。

【CVE-2024-52355】WordPress OSM – OpenStreetMapプラ...

2024年11月20日

Patchstack OÜがWordPress OSM – OpenStreetMapプラグインにおけるXSS脆弱性を発見した。この脆弱性はバージョン6.1.2以前に影響し、CVSS v3.1で中程度（6.5）と評価された。攻撃には特権レベルとユーザーの操作が必要だが、情報漏洩やコンテンツ改ざんのリスクがある。Hyumikaはバージョン6.1.3で脆弱性を修正し、ユーザーに早急なアップデートを推奨している。

【CVE-2024-52355】WordPress OSM – OpenStreetMapプラ...

2024年11月20日

Patchstack OÜがWordPress OSM – OpenStreetMapプラグインにおけるXSS脆弱性を発見した。この脆弱性はバージョン6.1.2以前に影響し、CVSS v3.1で中程度（6.5）と評価された。攻撃には特権レベルとユーザーの操作が必要だが、情報漏洩やコンテンツ改ざんのリスクがある。Hyumikaはバージョン6.1.3で脆弱性を修正し、ユーザーに早急なアップデートを推奨している。

【CVE-2024-51598】WordPress Selar.Co Widgetにクロスサイ...

2024年11月20日

Patchstack OÜが2024年11月9日、WordPress用プラグインSelar.Co Widgetにクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開した。この脆弱性はバージョン1.2以前に影響を与え、CVSSスコア6.5のミディアムリスクと評価されている。DOMベースのXSSとして確認され、Patchstack Allianceのメンバーによって発見された重要な脆弱性情報である。

【CVE-2024-51598】WordPress Selar.Co Widgetにクロスサイ...

2024年11月20日

Patchstack OÜが2024年11月9日、WordPress用プラグインSelar.Co Widgetにクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開した。この脆弱性はバージョン1.2以前に影響を与え、CVSSスコア6.5のミディアムリスクと評価されている。DOMベースのXSSとして確認され、Patchstack Allianceのメンバーによって発見された重要な脆弱性情報である。

GoogleがGeminiのiPhoneアプリを公開、音声会話と画像生成機能で生産性向上を実現

2024年11月20日

Google日本法人は2024年11月18日、生成AI「Gemini」のiPhoneアプリをApp Storeで公開した。新アプリではGemini Liveによる自然な音声会話が可能で、10種類の音声からカスタマイズできる。また、高品質な画像生成モデルImagen 3を搭載し、YouTubeやGoogleマップ、Gmailなどのアプリとも連携した統合的なAI機能を提供する。

GoogleがGeminiのiPhoneアプリを公開、音声会話と画像生成機能で生産性向上を実現

2024年11月20日

Google日本法人は2024年11月18日、生成AI「Gemini」のiPhoneアプリをApp Storeで公開した。新アプリではGemini Liveによる自然な音声会話が可能で、10種類の音声からカスタマイズできる。また、高品質な画像生成モデルImagen 3を搭載し、YouTubeやGoogleマップ、Gmailなどのアプリとも連携した統合的なAI機能を提供する。

【CVE-2024-45088】IBM Maximo Asset Management 7.6...

2024年11月20日

IBMは2024年11月11日、IBM Maximo Asset Management 7.6.1.3においてクロスサイトスクリプティング（XSS）の脆弱性を公開した。認証済みユーザーによってWeb UIに悪意のあるJavaScriptコードが埋め込まれ、本来の機能が改変される可能性がある。CVSSスコア6.4（中）と評価され、信頼済みセッション内での認証情報漏洩のリスクが存在する。

【CVE-2024-45088】IBM Maximo Asset Management 7.6...

2024年11月20日

IBMは2024年11月11日、IBM Maximo Asset Management 7.6.1.3においてクロスサイトスクリプティング（XSS）の脆弱性を公開した。認証済みユーザーによってWeb UIに悪意のあるJavaScriptコードが埋め込まれ、本来の機能が改変される可能性がある。CVSSスコア6.4（中）と評価され、信頼済みセッション内での認証情報漏洩のリスクが存在する。

【CVE-2024-11143】Kognetiks Chatbot for WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.8以前に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11143】として識別され、Cross-Site Request Forgeryに分類される。攻撃者がサイト管理者を騙してリンクをクリックさせることで、認証済みユーザーの権限でアシスタントの設定を変更できる危険性が指摘されている。

【CVE-2024-11143】Kognetiks Chatbot for WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.8以前に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11143】として識別され、Cross-Site Request Forgeryに分類される。攻撃者がサイト管理者を騙してリンクをクリックさせることで、認証済みユーザーの権限でアシスタントの設定を変更できる危険性が指摘されている。

【CVE-2024-11102】Hospital Management System 1.0に...

2024年11月20日

SourceCodester Hospital Management System 1.0において、/vm/doctor/edit-doc.phpファイルに存在するクロスサイトスクリプティングの脆弱性が発見された。name引数の操作により遠隔からの攻撃が可能で、CVSSスコアは5.3（MEDIUM）と評価されている。すでに攻撃コードが公開されており、医療データのセキュリティリスクが深刻化している状況だ。

【CVE-2024-11102】Hospital Management System 1.0に...

2024年11月20日

SourceCodester Hospital Management System 1.0において、/vm/doctor/edit-doc.phpファイルに存在するクロスサイトスクリプティングの脆弱性が発見された。name引数の操作により遠隔からの攻撃が可能で、CVSSスコアは5.3（MEDIUM）と評価されている。すでに攻撃コードが公開されており、医療データのセキュリティリスクが深刻化している状況だ。

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

2024年11月20日

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting（XSS）の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4（Medium）で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

2024年11月20日

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting（XSS）の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4（Medium）で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

2024年11月20日

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1（MEDIUM）と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

2024年11月20日

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1（MEDIUM）と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

ビヨンドブルーがWebアプリケーション診断と脅威インテリジェンス探査を統合した新パッケージを発...

2024年11月19日

ビヨンドブルーは2024年11月18日、レイ・イージス社のAIツールとKELAグループのSLING SCOREを活用した新セキュリティ診断パッケージの提供を開始した。Webアプリケーションの脆弱性診断とダークウェブでの情報漏洩調査を組み合わせ、企業の包括的なセキュリティリスク対策を可能にする。AIクイック・ツール診断とAIリモート脆弱性診断の2プランを用意し、それぞれにダークウェブ調査機能を付属している。

ビヨンドブルーがWebアプリケーション診断と脅威インテリジェンス探査を統合した新パッケージを発...

2024年11月19日

ビヨンドブルーは2024年11月18日、レイ・イージス社のAIツールとKELAグループのSLING SCOREを活用した新セキュリティ診断パッケージの提供を開始した。Webアプリケーションの脆弱性診断とダークウェブでの情報漏洩調査を組み合わせ、企業の包括的なセキュリティリスク対策を可能にする。AIクイック・ツール診断とAIリモート脆弱性診断の2プランを用意し、それぞれにダークウェブ調査機能を付属している。

YKプランニングが税理士向けデジタルフォーラムでbixidを出展、経営支援クラウドによる業務効...

2024年11月19日

株式会社YKプランニングは、2024年12月5日に開催される四国税理士会主催の「税理士の業務のデジタルフォーラム2024 in高松」に出展する。経営支援クラウドbixidを活用し、会計データの自動チェックから経営分析まで包括的な経営支援を実現。多種多様な会計ソフトへの対応やマルチデバイス対応により、場所を問わない柔軟な経営支援を提供することが可能となった。

YKプランニングが税理士向けデジタルフォーラムでbixidを出展、経営支援クラウドによる業務効...

2024年11月19日

株式会社YKプランニングは、2024年12月5日に開催される四国税理士会主催の「税理士の業務のデジタルフォーラム2024 in高松」に出展する。経営支援クラウドbixidを活用し、会計データの自動チェックから経営分析まで包括的な経営支援を実現。多種多様な会計ソフトへの対応やマルチデバイス対応により、場所を問わない柔軟な経営支援を提供することが可能となった。

【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによ...

2024年11月19日

MirahezeのWikiDiscoverにおいて、Special:WikiDiscoverページでwiki情報を表示する際にXSS脆弱性が発見された。wiki名や説明文に対するエスケープ処理が実装されておらず、悪意のあるXSSペイロードが実行可能な状態であった。CVSS v3.1で深刻度7.6（High）と評価され、特権レベルは必要だが複雑な条件なしで攻撃が可能な状況にあった。コミット2ce846dd93による修正パッチの適用が推奨されている。

【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによ...

2024年11月19日

MirahezeのWikiDiscoverにおいて、Special:WikiDiscoverページでwiki情報を表示する際にXSS脆弱性が発見された。wiki名や説明文に対するエスケープ処理が実装されておらず、悪意のあるXSSペイロードが実行可能な状態であった。CVSS v3.1で深刻度7.6（High）と評価され、特権レベルは必要だが複雑な条件なしで攻撃が可能な状況にあった。コミット2ce846dd93による修正パッチの適用が推奨されている。

【CVE-2024-47594】SAP NetWeaver Enterprise Portal...

2024年11月19日

SAPは2024年10月8日、SAP NetWeaver Enterprise Portal KMC 7.5にクロスサイトスクリプティング脆弱性が存在することを公表した。CVSSスコア5.4の中程度の深刻度と評価されており、KMCサーブレットにおけるユーザー入力の不適切な処理により、攻撃者が細工したスクリプトを通じてWebブラウザセッションの情報が漏洩する可能性がある。

【CVE-2024-47594】SAP NetWeaver Enterprise Portal...

2024年11月19日

SAPは2024年10月8日、SAP NetWeaver Enterprise Portal KMC 7.5にクロスサイトスクリプティング脆弱性が存在することを公表した。CVSSスコア5.4の中程度の深刻度と評価されており、KMCサーブレットにおけるユーザー入力の不適切な処理により、攻撃者が細工したスクリプトを通じてWebブラウザセッションの情報が漏洩する可能性がある。

【CVE-2024-51489】Ampache 7.0.1未満のバージョンにCSRF脆弱性、メ...

2024年11月19日

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、メッセージ送信時のCSRFトークン検証が不十分であることが判明した。この脆弱性により、攻撃者は悪意のあるリクエストを通じて管理者を含む任意のユーザーにメッセージを送信可能となる。深刻度はCVSS v4.0で5.3（中程度）と評価されており、開発チームは全てのユーザーにバージョン7.0.1への更新を推奨している。

【CVE-2024-51489】Ampache 7.0.1未満のバージョンにCSRF脆弱性、メ...

2024年11月19日

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、メッセージ送信時のCSRFトークン検証が不十分であることが判明した。この脆弱性により、攻撃者は悪意のあるリクエストを通じて管理者を含む任意のユーザーにメッセージを送信可能となる。深刻度はCVSS v4.0で5.3（中程度）と評価されており、開発チームは全てのユーザーにバージョン7.0.1への更新を推奨している。

【CVE-2024-51597】ThemeShark Templates & Widgets ...

2024年11月19日

WordPressプラグイン「ThemeShark Templates & Widgets for Elementor」にストアド型クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51597として識別されるこの脆弱性は、バージョン1.1.7以前の全てのバージョンに影響を与え、CVSSスコア6.5のMedium評価となっている。攻撃者が特権アカウントを利用して悪意のあるスクリプトを埋め込む可能性があり、早急な対応が推奨される。

【CVE-2024-51597】ThemeShark Templates & Widgets ...

2024年11月19日

WordPressプラグイン「ThemeShark Templates & Widgets for Elementor」にストアド型クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51597として識別されるこの脆弱性は、バージョン1.1.7以前の全てのバージョンに影響を与え、CVSSスコア6.5のMedium評価となっている。攻撃者が特権アカウントを利用して悪意のあるスクリプトを埋め込む可能性があり、早急な対応が推奨される。

【CVE-2024-51591】WordPressプラグインSlicko 1.2.0にXSS脆...

2024年11月19日

WordPressプラグインのSlickoにおいて、DOM-Based型のXSS脆弱性が発見された。CVE-2024-51591として識別されるこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。CVSSスコアは6.5でMedium評価とされており、攻撃には低権限とユーザーの関与が必要とされる。開発者による迅速な対応が求められている。

【CVE-2024-51591】WordPressプラグインSlicko 1.2.0にXSS脆...

2024年11月19日

WordPressプラグインのSlickoにおいて、DOM-Based型のXSS脆弱性が発見された。CVE-2024-51591として識別されるこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。CVSSスコアは6.5でMedium評価とされており、攻撃には低権限とユーザーの関与が必要とされる。開発者による迅速な対応が求められている。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

2024年11月19日

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

2024年11月19日

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-10538】Happy Addons For Elementor 3.12...

2024年11月19日

WordPressプラグインHappy Addons For Elementorのバージョン3.12.5以前に、認証済みユーザーによるクロスサイトスクリプティング攻撃を可能にする脆弱性が発見された。Image Comparisonウィジェットのbefore_labelパラメータにおける入力検証の不備が原因で、悪意のあるスクリプトが実行可能となっている。CVSSスコアは6.4で、深刻度は中程度と評価されている。

【CVE-2024-10538】Happy Addons For Elementor 3.12...

2024年11月19日

WordPressプラグインHappy Addons For Elementorのバージョン3.12.5以前に、認証済みユーザーによるクロスサイトスクリプティング攻撃を可能にする脆弱性が発見された。Image Comparisonウィジェットのbefore_labelパラメータにおける入力検証の不備が原因で、悪意のあるスクリプトが実行可能となっている。CVSSスコアは6.4で、深刻度は中程度と評価されている。