Tech Insights

【CVE-2024-11182】MDaemon Email Server 24.5.1c未満にXSS脆弱性、Webメールユーザーに影響

【CVE-2024-11182】MDaemon Email Server 24.5.1c未満に...

MDaemon Email Serverにおいて、バージョン24.5.1c未満に影響を及ぼすストアード型XSSの脆弱性が発見された。攻撃者がHTMLメール内のimgタグにJavaScriptを埋め込むことで、Webメールユーザーのブラウザ上で任意のコードが実行可能となる。CVSSスコアは4.0バージョンで5.3、3.1バージョンで6.1を記録しており、早急な対応が求められる。

【CVE-2024-11182】MDaemon Email Server 24.5.1c未満に...

MDaemon Email Serverにおいて、バージョン24.5.1c未満に影響を及ぼすストアード型XSSの脆弱性が発見された。攻撃者がHTMLメール内のimgタグにJavaScriptを埋め込むことで、Webメールユーザーのブラウザ上で任意のコードが実行可能となる。CVSSスコアは4.0バージョンで5.3、3.1バージョンで6.1を記録しており、早急な対応が求められる。

【CVE-2024-8961】Essential Addons for Elementor 6.0.7以前にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2024-8961】Essential Addons for Elementor 6...

WordPressプラグインEssential Addons for Elementorの6.0.7以前のバージョンにクロスサイトスクリプティングの脆弱性が発見された。nomore_items_textパラメータの入力検証が不十分であり、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4でMEDIUMと評価されており、早急な対応が推奨される。

【CVE-2024-8961】Essential Addons for Elementor 6...

WordPressプラグインEssential Addons for Elementorの6.0.7以前のバージョンにクロスサイトスクリプティングの脆弱性が発見された。nomore_items_textパラメータの入力検証が不十分であり、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4でMEDIUMと評価されており、早急な対応が推奨される。

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医療情報システムのセキュリティに警鐘

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...

OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...

OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。

【CVE-2024-9682】Royal Elementor Addons 1.7.1001にXSS脆弱性、Contributorレベル以上で任意スクリプト実行が可能に

【CVE-2024-9682】Royal Elementor Addons 1.7.1001に...

WordPressプラグインRoyal Elementor Addons and Templates 1.7.1001以前にStored XSSの脆弱性が発見された。Form Builder Widgetにおける不適切な入力処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスしたユーザーのブラウザ上でスクリプトが実行される可能性がある。

【CVE-2024-9682】Royal Elementor Addons 1.7.1001に...

WordPressプラグインRoyal Elementor Addons and Templates 1.7.1001以前にStored XSSの脆弱性が発見された。Form Builder Widgetにおける不適切な入力処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスしたユーザーのブラウザ上でスクリプトが実行される可能性がある。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overviewページでの不正コード実行が可能に

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正アクセスのリスクが浮上

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正...

CiscoのIdentity Services Engine(ISE)のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-20538として識別されるこの脆弱性により、未認証の攻撃者が正規ユーザーに細工されたリンクをクリックさせることで、任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3 Patch 3まで。CVSSスコアは6.1(Medium)と評価された。

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正...

CiscoのIdentity Services Engine(ISE)のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-20538として識別されるこの脆弱性により、未認証の攻撃者が正規ユーザーに細工されたリンクをクリックさせることで、任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3 Patch 3まで。CVSSスコアは6.1(Medium)と評価された。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイトスクリプティング攻撃のリスクが浮上

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が発見、ExamplePluginのデバイスNotes機能に深刻な影響

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へのアップグレードによる対応が必要に

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認証不要で任意のスクリプト実行が可能に

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レポートページでの攻撃が可能に

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、アップグレードによる対応が必要に

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリスクに対応するアップデートを実施

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正済み

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11にクロスサイトスクリプティングの脆弱性、情報漏洩のリスクに警戒

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24.10.0で修正完了

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXSS攻撃が可能に

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-11247】SourceCodester Online Eyewear Shop 1.0にXSS脆弱性が発見、リモート攻撃のリスクが拡大

【CVE-2024-11247】SourceCodester Online Eyewear S...

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-11247】SourceCodester Online Eyewear S...

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5.2.1にXSS脆弱性、認証不要の攻撃が可能に

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆弱性、深刻度は中程度でCVSS値6.5を記録

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port Settings画面での不正なJavaScript実行が可能に

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権限で悪用可能な状態に

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...

WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。

【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...

WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサイトスクリプティングの脆弱性、複数のパラメータで攻撃の可能性

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のadicionar-cliente.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。nome、cpf、dataNascimentoなどの引数操作によって攻撃が可能で、CVSS v4.0でMedium(5.3点)と評価されている。CWE-79とCWE-94に分類されるこの脆弱性は、既に公開されており早急な対策が必要となっている。

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のadicionar-cliente.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。nome、cpf、dataNascimentoなどの引数操作によって攻撃が可能で、CVSS v4.0でMedium(5.3点)と評価されている。CWE-79とCWE-94に分類されるこの脆弱性は、既に公開されており早急な対策が必要となっている。

【CVE-2024-20525】Cisco Identity Services EngineにXSS脆弱性、未認証の遠隔攻撃者による攻撃のリスクが発生

【CVE-2024-20525】Cisco Identity Services Engineに...

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1(ミディアム)と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-20525】Cisco Identity Services Engineに...

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1(ミディアム)と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-9609】LearnPress Export Import 4.0.4にXSS脆弱性、未認証攻撃者によるスクリプト実行のリスクが判明

【CVE-2024-9609】LearnPress Export Import 4.0.4にX...

WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1(MEDIUM)と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。

【CVE-2024-9609】LearnPress Export Import 4.0.4にX...

WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1(MEDIUM)と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョンでセキュリティリスク拡大

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョン...

TR-CERTは2024年11月18日、django-cmsの3.11.7、3.11.8、4.1.2、4.1.3のバージョンでクロスサイトスクリプティング(XSS)の脆弱性を発見したと発表した。CVSSスコア3.8の脆弱性は、入力値の適切な無害化処理が行われていないことに起因しており、特権ユーザーによる不正なWebページ生成のリスクがある。既に修正バージョン4.1.4がリリースされ、早急なアップデートが推奨される。

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョン...

TR-CERTは2024年11月18日、django-cmsの3.11.7、3.11.8、4.1.2、4.1.3のバージョンでクロスサイトスクリプティング(XSS)の脆弱性を発見したと発表した。CVSSスコア3.8の脆弱性は、入力値の適切な無害化処理が行われていないことに起因しており、特権ユーザーによる不正なWebページ生成のリスクがある。既に修正バージョン4.1.4がリリースされ、早急なアップデートが推奨される。

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処理に深刻な問題

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...

GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...

GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。

【CVE-2024-9668】Royal Elementor AddonsのCountdownウィジェットにXSS脆弱性、バージョン1.7.1001まで影響

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4(MEDIUM)と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4(MEDIUM)と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10.0.17で修正されたアクセス制御の問題に対応

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。