Tech Insights

【CVE-2024-47452】Adobe Illustrator 28.7.1に深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-47452】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに影響を与える深刻な脆弱性【CVE-2024-47452】を公開した。境界外書き込みの問題により、攻撃者が細工したファイルを開かせることで任意のコード実行が可能となる。CVSSスコアは7.8と高い値を示しており、早急な対応が求められている。

【CVE-2024-47452】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに影響を与える深刻な脆弱性【CVE-2024-47452】を公開した。境界外書き込みの問題により、攻撃者が細工したファイルを開かせることで任意のコード実行が可能となる。CVSSスコアは7.8と高い値を示しており、早急な対応が求められている。

【CVE-2024-47453】Adobe Illustrator 28.7.1以前にメモリ脆弱性、ASLRの保護機能回避のリスクが発生

【CVE-2024-47453】Adobe Illustrator 28.7.1以前にメモリ脆...

Adobe IllustratorのバージョンK28.7.1以前に範囲外読み取りの脆弱性が発見された。この脆弱性により機密性の高いメモリ情報が漏洩する可能性があり、攻撃者がASLRなどの保護機能を回避するために悪用するリスクが指摘されている。CVSSスコアは5.5(Medium)で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの関与が必須となる。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-47453】Adobe Illustrator 28.7.1以前にメモリ脆...

Adobe IllustratorのバージョンK28.7.1以前に範囲外読み取りの脆弱性が発見された。この脆弱性により機密性の高いメモリ情報が漏洩する可能性があり、攻撃者がASLRなどの保護機能を回避するために悪用するリスクが指摘されている。CVSSスコアは5.5(Medium)で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの関与が必須となる。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-45147】Adobe Bridge 13.0.9、14.1.2以前に範囲外読み取りの脆弱性、ASLRバイパスのリスクに注意

【CVE-2024-45147】Adobe Bridge 13.0.9、14.1.2以前に範囲...

Adobe Bridgeの13.0.9、14.1.2以前のバージョンに範囲外読み取りの脆弱性が発見された。この脆弱性は機密メモリの漏洩を引き起こす可能性があり、攻撃者がASLRなどの保護機能をバイパスするために利用される危険性がある。CVSSスコアは5.5で中程度の深刻度とされ、攻撃には被害者が悪意のあるファイルを開く必要がある。セキュリティ対策の強化が求められる。

【CVE-2024-45147】Adobe Bridge 13.0.9、14.1.2以前に範囲...

Adobe Bridgeの13.0.9、14.1.2以前のバージョンに範囲外読み取りの脆弱性が発見された。この脆弱性は機密メモリの漏洩を引き起こす可能性があり、攻撃者がASLRなどの保護機能をバイパスするために利用される危険性がある。CVSSスコアは5.5で中程度の深刻度とされ、攻撃には被害者が悪意のあるファイルを開く必要がある。セキュリティ対策の強化が求められる。

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースのバッファオーバーフロー脆弱性が発見、リモート攻撃のリスクに警鐘

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースの...

TendaのAC10 16.03.10.13において、/goform/fast_setting_wifi_setファイルのFUN_0044db3c関数に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11061】として識別され、timeZoneパラメータの操作によってスタックベースのバッファオーバーフローが発生する可能性がある。CVSS 4.0で8.7というハイレベルの深刻度が付与されており、リモートからの攻撃が可能な状態となっている。

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースの...

TendaのAC10 16.03.10.13において、/goform/fast_setting_wifi_setファイルのFUN_0044db3c関数に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11061】として識別され、timeZoneパラメータの操作によってスタックベースのバッファオーバーフローが発生する可能性がある。CVSS 4.0で8.7というハイレベルの深刻度が付与されており、リモートからの攻撃が可能な状態となっている。

【CVE-2024-10672】Multiple Page Generator Plugin – MPGに認証済みディレクトリトラバーサルの脆弱性、早急な更新が必要に

【CVE-2024-10672】Multiple Page Generator Plugin ...

WordfenceはWordPress用プラグインMultiple Page Generator Plugin – MPGにおいて、バージョン4.0.2以前に認証済みディレクトリトラバーサルによる任意のファイル削除の脆弱性が存在することを公開した。エディターレベル以上の権限を持つ攻撃者がサーバー上の特定のファイルを削除できる可能性があり、早急な対応が必要となっている。

【CVE-2024-10672】Multiple Page Generator Plugin ...

WordfenceはWordPress用プラグインMultiple Page Generator Plugin – MPGにおいて、バージョン4.0.2以前に認証済みディレクトリトラバーサルによる任意のファイル削除の脆弱性が存在することを公開した。エディターレベル以上の権限を持つ攻撃者がサーバー上の特定のファイルを削除できる可能性があり、早急な対応が必要となっている。

【CVE-2024-24117】Ruijie RG-NBS2009G-P RGOSに権限昇格の脆弱性、ログインチェックコンポーネントに深刻な問題

【CVE-2024-24117】Ruijie RG-NBS2009G-P RGOSに権限昇格の...

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release (9736)にログインチェック状態コンポーネントを介した権限昇格の脆弱性が存在することを公開した。この脆弱性は【CVE-2024-24117】として識別され、リモート攻撃者による権限取得が可能となる。CISAの評価では技術的影響が部分的で自動化された攻撃が可能とされており、早急な対応が必要とされている。

【CVE-2024-24117】Ruijie RG-NBS2009G-P RGOSに権限昇格の...

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release (9736)にログインチェック状態コンポーネントを介した権限昇格の脆弱性が存在することを公開した。この脆弱性は【CVE-2024-24117】として識別され、リモート攻撃者による権限取得が可能となる。CISAの評価では技術的影響が部分的で自動化された攻撃が可能とされており、早急な対応が必要とされている。

【CVE-2024-36250】Mattermost 9.11.xと9.5.xでMFAコードのリプレイ攻撃による脆弱性が発見、迅速な対応でセキュリティ強化へ

【CVE-2024-36250】Mattermost 9.11.xと9.5.xでMFAコードの...

Mattermost社が9.11.xおよび9.5.xシリーズにおいて、MFAコードの再利用を可能とする脆弱性【CVE-2024-36250】を公開。約30秒以内のMFAコードリプレイ攻撃が可能な状態であることが判明。CWE-303に分類され、CVSSスコアは3.1(Low)。Mattermost 10.1.0、9.11.3、9.5.11で修正済み。DoyenSecにより発見された本脆弱性に対し、迅速なセキュリティアップデートを実施。

【CVE-2024-36250】Mattermost 9.11.xと9.5.xでMFAコードの...

Mattermost社が9.11.xおよび9.5.xシリーズにおいて、MFAコードの再利用を可能とする脆弱性【CVE-2024-36250】を公開。約30秒以内のMFAコードリプレイ攻撃が可能な状態であることが判明。CWE-303に分類され、CVSSスコアは3.1(Low)。Mattermost 10.1.0、9.11.3、9.5.11で修正済み。DoyenSecにより発見された本脆弱性に対し、迅速なセキュリティアップデートを実施。

【CVE-2024-49393】neomuttとmuttでメールヘッダーの暗号署名に脆弱性、機密情報漏洩のリスクが浮上

【CVE-2024-49393】neomuttとmuttでメールヘッダーの暗号署名に脆弱性、機...

Red Hatは2024年11月12日、メールクライアントneomuttとmuttにおいて、ToとCcヘッダーフィールドが暗号署名による保護を受けていない脆弱性を公開した。CVSSスコアは7.4(High)で、攻撃者がメッセージを傍受してヘッダー値を変更し、自身を受信者として追加することで機密性を侵害する可能性がある。Red Hat Enterprise Linux 8および9の全バージョンが影響を受けることが確認されている。

【CVE-2024-49393】neomuttとmuttでメールヘッダーの暗号署名に脆弱性、機...

Red Hatは2024年11月12日、メールクライアントneomuttとmuttにおいて、ToとCcヘッダーフィールドが暗号署名による保護を受けていない脆弱性を公開した。CVSSスコアは7.4(High)で、攻撃者がメッセージを傍受してヘッダー値を変更し、自身を受信者として追加することで機密性を侵害する可能性がある。Red Hat Enterprise Linux 8および9の全バージョンが影響を受けることが確認されている。

【CVE-2024-46955】Ghostscriptに境界外読み取りの脆弱性、バージョン10.04.0で修正パッチを提供

【CVE-2024-46955】Ghostscriptに境界外読み取りの脆弱性、バージョン10...

Artifex GhostscriptのIndexedカラースペース処理において境界外読み取りの脆弱性が発見された。CVSSスコア5.5(MEDIUM)と評価されるこの脆弱性は、psi/zcolor.cファイル内で発生し、システムの可用性に影響を与える可能性がある。Artifexは対策としてバージョン10.04.0でセキュリティパッチを提供しており、ユーザーに更新を推奨している。

【CVE-2024-46955】Ghostscriptに境界外読み取りの脆弱性、バージョン10...

Artifex GhostscriptのIndexedカラースペース処理において境界外読み取りの脆弱性が発見された。CVSSスコア5.5(MEDIUM)と評価されるこの脆弱性は、psi/zcolor.cファイル内で発生し、システムの可用性に影響を与える可能性がある。Artifexは対策としてバージョン10.04.0でセキュリティパッチを提供しており、ユーザーに更新を推奨している。

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザーによる情報漏洩のリスクに警戒

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザ...

GitサーバーとCI/CD機能を提供するOneDevにおいて、バージョン11.0.9未満に深刻な認証回避の脆弱性が発見された。未認証ユーザーによる任意のファイル読み取りが可能となる問題が確認されており、CVSSスコア8.7(HIGH)と高い危険性が指摘されている。開発チームは直ちにバージョン11.0.9で修正を実施したが、早急なアップデートの適用が推奨される。

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザ...

GitサーバーとCI/CD機能を提供するOneDevにおいて、バージョン11.0.9未満に深刻な認証回避の脆弱性が発見された。未認証ユーザーによる任意のファイル読み取りが可能となる問題が確認されており、CVSSスコア8.7(HIGH)と高い危険性が指摘されている。開発チームは直ちにバージョン11.0.9で修正を実施したが、早急なアップデートの適用が推奨される。

【CVE-2024-51608】WordPressプラグインAmaDiscountにSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2024-51608】WordPressプラグインAmaDiscountにSQLイン...

WordPressプラグインのAmaDiscountにおいて、SQLインジェクションの脆弱性が発見された。CVE-2024-51608として識別されたこの脆弱性は、バージョン1.0以下に影響を与え、CVSSスコア8.5の高リスク評価を受けている。低い特権レベルでリモートからの攻撃が可能であり、ユーザー操作を必要としない点から、早急なセキュリティアップデートが求められている。

【CVE-2024-51608】WordPressプラグインAmaDiscountにSQLイン...

WordPressプラグインのAmaDiscountにおいて、SQLインジェクションの脆弱性が発見された。CVE-2024-51608として識別されたこの脆弱性は、バージョン1.0以下に影響を与え、CVSSスコア8.5の高リスク評価を受けている。低い特権レベルでリモートからの攻撃が可能であり、ユーザー操作を必要としない点から、早急なセキュリティアップデートが求められている。

【CVE-2024-51576】WordPress AMP Img Shortcode 1.0.1に格納型XSSの脆弱性、CVSSスコア6.5で中程度の深刻度

【CVE-2024-51576】WordPress AMP Img Shortcode 1.0...

WordPress用プラグインAMP Img Shortcode 1.0.1以前において格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-51576として識別されるこの脆弱性は、CVSS 3.1で6.5点と評価され中程度の深刻度。攻撃者は限定された特権でネットワークを介して攻撃を実行でき、ユーザーの関与が必要となるものの、スコープの変更を伴う可能性がある。

【CVE-2024-51576】WordPress AMP Img Shortcode 1.0...

WordPress用プラグインAMP Img Shortcode 1.0.1以前において格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-51576として識別されるこの脆弱性は、CVSS 3.1で6.5点と評価され中程度の深刻度。攻撃者は限定された特権でネットワークを介して攻撃を実行でき、ユーザーの関与が必要となるものの、スコープの変更を伴う可能性がある。

【CVE-2024-51490】Ampache 7.0.1未満にXSS脆弱性、ロゴのカスタムURL設定で危険性

【CVE-2024-51490】Ampache 7.0.1未満にXSS脆弱性、ロゴのカスタムU...

GitHubセキュリティアドバイザリーは、Ampacheのインターフェースセクションにおいて、ロゴのカスタムURL設定でJavaScriptが実行可能な新たな脆弱性を報告した。CVSS v3.1で深刻度5.5と評価され、特権アカウントを必要とするものの攻撃条件の複雑さは低く、機密性・整合性・可用性に影響を及ぼす可能性がある。開発チームは7.0.1でこの問題を修正している。

【CVE-2024-51490】Ampache 7.0.1未満にXSS脆弱性、ロゴのカスタムU...

GitHubセキュリティアドバイザリーは、Ampacheのインターフェースセクションにおいて、ロゴのカスタムURL設定でJavaScriptが実行可能な新たな脆弱性を報告した。CVSS v3.1で深刻度5.5と評価され、特権アカウントを必要とするものの攻撃条件の複雑さは低く、機密性・整合性・可用性に影響を及ぼす可能性がある。開発チームは7.0.1でこの問題を修正している。

【CVE-2024-51486】Ampache 7.0.1未満のバージョンにXSS脆弱性、アップデートによる対策が必須に

【CVE-2024-51486】Ampache 7.0.1未満のバージョンにXSS脆弱性、アッ...

GitHubは2024年11月11日、音声・動画ストリーミングアプリケーションAmpacheにストアドクロスサイトスクリプティングの脆弱性が存在することを公開した。Custom URL - Faviconの設定項目における入力値のサニタイズ処理が不十分であり、JavaScriptの実行が可能な状態となっている。CVSSスコアは5.5でMediumレベルと評価されており、バージョン7.0.1へのアップデートが推奨されている。

【CVE-2024-51486】Ampache 7.0.1未満のバージョンにXSS脆弱性、アッ...

GitHubは2024年11月11日、音声・動画ストリーミングアプリケーションAmpacheにストアドクロスサイトスクリプティングの脆弱性が存在することを公開した。Custom URL - Faviconの設定項目における入力値のサニタイズ処理が不十分であり、JavaScriptの実行が可能な状態となっている。CVSSスコアは5.5でMediumレベルと評価されており、バージョン7.0.1へのアップデートが推奨されている。

【CVE-2024-51484】Ampache 7.0.1未満でCSRF脆弱性を発見、管理者機能の不正操作の危険性

【CVE-2024-51484】Ampache 7.0.1未満でCSRF脆弱性を発見、管理者機...

Ampacheの音声・動画ストリーミングアプリケーションにおいて、コントローラーの有効化・無効化機能にCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価され、管理者権限での認証は必要だがユーザーの関与なく攻撃が可能とされている。開発チームは7.0.1へのアップグレードを推奨しており、現時点で他の回避策は存在しない。

【CVE-2024-51484】Ampache 7.0.1未満でCSRF脆弱性を発見、管理者機...

Ampacheの音声・動画ストリーミングアプリケーションにおいて、コントローラーの有効化・無効化機能にCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価され、管理者権限での認証は必要だがユーザーの関与なく攻撃が可能とされている。開発チームは7.0.1へのアップグレードを推奨しており、現時点で他の回避策は存在しない。

【CVE-2024-50634】Watcharr v1.43.0のJWTトークン脆弱性が発覚、特権昇格の危険性が浮上

【CVE-2024-50634】Watcharr v1.43.0のJWTトークン脆弱性が発覚、...

Watcharr v1.43.0以下のバージョンにおいて、JWTトークンに関する重大な脆弱性が発見された。CVE-2024-50634として識別されたこの脆弱性は、攻撃者による特権昇格を可能にし、認証を必要とする全機能に影響を及ぼす。CVSSスコアは8.8(HIGH)と評価され、ネットワークからの攻撃が可能で、攻撃条件の複雑さも低いことが判明している。

【CVE-2024-50634】Watcharr v1.43.0のJWTトークン脆弱性が発覚、...

Watcharr v1.43.0以下のバージョンにおいて、JWTトークンに関する重大な脆弱性が発見された。CVE-2024-50634として識別されたこの脆弱性は、攻撃者による特権昇格を可能にし、認証を必要とする全機能に影響を及ぼす。CVSSスコアは8.8(HIGH)と評価され、ネットワークからの攻撃が可能で、攻撃条件の複雑さも低いことが判明している。

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPHPオブジェクトインジェクションの脆弱性発見、認証済みユーザーによる攻撃に注意

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPH...

WordPressテーマEmpowermentのバージョン1.0.2以前に、PHPオブジェクトインジェクションの脆弱性が発見された。Contributor以上の権限を持つ認証済みユーザーが悪用可能で、CVSSスコアは8.8と高く評価されている。追加のプラグインやテーマがインストールされている環境では、任意のファイルの削除や機密データの取得、コードの実行などの攻撃が可能になる可能性がある。

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPH...

WordPressテーマEmpowermentのバージョン1.0.2以前に、PHPオブジェクトインジェクションの脆弱性が発見された。Contributor以上の権限を持つ認証済みユーザーが悪用可能で、CVSSスコアは8.8と高く評価されている。追加のプラグインやテーマがインストールされている環境では、任意のファイルの削除や機密データの取得、コードの実行などの攻撃が可能になる可能性がある。

【CVE-2024-47942】SiemensがSolid Edge SE2024のDLLハイジャック脆弱性を公開、早急なアップデートが必要に

【CVE-2024-47942】SiemensがSolid Edge SE2024のDLLハイ...

Siemens社は3D CADソフトウェアSolid Edge SE2024において、DLLハイジャックの脆弱性【CVE-2024-47942】を公開した。V224.0 Update 9より前のバージョンが影響を受け、攻撃者が細工されたDLLファイルをシステムに配置することで任意のコード実行が可能になる。CVSSスコアはv3.1で7.3、v4.0で7.0と高い危険度を示しており、早急なアップデートが推奨されている。

【CVE-2024-47942】SiemensがSolid Edge SE2024のDLLハイ...

Siemens社は3D CADソフトウェアSolid Edge SE2024において、DLLハイジャックの脆弱性【CVE-2024-47942】を公開した。V224.0 Update 9より前のバージョンが影響を受け、攻撃者が細工されたDLLファイルをシステムに配置することで任意のコード実行が可能になる。CVSSスコアはv3.1で7.3、v4.0で7.0と高い危険度を示しており、早急なアップデートが推奨されている。

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Injection脆弱性、認証済みユーザーによる攻撃の可能性

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Inj...

WordPressテーマUnseen Blog 1.0.0以前にPHP Object Injectionの脆弱性が発見された。CVE-2024-7432として識別されるこの脆弱性は、投稿者以上の権限を持つ認証済みユーザーが任意のPHPオブジェクトを注入可能。POP chainが存在する環境では、任意のファイル削除や機密データの取得、コード実行などの深刻な影響が懸念される。CVSSスコアは8.8(HIGH)と評価されており、早急な対応が推奨される。

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Inj...

WordPressテーマUnseen Blog 1.0.0以前にPHP Object Injectionの脆弱性が発見された。CVE-2024-7432として識別されるこの脆弱性は、投稿者以上の権限を持つ認証済みユーザーが任意のPHPオブジェクトを注入可能。POP chainが存在する環境では、任意のファイル削除や機密データの取得、コード実行などの深刻な影響が懸念される。CVSSスコアは8.8(HIGH)と評価されており、早急な対応が推奨される。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発見、バージョン1.0以前のユーザーに影響

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻なSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻...

Patchstack OÜがWordPress用プラグインBlrt WP Embedにおいて、深刻なSQLインジェクション脆弱性【CVE-2024-51606】を発見した。本脆弱性はバージョン1.6.9以前のすべてのバージョンに影響を与えており、CVSSスコア8.5と高い深刻度で評価されている。特に攻撃の複雑さが低く、低い特権レベルで実行可能であることから、早急な対応が求められている。

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻...

Patchstack OÜがWordPress用プラグインBlrt WP Embedにおいて、深刻なSQLインジェクション脆弱性【CVE-2024-51606】を発見した。本脆弱性はバージョン1.6.9以前のすべてのバージョンに影響を与えており、CVSSスコア8.5と高い深刻度で評価されている。特に攻撃の複雑さが低く、低い特権レベルで実行可能であることから、早急な対応が求められている。

【CVE-2024-51587】Definitive Addons for Elementor 1.5.16にXSS脆弱性、WordPress開発者の対応が急務に

【CVE-2024-51587】Definitive Addons for Elementor...

WordPress用プラグインDefinitive Addons for Elementorにおいて、バージョン1.5.16以前に存在するStored XSSの脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価されており、低い特権で攻撃が可能で影響範囲が変更される可能性がある。Patchstack Allianceのセキュリティリサーチャーによって発見されたこの脆弱性は、WordPress用プラグインの安全性に警鐘を鳴らす重要な事例となっている。

【CVE-2024-51587】Definitive Addons for Elementor...

WordPress用プラグインDefinitive Addons for Elementorにおいて、バージョン1.5.16以前に存在するStored XSSの脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価されており、低い特権で攻撃が可能で影響範囲が変更される可能性がある。Patchstack Allianceのセキュリティリサーチャーによって発見されたこの脆弱性は、WordPress用プラグインの安全性に警鐘を鳴らす重要な事例となっている。

【CVE-2024-51583】WordPress用Kento Ads Rotatorプラグインにクロスサイトスクリプティングの脆弱性、バージョン1.3以前に影響

【CVE-2024-51583】WordPress用Kento Ads Rotatorプラグイ...

KentoThemes社のWordPress用プラグインKento Ads Rotatorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51583として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。Patchstack Allianceにより発見され、ウェブページ生成時の入力の不適切な無害化に起因する問題だ。

【CVE-2024-51583】WordPress用Kento Ads Rotatorプラグイ...

KentoThemes社のWordPress用プラグインKento Ads Rotatorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51583として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。Patchstack Allianceにより発見され、ウェブページ生成時の入力の不適切な無害化に起因する問題だ。

【CVE-2024-51488】Ampache7.0.1未満でメッセージ削除機能のCSRF脆弱性が発見、早急な更新が必要に

【CVE-2024-51488】Ampache7.0.1未満でメッセージ削除機能のCSRF脆弱...

オープンソースのWeb音声・動画ストリーミングアプリケーションAmpacheにおいて、メッセージ削除機能のCSRFトークン検証が不十分である脆弱性が発見された。CVSSv4スコアは5.3(Medium)で、攻撃者は悪意のあるリクエストを送信し、管理者を含む任意のユーザーのメッセージを削除可能となる。開発チームは脆弱性を修正したバージョン7.0.1をリリースしており、影響を受ける可能性のあるユーザーに対して即時のアップデートを強く推奨している。

【CVE-2024-51488】Ampache7.0.1未満でメッセージ削除機能のCSRF脆弱...

オープンソースのWeb音声・動画ストリーミングアプリケーションAmpacheにおいて、メッセージ削除機能のCSRFトークン検証が不十分である脆弱性が発見された。CVSSv4スコアは5.3(Medium)で、攻撃者は悪意のあるリクエストを送信し、管理者を含む任意のユーザーのメッセージを削除可能となる。開発チームは脆弱性を修正したバージョン7.0.1をリリースしており、影響を受ける可能性のあるユーザーに対して即時のアップデートを強く推奨している。

【CVE-2024-50972】Construction Management System 1.0にSQLインジェクションの脆弱性、早急な対策が必要に

【CVE-2024-50972】Construction Management System ...

Itsourcecode社のConstruction Management System 1.0において、printtool.phpのborrow_idパラメータにSQLインジェクションの脆弱性が発見され、CVE-2024-50972として公開された。この脆弱性により、リモート攻撃者が任意のSQLコマンドを実行できる状態となっており、データベースの改ざんや情報漏洩などのリスクが高まっている。運用者は早急なセキュリティパッチの適用や代替策の実装を検討する必要がある。

【CVE-2024-50972】Construction Management System ...

Itsourcecode社のConstruction Management System 1.0において、printtool.phpのborrow_idパラメータにSQLインジェクションの脆弱性が発見され、CVE-2024-50972として公開された。この脆弱性により、リモート攻撃者が任意のSQLコマンドを実行できる状態となっており、データベースの改ざんや情報漏洩などのリスクが高まっている。運用者は早急なセキュリティパッチの適用や代替策の実装を検討する必要がある。

【CVE-2024-50969】Jonnys Liquor 1.0にXSS脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2024-50969】Jonnys Liquor 1.0にXSS脆弱性が発見、リモー...

Code-projectsは2024年11月13日、Jonnys Liquor 1.0のbrowse.phpにReflected XSS(クロスサイトスクリプティング)の脆弱性が存在することを公開した。searchパラメータを介して任意のWebスクリプトやHTMLを注入可能な状態にあり、リモート攻撃者によって悪用されるリスクが指摘されている。MITREによって【CVE-2024-50969】として識別されたこの脆弱性への早急な対応が求められている。

【CVE-2024-50969】Jonnys Liquor 1.0にXSS脆弱性が発見、リモー...

Code-projectsは2024年11月13日、Jonnys Liquor 1.0のbrowse.phpにReflected XSS(クロスサイトスクリプティング)の脆弱性が存在することを公開した。searchパラメータを介して任意のWebスクリプトやHTMLを注入可能な状態にあり、リモート攻撃者によって悪用されるリスクが指摘されている。MITREによって【CVE-2024-50969】として識別されたこの脆弱性への早急な対応が求められている。

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発見、深刻な影響の可能性が浮上

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発...

Tenda G3 v3.0 v15.11.0.20においてコマンドインジェクション脆弱性が発見され、MITRE CorporationによってCVE-2024-50853として公開された。formSetDebugCfg機能を介した不正コマンド実行の可能性が指摘されており、CISA-ADPによる評価では攻撃の自動化が可能で技術的影響も深刻とされている。早急な対策が求められる事態となっている。

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発...

Tenda G3 v3.0 v15.11.0.20においてコマンドインジェクション脆弱性が発見され、MITRE CorporationによってCVE-2024-50853として公開された。formSetDebugCfg機能を介した不正コマンド実行の可能性が指摘されており、CISA-ADPによる評価では攻撃の自動化が可能で技術的影響も深刻とされている。早急な対策が求められる事態となっている。

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサルの脆弱性、任意のコード実行の危険性が浮上

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサル...

MITREがDotNetZip v.1.16.0およびそれ以前のバージョンにディレクトリトラバーサルの脆弱性が存在することを公開した。この脆弱性は遠隔からの任意のコード実行を可能にする深刻な問題であり、自動化された攻撃も可能とされている。特に重要な点として、この脆弱性は現在メンテナンスが終了した製品にのみ影響を与えることが確認されている。

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサル...

MITREがDotNetZip v.1.16.0およびそれ以前のバージョンにディレクトリトラバーサルの脆弱性が存在することを公開した。この脆弱性は遠隔からの任意のコード実行を可能にする深刻な問題であり、自動化された攻撃も可能とされている。特に重要な点として、この脆弱性は現在メンテナンスが終了した製品にのみ影響を与えることが確認されている。

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4.5のオープンリダイレクト脆弱性が発覚、セキュリティ対策が急務に

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4....

WordPressのイベント管理プラグインEventPrime 4.0.4.5以前のバージョンにオープンリダイレクト脆弱性が存在することが判明した。CVE-2024-47648として識別されたこの脆弱性は、CVSSスコア4.7のミディアムリスクと評価されており、特権は不要だがユーザーの操作が必要とされている。開発元は4.0.4.6でこの問題を修正しており、早急なアップデートが推奨される。

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4....

WordPressのイベント管理プラグインEventPrime 4.0.4.5以前のバージョンにオープンリダイレクト脆弱性が存在することが判明した。CVE-2024-47648として識別されたこの脆弱性は、CVSSスコア4.7のミディアムリスクと評価されており、特権は不要だがユーザーの操作が必要とされている。開発元は4.0.4.6でこの問題を修正しており、早急なアップデートが推奨される。

【CVE-2024-45278】SAP Commerce BackofficeにXSS脆弱性が発見、機密性と整合性に影響の恐れ

【CVE-2024-45278】SAP Commerce BackofficeにXSS脆弱性が...

SAPは2024年10月8日、SAP Commerce Backofficeにおいて、ユーザー制御入力の不十分なエンコードに起因するXSS脆弱性を公開した。HY_COM 2205とCOM_CLOUD 2211のバージョンに影響を与えるこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価されており、機密性と整合性に限定的な影響を及ぼす可能性がある。セキュリティパッチデーの一環として修正プログラムが提供されている。

【CVE-2024-45278】SAP Commerce BackofficeにXSS脆弱性が...

SAPは2024年10月8日、SAP Commerce Backofficeにおいて、ユーザー制御入力の不十分なエンコードに起因するXSS脆弱性を公開した。HY_COM 2205とCOM_CLOUD 2211のバージョンに影響を与えるこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価されており、機密性と整合性に限定的な影響を及ぼす可能性がある。セキュリティパッチデーの一環として修正プログラムが提供されている。