Tech Insights

FenderがFender Flagship TokyoでAmerican Ultra II特...

2024年11月8日

Fenderは、2024年12月19日にFender Flagship Tokyoで、オウンドメディアFenderNewsの公開収録イベントを開催する。YOASOBIのサポートギタリストAssHをゲストに迎え、2024年10月発売の最先進的な製品シリーズAmerican Ultra IIを使用したライブ＆トークを披露予定だ。応募は11月7日から28日まで受付けており、当選者にはメールで通知される。

FenderがFender Flagship TokyoでAmerican Ultra II特...

2024年11月8日

Fenderは、2024年12月19日にFender Flagship Tokyoで、オウンドメディアFenderNewsの公開収録イベントを開催する。YOASOBIのサポートギタリストAssHをゲストに迎え、2024年10月発売の最先進的な製品シリーズAmerican Ultra IIを使用したライブ＆トークを披露予定だ。応募は11月7日から28日まで受付けており、当選者にはメールで通知される。

まくら株式会社がAIを活用した高さ9cmの枕THE PILLOW Preset 15 Taka...

2024年11月8日

まくら株式会社は12万件以上の睡眠統計データをAIで分析し、高さ9cmの枕「THE PILLOW Preset 15 Takame」を発売した。エラストマー合成樹脂配合のモチコロール白を採用し、横向き寝時の背骨ラインを一直線に保つことが可能。22パターンのプリセット型枕シリーズの第15弾として、高い枕を好む人向けに最適化された設計となっている。

まくら株式会社がAIを活用した高さ9cmの枕THE PILLOW Preset 15 Taka...

2024年11月8日

まくら株式会社は12万件以上の睡眠統計データをAIで分析し、高さ9cmの枕「THE PILLOW Preset 15 Takame」を発売した。エラストマー合成樹脂配合のモチコロール白を採用し、横向き寝時の背骨ラインを一直線に保つことが可能。22パターンのプリセット型枕シリーズの第15弾として、高い枕を好む人向けに最適化された設計となっている。

銘匠光学がTTArtisan AF 56mm f/1.8シルバーを発売、スムーズなAF性能と高...

2024年11月8日

焦点工房は銘匠光学のTTArtisan AF 56mm f/1.8レンズのシルバーカラーモデルを36,000円で発売。EDレンズを含む9群10枚構成で色収差を抑制し、STMモーターによる静音AF性能を実現。高性能な像面位相差AF搭載カメラでは動画AFや瞳AFにも対応し、WindowsPCでファームウェアアップデートも可能な高性能中望遠レンズとなっている。

銘匠光学がTTArtisan AF 56mm f/1.8シルバーを発売、スムーズなAF性能と高...

2024年11月8日

焦点工房は銘匠光学のTTArtisan AF 56mm f/1.8レンズのシルバーカラーモデルを36,000円で発売。EDレンズを含む9群10枚構成で色収差を抑制し、STMモーターによる静音AF性能を実現。高性能な像面位相差AF搭載カメラでは動画AFや瞳AFにも対応し、WindowsPCでファームウェアアップデートも可能な高性能中望遠レンズとなっている。

焦点工房がLIGHT LENS LAB M 35mm f/2 Time Editionを発売、...

2024年11月8日

株式会社焦点工房は、LIGHT LENS LABの交換レンズM 35mm f/2の限定カラーモデルTime Editionを2024年11月7日より販売開始した。新品でありながらエイジング加工を施すことで長年使用したような風合いを再現し、レンズ本体から真鍮製フード、前後キャップまで統一感のある仕上がりを実現している。販売価格は249,000円となっている。

焦点工房がLIGHT LENS LAB M 35mm f/2 Time Editionを発売、...

2024年11月8日

株式会社焦点工房は、LIGHT LENS LABの交換レンズM 35mm f/2の限定カラーモデルTime Editionを2024年11月7日より販売開始した。新品でありながらエイジング加工を施すことで長年使用したような風合いを再現し、レンズ本体から真鍮製フード、前後キャップまで統一感のある仕上がりを実現している。販売価格は249,000円となっている。

【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...

2024年11月8日

WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。

【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...

2024年11月8日

WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。

【CVE-2024-9109】WooCommerce UPS Shipping 2.3.11以...

2024年11月8日

WordfenceはWooCommerce UPS Shipping – Live Rates and Access Pointsプラグインのバージョン2.3.11以前に認証バイパスの脆弱性が存在することを公開した。delete_oauth_data関数に適切な権限チェックが実装されていないため、Subscriber以上の権限を持つユーザーがAPIキーを削除可能となっている。CVSSスコアは4.3（MEDIUM）で、攻撃の実行は容易だが影響は限定的とされている。

【CVE-2024-9109】WooCommerce UPS Shipping 2.3.11以...

2024年11月8日

WordfenceはWooCommerce UPS Shipping – Live Rates and Access Pointsプラグインのバージョン2.3.11以前に認証バイパスの脆弱性が存在することを公開した。delete_oauth_data関数に適切な権限チェックが実装されていないため、Subscriber以上の権限を持つユーザーがAPIキーを削除可能となっている。CVSSスコアは4.3（MEDIUM）で、攻撃の実行は容易だが影響は限定的とされている。

【CVE-2024-5764】Nexus Repository 3の暗号化パスフレーズ脆弱性、...

2024年11月8日

Sonatype社のNexus Repositoryにおいて、静的なハードコード暗号化パスフレーズが使用されている脆弱性が発見された。CVE-2024-5764として識別されるこの問題は、バージョン3.0.0から3.72.0に影響を与え、SMTPやHTTPプロキシの認証情報、ユーザートークンなどの暗号化に関わる重要な脆弱性となっている。CVSSスコアは5.9（MEDIUM）と評価され、早急な対応が推奨される。

【CVE-2024-5764】Nexus Repository 3の暗号化パスフレーズ脆弱性、...

2024年11月8日

Sonatype社のNexus Repositoryにおいて、静的なハードコード暗号化パスフレーズが使用されている脆弱性が発見された。CVE-2024-5764として識別されるこの問題は、バージョン3.0.0から3.72.0に影響を与え、SMTPやHTTPプロキシの認証情報、ユーザートークンなどの暗号化に関わる重要な脆弱性となっている。CVSSスコアは5.9（MEDIUM）と評価され、早急な対応が推奨される。

【CVE-2024-51561】AeroにおけるOTP検証の脆弱性が発見、他ユーザーアカウント...

2024年11月8日

Brokerage Technology Solutions社のAeroにおいて、OTP検証メカニズムの不適切な実装による認証バイパスの脆弱性が発見された。CVE-2024-51561として識別されたこの脆弱性は、CVSS v4.0で9.3（CRITICAL）と評価されており、攻撃者による他のユーザーアカウントへの不正アクセスを可能にする。影響を受けるバージョンは120820241550より前のバージョンであり、早急なアップデートが推奨される。

【CVE-2024-51561】AeroにおけるOTP検証の脆弱性が発見、他ユーザーアカウント...

2024年11月8日

Brokerage Technology Solutions社のAeroにおいて、OTP検証メカニズムの不適切な実装による認証バイパスの脆弱性が発見された。CVE-2024-51561として識別されたこの脆弱性は、CVSS v4.0で9.3（CRITICAL）と評価されており、攻撃者による他のユーザーアカウントへの不正アクセスを可能にする。影響を受けるバージョンは120820241550より前のバージョンであり、早急なアップデートが推奨される。

【CVE-2024-51431】LB-LINK BL-WR 1300H v.1.0.4にハード...

2024年11月8日

LB-LINK BL-WR 1300H v.1.0.4において、/etc/shadowファイルにハードコード化された認証情報が容易に推測可能な状態で格納されている深刻な脆弱性が発見された。CISAによってCVSSスコア8.1のHIGHレベルと評価されており、自動化された攻撃が可能で特権も不要なため、早急な対応が求められている。CWE-798に分類されるこの脆弱性は、不正アクセスのリスクを著しく高める可能性がある。

【CVE-2024-51431】LB-LINK BL-WR 1300H v.1.0.4にハード...

2024年11月8日

LB-LINK BL-WR 1300H v.1.0.4において、/etc/shadowファイルにハードコード化された認証情報が容易に推測可能な状態で格納されている深刻な脆弱性が発見された。CISAによってCVSSスコア8.1のHIGHレベルと評価されており、自動化された攻撃が可能で特権も不要なため、早急な対応が求められている。CWE-798に分類されるこの脆弱性は、不正アクセスのリスクを著しく高める可能性がある。

【CVE-2024-51326】Travel management System v.1.0に...

2024年11月8日

projectworlds社のTravel management System v.1.0において、deletesubcategory.phpのt2パラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.5（High）と評価されており、リモートからの攻撃が可能で、特権やユーザー介入も不要。CWE-89に分類されるこの脆弱性により、攻撃者による任意のコード実行が可能となっている。

【CVE-2024-51326】Travel management System v.1.0に...

2024年11月8日

projectworlds社のTravel management System v.1.0において、deletesubcategory.phpのt2パラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.5（High）と評価されており、リモートからの攻撃が可能で、特権やユーザー介入も不要。CWE-89に分類されるこの脆弱性により、攻撃者による任意のコード実行が可能となっている。

【CVE-2024-51127】HornetQ v2.4.9にパストラバーサルの脆弱性、機密情...

2024年11月8日

HornetQ v2.4.9のcreateTempFileメソッドに重大な脆弱性が発見され、CVE-2024-51127として公開された。CVSSスコア9.1のCriticalレベルと評価されており、攻撃者による任意のファイル上書きや機密情報へのアクセスが可能となる。特別な権限や利用者の操作を必要とせず、ネットワークを介した攻撃が可能なため、早急な対策が求められている。

【CVE-2024-51127】HornetQ v2.4.9にパストラバーサルの脆弱性、機密情...

2024年11月8日

HornetQ v2.4.9のcreateTempFileメソッドに重大な脆弱性が発見され、CVE-2024-51127として公開された。CVSSスコア9.1のCriticalレベルと評価されており、攻撃者による任意のファイル上書きや機密情報へのアクセスが可能となる。特別な権限や利用者の操作を必要とせず、ネットワークを介した攻撃が可能なため、早急な対策が求められている。

ブライティアーズがAll-in-One AIを正式リリース、200種類以上のプリセットプロンプ...

2024年11月8日

ブライティアーズ株式会社が生成AIを活用した新しいSaaSプラットフォーム「All-in-One AI」を正式リリースした。200種類以上のプリセットプロンプトを搭載し、数個の簡単な項目入力だけで高度なAI機能を活用可能。ブログ記事作成やデジタル広告のコピー制作など、幅広い業務やクリエイティブプロセスをサポートする各用途に特化したツールを提供している。

ブライティアーズがAll-in-One AIを正式リリース、200種類以上のプリセットプロンプ...

2024年11月8日

ブライティアーズ株式会社が生成AIを活用した新しいSaaSプラットフォーム「All-in-One AI」を正式リリースした。200種類以上のプリセットプロンプトを搭載し、数個の簡単な項目入力だけで高度なAI機能を活用可能。ブログ記事作成やデジタル広告のコピー制作など、幅広い業務やクリエイティブプロセスをサポートする各用途に特化したツールを提供している。

【CVE-2024-49368】Nginx UIにおけるlogrotate設定の脆弱性が発見、...

2024年11月8日

Nginx UIの重大な脆弱性【CVE-2024-49368】が2024年10月21日に公開された。バージョン2.0.0-beta.36未満に影響を与えるこの脆弱性は、logrotate設定時の入力検証の不備により任意のコマンド実行を許可してしまう問題を引き起こす。CVSSスコア8.9のHIGH評価で、ネットワーク経由での攻撃が可能であり、早急な対応が求められている。

【CVE-2024-49368】Nginx UIにおけるlogrotate設定の脆弱性が発見、...

2024年11月8日

Nginx UIの重大な脆弱性【CVE-2024-49368】が2024年10月21日に公開された。バージョン2.0.0-beta.36未満に影響を与えるこの脆弱性は、logrotate設定時の入力検証の不備により任意のコマンド実行を許可してしまう問題を引き起こす。CVSSスコア8.9のHIGH評価で、ネットワーク経由での攻撃が可能であり、早急な対応が求められている。

【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、シ...

2024年11月8日

IceWhaleTechが開発するZimaOSのバージョン1.2.4以前において、APIエンドポイントに深刻なディレクトリトラバーサルの脆弱性が発見された。この脆弱性により、認証済みユーザーが任意のディレクトリ内容を一覧表示可能となり、重要なシステム設定ファイルが露出するリスクが確認されている。CVSSスコアは7.5（High）と評価され、現時点で修正パッチは未提供の状態である。

【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、シ...

2024年11月8日

IceWhaleTechが開発するZimaOSのバージョン1.2.4以前において、APIエンドポイントに深刻なディレクトリトラバーサルの脆弱性が発見された。この脆弱性により、認証済みユーザーが任意のディレクトリ内容を一覧表示可能となり、重要なシステム設定ファイルが露出するリスクが確認されている。CVSSスコアは7.5（High）と評価され、現時点で修正パッチは未提供の状態である。

【CVE-2024-49358】ZimaOS 1.2.4にユーザー名列挙の脆弱性、クレデンシャ...

2024年11月8日

IceWhaleTech社のZimaOS 1.2.4およびそれ以前のバージョンにおいて、ユーザー名列挙を可能にする脆弱性が発見された。この脆弱性は【CVE-2024-49358】として識別され、CVSSスコア5.3（MEDIUM）に分類されている。攻撃者はAPIエンドポイントのレスポンスの違いを利用してユーザー名を特定し、二次攻撃に悪用する可能性がある。現時点でパッチ適用済みバージョンは未リリースだ。

【CVE-2024-49358】ZimaOS 1.2.4にユーザー名列挙の脆弱性、クレデンシャ...

2024年11月8日

IceWhaleTech社のZimaOS 1.2.4およびそれ以前のバージョンにおいて、ユーザー名列挙を可能にする脆弱性が発見された。この脆弱性は【CVE-2024-49358】として識別され、CVSSスコア5.3（MEDIUM）に分類されている。攻撃者はAPIエンドポイントのレスポンスの違いを利用してユーザー名を特定し、二次攻撃に悪用する可能性がある。現時点でパッチ適用済みバージョンは未リリースだ。

プレミアムウォーターのfamfitがトモニテ子育て大賞2024で最優秀賞、ボトル下置き型の使い...

2024年11月8日

プレミアムウォーター株式会社のウォーターサーバーfamfitが、トモニテ子育て大賞2024のウォーターサーバー部門で最優秀賞を受賞。非加熱処理による天然水のおいしさとボトル下置き型の使いやすさが評価された。妊娠中や未就学児のいる家庭向けに特別プランPREMIUM WATER MOM CLUBを提供し、子育て世帯の支援を強化している。

プレミアムウォーターのfamfitがトモニテ子育て大賞2024で最優秀賞、ボトル下置き型の使い...

2024年11月8日

プレミアムウォーター株式会社のウォーターサーバーfamfitが、トモニテ子育て大賞2024のウォーターサーバー部門で最優秀賞を受賞。非加熱処理による天然水のおいしさとボトル下置き型の使いやすさが評価された。妊娠中や未就学児のいる家庭向けに特別プランPREMIUM WATER MOM CLUBを提供し、子育て世帯の支援を強化している。

NEDOが半導体後工程自動化・標準化プロジェクトを採択、MRIがSATASと共に2028年度の...

2024年11月8日

NEDOのポスト5G情報通信システム基盤強化研究開発事業において、半導体後工程自動化・標準化技術研究組合（SATAS）による技術開発プロジェクトが採択された。三菱総合研究所が組織運営を支援し、装置間インタフェースの標準化や完全自動化ラインの構築を目指す。2028年度以降の実用化により、日本の半導体産業の競争力強化が期待される。

NEDOが半導体後工程自動化・標準化プロジェクトを採択、MRIがSATASと共に2028年度の...

2024年11月8日

NEDOのポスト5G情報通信システム基盤強化研究開発事業において、半導体後工程自動化・標準化技術研究組合（SATAS）による技術開発プロジェクトが採択された。三菱総合研究所が組織運営を支援し、装置間インタフェースの標準化や完全自動化ラインの構築を目指す。2028年度以降の実用化により、日本の半導体産業の競争力強化が期待される。

【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報...

2024年11月8日

IceWhaleTech社のZimaOSにおいて、バージョン1.2.4以前に重大な認証バイパスの脆弱性が発見された。APIエンドポイントにおいて認証なしでユーザー名情報にアクセス可能な状態となっており、CVE-2024-48932として識別されている。CVSSスコアは5.3（Medium）と評価され、この脆弱性を悪用されるとブルートフォース攻撃やフィッシングの足がかりとされる可能性がある。現時点でパッチ適用版は未リリース。

【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報...

2024年11月8日

IceWhaleTech社のZimaOSにおいて、バージョン1.2.4以前に重大な認証バイパスの脆弱性が発見された。APIエンドポイントにおいて認証なしでユーザー名情報にアクセス可能な状態となっており、CVE-2024-48932として識別されている。CVSSスコアは5.3（Medium）と評価され、この脆弱性を悪用されるとブルートフォース攻撃やフィッシングの足がかりとされる可能性がある。現時点でパッチ適用版は未リリース。

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...

2024年11月8日

IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5（High）と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...

2024年11月8日

IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5（High）と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-48809】Open Networking Foundationのsdra...

2024年11月8日

Open Networking Foundationのsdran-in-a-box v.1.4.3とonos-a1t v.0.2.3に深刻な脆弱性が発見された。CVE-2024-48809として識別されるこの脆弱性は、DeleteWatcher機能を標的としたDoS攻撃を可能にする。CVSSスコア7.5のHIGHレベルで、攻撃は特権不要でリモートから実行可能。CWE-770に分類される本脆弱性は、早急な対応が必要とされている。

【CVE-2024-48809】Open Networking Foundationのsdra...

2024年11月8日

Open Networking Foundationのsdran-in-a-box v.1.4.3とonos-a1t v.0.2.3に深刻な脆弱性が発見された。CVE-2024-48809として識別されるこの脆弱性は、DeleteWatcher機能を標的としたDoS攻撃を可能にする。CVSSスコア7.5のHIGHレベルで、攻撃は特権不要でリモートから実行可能。CWE-770に分類される本脆弱性は、早急な対応が必要とされている。

マップフォーがJR EAST STARTUP DAYに3次元データ計測システムSEAMS ME...

2024年11月8日

マップフォーは2024年11月26日、新宿LUMINE0で開催されるJR EAST STARTUP DAYに出展し、3次元データ計測システムSEAMS MEを展示する。このシステムは3D-LiDAR、カメラ、GNSS受信機を搭載し、技術的知識がなくても直感的に操作可能で、鉄道や電力、道路インフラ設備の保全管理に活用できる。JR東日本スタートアッププログラム10回目を記念する本イベントで、最新の技術とソリューションを紹介する。

マップフォーがJR EAST STARTUP DAYに3次元データ計測システムSEAMS ME...

2024年11月8日

マップフォーは2024年11月26日、新宿LUMINE0で開催されるJR EAST STARTUP DAYに出展し、3次元データ計測システムSEAMS MEを展示する。このシステムは3D-LiDAR、カメラ、GNSS受信機を搭載し、技術的知識がなくても直感的に操作可能で、鉄道や電力、道路インフラ設備の保全管理に活用できる。JR東日本スタートアッププログラム10回目を記念する本イベントで、最新の技術とソリューションを紹介する。

【CVE-2024-43924】WordPressのResponsive Lightbox 2...

2024年11月8日

WordPressプラグインのResponsive Lightboxにおいて、バージョン2.4.7以前に重大な認証の脆弱性が発見された。CVE-2024-43924として識別されたこの問題は、アクセス制御リストによる適切な制限がない状態でシステム機能にアクセスできる脆弱性である。CVSSスコア5.3の中程度の深刻度と評価され、特権レベルや利用者の関与を必要としない点が特徴的だ。

【CVE-2024-43924】WordPressのResponsive Lightbox 2...

2024年11月8日

WordPressプラグインのResponsive Lightboxにおいて、バージョン2.4.7以前に重大な認証の脆弱性が発見された。CVE-2024-43924として識別されたこの問題は、アクセス制御リストによる適切な制限がない状態でシステム機能にアクセスできる脆弱性である。CVSSスコア5.3の中程度の深刻度と評価され、特権レベルや利用者の関与を必要としない点が特徴的だ。

【CVE-2024-34883】Bitrix24 23.300.100でDAVサーバー設定の脆...

2024年11月8日

1C-BitrixのBitrix24 23.300.100において、DAVサーバー設定に関する重大な脆弱性【CVE-2024-34883】が発見された。この脆弱性により、リモート管理者がHTTP GETリクエストを介してプロキシサーバーアカウントのパスワードを読み取ることが可能となっている。CVSS v3.1で6.8（MEDIUM）と評価されており、CWE-522に分類される認証情報の保護不足が指摘されている。

【CVE-2024-34883】Bitrix24 23.300.100でDAVサーバー設定の脆...

2024年11月8日

1C-BitrixのBitrix24 23.300.100において、DAVサーバー設定に関する重大な脆弱性【CVE-2024-34883】が発見された。この脆弱性により、リモート管理者がHTTP GETリクエストを介してプロキシサーバーアカウントのパスワードを読み取ることが可能となっている。CVSS v3.1で6.8（MEDIUM）と評価されており、CWE-522に分類される認証情報の保護不足が指摘されている。

【CVE-2024-10809】E-Health Care System 1.0のチャット機能...

2024年11月8日

code-projectsのE-Health Care System 1.0において、/Doctor/chat.phpファイルに重大な脆弱性が発見された。nameとmessageパラメータに対するSQL injectionが可能で、リモートからの攻撃リスクが存在する。CVSSスコアは最新のバージョン4.0で5.3を記録し、医療データの安全性に影響を与える可能性のある深刻な問題として認識されている。

【CVE-2024-10809】E-Health Care System 1.0のチャット機能...

2024年11月8日

code-projectsのE-Health Care System 1.0において、/Doctor/chat.phpファイルに重大な脆弱性が発見された。nameとmessageパラメータに対するSQL injectionが可能で、リモートからの攻撃リスクが存在する。CVSSスコアは最新のバージョン4.0で5.3を記録し、医療データの安全性に影響を与える可能性のある深刻な問題として認識されている。

【CVE-2024-50530】Stars SMTP Mailer 1.7以前に危険なファイル...

2024年11月8日

WordPressプラグインのStars SMTP Mailerにおいて、バージョン1.7以前に危険なファイルタイプの無制限アップロードを許可する脆弱性が発見された。CVE-2024-50530として識別されるこの脆弱性は、CVSSスコア9.9のクリティカルな問題として評価されており、Webシェルのアップロードを可能にしてしまう危険性が指摘されている。早急なバージョンアップデートによる対応が推奨される。

【CVE-2024-50530】Stars SMTP Mailer 1.7以前に危険なファイル...

2024年11月8日

WordPressプラグインのStars SMTP Mailerにおいて、バージョン1.7以前に危険なファイルタイプの無制限アップロードを許可する脆弱性が発見された。CVE-2024-50530として識別されるこの脆弱性は、CVSSスコア9.9のクリティカルな問題として評価されており、Webシェルのアップロードを可能にしてしまう危険性が指摘されている。早急なバージョンアップデートによる対応が推奨される。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

2024年11月8日

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1（High）と評価されており、早急な対応が推奨される。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

2024年11月8日

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1（High）と評価されており、早急な対応が推奨される。

【CVE-2024-10807】PHPGurukul Hospital Management ...

2024年11月8日

PHPGurukul社のHospital Management System 4.0にCross Site Scriptingの脆弱性が発見された。search.phpファイル内のsearchdataパラメータに存在する脆弱性は、リモートからの攻撃が可能で、CVSSスコア5.1を記録。既に攻撃コードが公開されており、医療情報システムのセキュリティ対策の重要性が改めて浮き彫りとなっている。

【CVE-2024-10807】PHPGurukul Hospital Management ...

2024年11月8日

PHPGurukul社のHospital Management System 4.0にCross Site Scriptingの脆弱性が発見された。search.phpファイル内のsearchdataパラメータに存在する脆弱性は、リモートからの攻撃が可能で、CVSSスコア5.1を記録。既に攻撃コードが公開されており、医療情報システムのセキュリティ対策の重要性が改めて浮き彫りとなっている。

【CVE-2024-10806】PHPGurukul Hospital Management ...

2024年11月8日

PHPGurukul Hospital Management System 4.0のbetweendates-detailsreports.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、fromdateとtodateパラメータの不適切な処理に起因し、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、医療機関のデータセキュリティに対する早急な対応が必要となっている。

【CVE-2024-10806】PHPGurukul Hospital Management ...

2024年11月8日

PHPGurukul Hospital Management System 4.0のbetweendates-detailsreports.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、fromdateとtodateパラメータの不適切な処理に起因し、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、医療機関のデータセキュリティに対する早急な対応が必要となっている。

【CVE-2024-10765】Codezips Online Institute Manag...

2024年11月8日

Codezips Online Institute Management System 1.0のprofile.phpファイルに深刻な脆弱性が発見された。old_image引数の操作により制限のないファイルアップロードが可能となり、遠隔からの攻撃実行のリスクが指摘されている。CVSS 4.0で中程度の深刻度5.3を記録しており、既に攻撃コードも公開されているため、早急な対策が必要となっている。

【CVE-2024-10765】Codezips Online Institute Manag...

2024年11月8日

Codezips Online Institute Management System 1.0のprofile.phpファイルに深刻な脆弱性が発見された。old_image引数の操作により制限のないファイルアップロードが可能となり、遠隔からの攻撃実行のリスクが指摘されている。CVSS 4.0で中程度の深刻度5.3を記録しており、既に攻撃コードも公開されているため、早急な対策が必要となっている。

【CVE-2024-10764】Codezips Online Institute Manag...

2024年11月8日

Codezips社のOnline Institute Management System 1.0において、画像アップロード機能に重大な脆弱性が発見された。CVE-2024-10764として識別されたこの脆弱性は、CVSS 4.0で5.3（MEDIUM）と評価され、無制限アップロードやアクセス制御の不備など複数のセキュリティ上の問題点が指摘されている。リモートからの攻撃が可能であり、早急な対策が求められる。

【CVE-2024-10764】Codezips Online Institute Manag...

2024年11月8日

Codezips社のOnline Institute Management System 1.0において、画像アップロード機能に重大な脆弱性が発見された。CVE-2024-10764として識別されたこの脆弱性は、CVSS 4.0で5.3（MEDIUM）と評価され、無制限アップロードやアクセス制御の不備など複数のセキュリティ上の問題点が指摘されている。リモートからの攻撃が可能であり、早急な対策が求められる。