Tech Insights

【CVE-2024-50612】libsndfile 1.2.2に境界外読み取りの脆弱性、音声ファイル処理時のセキュリティリスクに注意

【CVE-2024-50612】libsndfile 1.2.2に境界外読み取りの脆弱性、音声...

音声ファイル処理ライブラリlibsndfile 1.2.2においてogg_vorbis.cファイルに境界外読み取りの脆弱性が発見された。CVSSスコア5.3のミディアムレベルの深刻度で、攻撃には特権は不要だがユーザーの関与が必要。機密性や整合性、可用性への影響は限定的だが、適切な対策が求められる。

【CVE-2024-50612】libsndfile 1.2.2に境界外読み取りの脆弱性、音声...

音声ファイル処理ライブラリlibsndfile 1.2.2においてogg_vorbis.cファイルに境界外読み取りの脆弱性が発見された。CVSSスコア5.3のミディアムレベルの深刻度で、攻撃には特権は不要だがユーザーの関与が必要。機密性や整合性、可用性への影響は限定的だが、適切な対策が求められる。

【CVE-2024-50088】Linux kernelのbtrfsに未初期化ポインタ解放の脆弱性、複数バージョンに影響

【CVE-2024-50088】Linux kernelのbtrfsに未初期化ポインタ解放の脆...

Linux kernelのbtrfsファイルシステムにおいて、add_inode_ref()関数での未初期化ポインタ解放の脆弱性が発見された。この問題はCoverity社によってCID 1526744として報告され、Linux 6.2未満の全バージョンをはじめ、6.1系、6.6系、6.11系、6.12系の特定バージョンに影響を与える。既に複数のパッチがリリースされており、システム管理者には早急な対応が求められている。

【CVE-2024-50088】Linux kernelのbtrfsに未初期化ポインタ解放の脆...

Linux kernelのbtrfsファイルシステムにおいて、add_inode_ref()関数での未初期化ポインタ解放の脆弱性が発見された。この問題はCoverity社によってCID 1526744として報告され、Linux 6.2未満の全バージョンをはじめ、6.1系、6.6系、6.11系、6.12系の特定バージョンに影響を与える。既に複数のパッチがリリースされており、システム管理者には早急な対応が求められている。

【CVE-2024-50078】Linuxカーネルのモジュールアンロード処理に重大な脆弱性、システムの安定性に影響

【CVE-2024-50078】Linuxカーネルのモジュールアンロード処理に重大な脆弱性、シ...

LinuxカーネルのBluetoothモジュールにおいて、モジュールアンロード時にiso_exit()が呼び出されない脆弱性が発見された。この問題により、iso_init()によって登録されたproto構造体が無効となり、システムの不安定化を引き起こす可能性がある。特にCONFIG_LIST_HARDENEDとCONFIG_BUG_ON_DATA_CORRUPTIONが有効な環境では、モジュールの再ロード時にlist_add corruptionによるBUGが発生する危険性が指摘されている。

【CVE-2024-50078】Linuxカーネルのモジュールアンロード処理に重大な脆弱性、シ...

LinuxカーネルのBluetoothモジュールにおいて、モジュールアンロード時にiso_exit()が呼び出されない脆弱性が発見された。この問題により、iso_init()によって登録されたproto構造体が無効となり、システムの不安定化を引き起こす可能性がある。特にCONFIG_LIST_HARDENEDとCONFIG_BUG_ON_DATA_CORRUPTIONが有効な環境では、モジュールの再ロード時にlist_add corruptionによるBUGが発生する危険性が指摘されている。

【CVE-2024-50077】LinuxカーネルのBluetooth ISO初期化処理に脆弱性、システムクラッシュの危険性が浮上

【CVE-2024-50077】LinuxカーネルのBluetooth ISO初期化処理に脆弱...

LinuxカーネルのBluetooth ISOコンポーネントで重要な脆弱性が発見された。デバッグ機能が無効な環境でiso_init関数の早期リターンにより初期化処理が重複し、システムクラッシュを引き起こす可能性がある。影響範囲はLinux 6.0から6.6.58までで、特にサーバー環境での影響が懸念される。開発チームは修正パッチを公開し、早急な対応を呼びかけている。

【CVE-2024-50077】LinuxカーネルのBluetooth ISO初期化処理に脆弱...

LinuxカーネルのBluetooth ISOコンポーネントで重要な脆弱性が発見された。デバッグ機能が無効な環境でiso_init関数の早期リターンにより初期化処理が重複し、システムクラッシュを引き起こす可能性がある。影響範囲はLinux 6.0から6.6.58までで、特にサーバー環境での影響が懸念される。開発チームは修正パッチを公開し、早急な対応を呼びかけている。

【CVE-2024-50075】Linux kernelのTegraXUSBコントローラーに脆弱性、USB仮想化機能の不具合を修正

【CVE-2024-50075】Linux kernelのTegraXUSBコントローラーに脆...

Linux kernelの開発チームは、TegraのXUSBコントローラーにおけるUSB仮想化機能の重大な脆弱性を修正した。USB2ポートの仮想マシン間での共有時に、ポート番号の検証が不適切であり無効なメモリアクセスが発生する問題が確認された。この脆弱性は【CVE-2024-50075】として識別され、Linux kernel 6.6.58以降で修正が適用されている。

【CVE-2024-50075】Linux kernelのTegraXUSBコントローラーに脆...

Linux kernelの開発チームは、TegraのXUSBコントローラーにおけるUSB仮想化機能の重大な脆弱性を修正した。USB2ポートの仮想マシン間での共有時に、ポート番号の検証が不適切であり無効なメモリアクセスが発生する問題が確認された。この脆弱性は【CVE-2024-50075】として識別され、Linux kernel 6.6.58以降で修正が適用されている。

【CVE-2024-50073】Linuxカーネルのtty n_gsmモジュールでuse-after-free脆弱性が発見、複数バージョンに影響

【CVE-2024-50073】Linuxカーネルのtty n_gsmモジュールでuse-af...

Linuxカーネルのtty: n_gsmモジュールにおいて、gsm_cleanup_mux関数でuse-after-free脆弱性が発見された。この脆弱性は【CVE-2024-50073】として識別され、Linux 6.1.114以前、6.6.58以前、6.11.5以前のバージョンに影響を与える。マルチスレッド環境下での解放済みメモリアクセスによって引き起こされ、gsm tx lockによる保護機能の実装で修正された。

【CVE-2024-50073】Linuxカーネルのtty n_gsmモジュールでuse-af...

Linuxカーネルのtty: n_gsmモジュールにおいて、gsm_cleanup_mux関数でuse-after-free脆弱性が発見された。この脆弱性は【CVE-2024-50073】として識別され、Linux 6.1.114以前、6.6.58以前、6.11.5以前のバージョンに影響を与える。マルチスレッド環境下での解放済みメモリアクセスによって引き起こされ、gsm tx lockによる保護機能の実装で修正された。

【CVE-2024-50072】Linux kernelでVERW命令による保護機能の改善、32ビットモードでの安全性が向上に

【CVE-2024-50072】Linux kernelでVERW命令による保護機能の改善、3...

Linux kernelの開発チームが、32ビットモードでのVERW命令による保護機能の重要な更新を実施した。MDS/RFDS緩和策においてユーザー値を持つセグメントレジスタが引き起こす一般保護違反の問題を解決。コードセグメントセレクタを使用する方式の採用により、より安全なバッファクリアが実現可能になった。この改善により、システムの安全性と安定性が大幅に向上している。

【CVE-2024-50072】Linux kernelでVERW命令による保護機能の改善、3...

Linux kernelの開発チームが、32ビットモードでのVERW命令による保護機能の重要な更新を実施した。MDS/RFDS緩和策においてユーザー値を持つセグメントレジスタが引き起こす一般保護違反の問題を解決。コードセグメントセレクタを使用する方式の採用により、より安全なバッファクリアが実現可能になった。この改善により、システムの安全性と安定性が大幅に向上している。

【CVE-2024-49761】Ruby用XMLツールキットREXMLにReDoS脆弱性が発見、アップデートで対処が必要に

【CVE-2024-49761】Ruby用XMLツールキットREXMLにReDoS脆弱性が発見...

Ruby用XMLツールキットREXMLにおいて、16進数文字参照の処理に関連する重大な脆弱性が発見された。この脆弱性はCVE-2024-49761として識別され、CVSS 4.0で6.6(MEDIUM)と評価されている。Ruby 3.1系列のREXML 3.3.9未満のバージョンが影響を受けるため、早急なアップデートが推奨される。

【CVE-2024-49761】Ruby用XMLツールキットREXMLにReDoS脆弱性が発見...

Ruby用XMLツールキットREXMLにおいて、16進数文字参照の処理に関連する重大な脆弱性が発見された。この脆弱性はCVE-2024-49761として識別され、CVSS 4.0で6.6(MEDIUM)と評価されている。Ruby 3.1系列のREXML 3.3.9未満のバージョンが影響を受けるため、早急なアップデートが推奨される。

【CVE-2024-49667】Local Business Addons For Elementor 1.1.5にXSS脆弱性、ユーザーデータ漏洩のリスクに

【CVE-2024-49667】Local Business Addons For Eleme...

WordPressのElementor用プラグイン「Local Business Addons For Elementor」にストアド型クロスサイトスクリプティング脆弱性が発見された。バージョン1.1.5以前に影響し、CVSSスコア6.5のミディアムレベルの深刻度と評価されている。特権を持つユーザーの操作を必要とするものの、適切な入力の無害化処理が実装されていないため、悪意のあるスクリプトの埋め込みが可能となっている。

【CVE-2024-49667】Local Business Addons For Eleme...

WordPressのElementor用プラグイン「Local Business Addons For Elementor」にストアド型クロスサイトスクリプティング脆弱性が発見された。バージョン1.1.5以前に影響し、CVSSスコア6.5のミディアムレベルの深刻度と評価されている。特権を持つユーザーの操作を必要とするものの、適切な入力の無害化処理が実装されていないため、悪意のあるスクリプトの埋め込みが可能となっている。

【CVE-2024-49665】Web Bricks Addons for Elementor1.1.1に格納型XSS脆弱性が発見、早急なアップデートが必要に

【CVE-2024-49665】Web Bricks Addons for Elementor...

WordPressプラグインWeb Bricks Addons for Elementorにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-49665として識別されるこの脆弱性は、バージョン1.1.1以前に影響し、CVSSスコア6.5の中程度の深刻度が評価されている。特権レベルと利用者の関与が必要とされるものの、適切な対策としてプラグインの最新バージョンへのアップデートが推奨される。

【CVE-2024-49665】Web Bricks Addons for Elementor...

WordPressプラグインWeb Bricks Addons for Elementorにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-49665として識別されるこの脆弱性は、バージョン1.1.1以前に影響し、CVSSスコア6.5の中程度の深刻度が評価されている。特権レベルと利用者の関与が必要とされるものの、適切な対策としてプラグインの最新バージョンへのアップデートが推奨される。

【CVE-2024-49661】WordPressプラグインleenk.Meにクロスサイトスクリプティングの脆弱性、CVSSスコア7.1の高リスク評価に

【CVE-2024-49661】WordPressプラグインleenk.Meにクロスサイトスク...

Patchstack OÜは、WordPressプラグインleenk.Meのバージョン2.16.0以前に存在するリフレクテッドクロスサイトスクリプティング脆弱性を公開した。CVE-2024-49661として識別されるこの脆弱性は、CVSSv3.1で7.1点の高リスクと評価され、不適切な入力検証によってWebページ生成時にXSS攻撃が可能となる問題が指摘されている。特権は不要だが利用者の関与が必要とされ、影響範囲に変更があると評価された。

【CVE-2024-49661】WordPressプラグインleenk.Meにクロスサイトスク...

Patchstack OÜは、WordPressプラグインleenk.Meのバージョン2.16.0以前に存在するリフレクテッドクロスサイトスクリプティング脆弱性を公開した。CVE-2024-49661として識別されるこの脆弱性は、CVSSv3.1で7.1点の高リスクと評価され、不適切な入力検証によってWebページ生成時にXSS攻撃が可能となる問題が指摘されている。特権は不要だが利用者の関与が必要とされ、影響範囲に変更があると評価された。

【CVE-2024-49660】WordPress用プラグインCampus Explorer Widgetにクロスサイトスクリプティングの脆弱性が発見、早急な対応が必要に

【CVE-2024-49660】WordPress用プラグインCampus Explorer ...

WordPress用プラグインCampus Explorer Widgetにおいて、バージョン1.4以前のすべてのバージョンに影響を与える反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価されており、攻撃の成功には利用者の操作が必要となるものの、機密性や整合性、可用性に影響を与える可能性があるため、早急な対応が推奨される。

【CVE-2024-49660】WordPress用プラグインCampus Explorer ...

WordPress用プラグインCampus Explorer Widgetにおいて、バージョン1.4以前のすべてのバージョンに影響を与える反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価されており、攻撃の成功には利用者の操作が必要となるものの、機密性や整合性、可用性に影響を与える可能性があるため、早急な対応が推奨される。

アスコエパートナーズが行政サービス記述言語GSDLで特許取得、行政サービスのデジタル化に向け大きな一歩

アスコエパートナーズが行政サービス記述言語GSDLで特許取得、行政サービスのデジタル化に向け大...

アスコエパートナーズは行政サービス情報をプログラミング言語で表現する技術GSDLを開発し特許を取得した。従来の表形式データでは困難だった細かい条件設定まで網羅可能で、住民の利便性向上と職員の業務効率化を実現。欧州やアメリカ、アジア諸国でも特許出願中で、現在は複数の自治体で手続きナビとして導入されている。

アスコエパートナーズが行政サービス記述言語GSDLで特許取得、行政サービスのデジタル化に向け大...

アスコエパートナーズは行政サービス情報をプログラミング言語で表現する技術GSDLを開発し特許を取得した。従来の表形式データでは困難だった細かい条件設定まで網羅可能で、住民の利便性向上と職員の業務効率化を実現。欧州やアメリカ、アジア諸国でも特許出願中で、現在は複数の自治体で手続きナビとして導入されている。

アンドパブリックが株式投資型クラウドファンディングで1,998万円調達、社会的インパクトマネジメントツールの開発加速へ

アンドパブリックが株式投資型クラウドファンディングで1,998万円調達、社会的インパクトマネジ...

イークラウドを通じてアンドパブリックが実施した株式投資型クラウドファンディングが上限募集金額の1,998万円に到達。調達資金は社会的インパクトの可視化・マネジメントをSaaS化するツールの開発加速に活用される。地方自治の成果志向への改革を目指し、将来的にはIPOによる資金調達とアジア市場への展開も視野に。

アンドパブリックが株式投資型クラウドファンディングで1,998万円調達、社会的インパクトマネジ...

イークラウドを通じてアンドパブリックが実施した株式投資型クラウドファンディングが上限募集金額の1,998万円に到達。調達資金は社会的インパクトの可視化・マネジメントをSaaS化するツールの開発加速に活用される。地方自治の成果志向への改革を目指し、将来的にはIPOによる資金調達とアジア市場への展開も視野に。

ugoがGrow Up with TAIWAN Programに選出、台湾市場進出による事業拡大へ向けて前進

ugoがGrow Up with TAIWAN Programに選出、台湾市場進出による事業拡...

業務DXロボットの開発を手掛けるugo株式会社が、2024 Grow Up with TAIWAN Programに選出された。世界45か国から330のスタートアップが応募し、31社の一つとして選ばれたugoは、台湾の主要企業30社との戦略的パートナーシップ構築を目指す。遠隔操作とAI自動モードのハイブリッド制御を採用した業務DXロボットの台湾市場への展開が期待される。

ugoがGrow Up with TAIWAN Programに選出、台湾市場進出による事業拡...

業務DXロボットの開発を手掛けるugo株式会社が、2024 Grow Up with TAIWAN Programに選出された。世界45か国から330のスタートアップが応募し、31社の一つとして選ばれたugoは、台湾の主要企業30社との戦略的パートナーシップ構築を目指す。遠隔操作とAI自動モードのハイブリッド制御を採用した業務DXロボットの台湾市場への展開が期待される。

アグリテックベンチャーのハタケホットケが1740万円の資金調達を実施、有機農業の自動化技術開発を加速

アグリテックベンチャーのハタケホットケが1740万円の資金調達を実施、有機農業の自動化技術開発を加速

イークラウド株式会社が実施した株式投資型クラウドファンディングにおいて、アグリテックベンチャーのハタケホットケが103人の投資家から1740万円の資金調達に成功。有機・無農薬の稲作における除草作業を自動化する「ミズニゴール」を開発し、さらなる農作業の自動化を目指す「タンボホットケール」の完成に向けて取り組みを進めていく。

アグリテックベンチャーのハタケホットケが1740万円の資金調達を実施、有機農業の自動化技術開発を加速

イークラウド株式会社が実施した株式投資型クラウドファンディングにおいて、アグリテックベンチャーのハタケホットケが103人の投資家から1740万円の資金調達に成功。有機・無農薬の稲作における除草作業を自動化する「ミズニゴール」を開発し、さらなる農作業の自動化を目指す「タンボホットケール」の完成に向けて取り組みを進めていく。

長崎市教育委員会がtetoruの自治体連絡機能を導入し、保護者とのコミュニケーションが円滑化へ

長崎市教育委員会がtetoruの自治体連絡機能を導入し、保護者とのコミュニケーションが円滑化へ

Classi株式会社が開発した小中学校向け保護者連絡サービス「tetoru」の自治体連絡機能が長崎市教育委員会に導入された。市内104校、25,586人の児童生徒の保護者との円滑なコミュニケーションを実現し、紙の配布物削減による環境負荷軽減や教職員の業務効率化にも貢献。2022年4月のリリース以降、全国約4,300校に導入され、令和7年4月からは集金機能も追加予定。

長崎市教育委員会がtetoruの自治体連絡機能を導入し、保護者とのコミュニケーションが円滑化へ

Classi株式会社が開発した小中学校向け保護者連絡サービス「tetoru」の自治体連絡機能が長崎市教育委員会に導入された。市内104校、25,586人の児童生徒の保護者との円滑なコミュニケーションを実現し、紙の配布物削減による環境負荷軽減や教職員の業務効率化にも貢献。2022年4月のリリース以降、全国約4,300校に導入され、令和7年4月からは集金機能も追加予定。

デジタリフトがLINEヤフー Partner ProgramでSelect認定を取得、マーケティングソリューション提供の専門性が向上

デジタリフトがLINEヤフー Partner ProgramでSelect認定を取得、マーケテ...

株式会社デジタリフトがLINEヤフー Partner Programにおいて2024年度下半期のSales Partner「Select」に認定され、Ads Operation Badgeを取得。LINEおよびYahoo! JAPANを活用したマーケティングソリューションの導入支援や広告出稿支援のパートナーとして、クライアントのデジタルマーケティングを包括的に支援していく。コンサルティングからSEO、インフルエンサーマーケティングまで、幅広いソリューションを提供する。

デジタリフトがLINEヤフー Partner ProgramでSelect認定を取得、マーケテ...

株式会社デジタリフトがLINEヤフー Partner Programにおいて2024年度下半期のSales Partner「Select」に認定され、Ads Operation Badgeを取得。LINEおよびYahoo! JAPANを活用したマーケティングソリューションの導入支援や広告出稿支援のパートナーとして、クライアントのデジタルマーケティングを包括的に支援していく。コンサルティングからSEO、インフルエンサーマーケティングまで、幅広いソリューションを提供する。

共同印刷がICカード認証型メタバースサービスTOMOWEL BLUEを発表、VRゴーグル装着時の入室管理が効率化

共同印刷がICカード認証型メタバースサービスTOMOWEL BLUEを発表、VRゴーグル装着時...

共同印刷は第4回XR・メタバース総合展 秋にて、ICカードによる認証技術とメタバースを融合した新サービスTOMOWEL BLUEを出展する。VRゴーグル装着時でもID・パスワード入力が不要で、既存のICカードシステムと同様の方法でメタバース空間へのアクセス制御が可能。学校やオフィスなど、様々な施設での活用が期待される。

共同印刷がICカード認証型メタバースサービスTOMOWEL BLUEを発表、VRゴーグル装着時...

共同印刷は第4回XR・メタバース総合展 秋にて、ICカードによる認証技術とメタバースを融合した新サービスTOMOWEL BLUEを出展する。VRゴーグル装着時でもID・パスワード入力が不要で、既存のICカードシステムと同様の方法でメタバース空間へのアクセス制御が可能。学校やオフィスなど、様々な施設での活用が期待される。

【CVE-2024-49659】WordPressプラグインCoub1.4にXSS脆弱性が発見、ユーザーデータの漏洩リスクに警戒が必要

【CVE-2024-49659】WordPressプラグインCoub1.4にXSS脆弱性が発見...

Patchstack社がWordPressプラグインCoubにおいてXSS(クロスサイトスクリプティング)の脆弱性を発見し、CVE-2024-49659として公開した。バージョン1.4以前のすべてのバージョンに影響を与えるこの脆弱性は、CVSS v3.1で6.5(中程度)のスコアが付けられており、入力値の不適切な無害化に起因するストアドXSSの問題とされている。

【CVE-2024-49659】WordPressプラグインCoub1.4にXSS脆弱性が発見...

Patchstack社がWordPressプラグインCoubにおいてXSS(クロスサイトスクリプティング)の脆弱性を発見し、CVE-2024-49659として公開した。バージョン1.4以前のすべてのバージョンに影響を与えるこの脆弱性は、CVSS v3.1で6.5(中程度)のスコアが付けられており、入力値の不適切な無害化に起因するストアドXSSの問題とされている。

【CVE-2024-49656】WordPressプラグインDocumentPress 2.1にXSS脆弱性が発見、適切な入力値の無害化処理が必要に

【CVE-2024-49656】WordPressプラグインDocumentPress 2.1...

WordPressプラグインDocumentPressにおいて、Reflected Cross Site Scripting(XSS)の脆弱性が発見された。CVE-2024-49656として識別されたこの脆弱性は、Webページ生成時の入力の不適切な無害化処理に起因しており、バージョン2.1以前のすべてのバージョンが影響を受ける。CVSSスコアは7.1と高く評価され、早急な対応が求められている。

【CVE-2024-49656】WordPressプラグインDocumentPress 2.1...

WordPressプラグインDocumentPressにおいて、Reflected Cross Site Scripting(XSS)の脆弱性が発見された。CVE-2024-49656として識別されたこの脆弱性は、Webページ生成時の入力の不適切な無害化処理に起因しており、バージョン2.1以前のすべてのバージョンが影響を受ける。CVSSスコアは7.1と高く評価され、早急な対応が求められている。

【CVE-2024-49654】Extra Privacy for Elementor 0.1.3に反射型XSS脆弱性、早急な対応が必要な状況に

【CVE-2024-49654】Extra Privacy for Elementor 0.1...

WordPress用プラグインExtra Privacy for Elementorにおいて、バージョン0.1.3以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価となっており、攻撃者による悪用の可能性が指摘されている。特別な権限を必要としない点が深刻で、早急なアップデートが推奨される。

【CVE-2024-49654】Extra Privacy for Elementor 0.1...

WordPress用プラグインExtra Privacy for Elementorにおいて、バージョン0.1.3以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価となっており、攻撃者による悪用の可能性が指摘されている。特別な権限を必要としない点が深刻で、早急なアップデートが推奨される。

【CVE-2024-48878】ManageEngine ADManager Plus 7241でSQL Injection脆弱性が発見、重大なセキュリティリスクに

【CVE-2024-48878】ManageEngine ADManager Plus 724...

ManageEngine ADManager Plusのバージョン7241以前において、Archived Audit Report機能にSQL Injection脆弱性が発見された。CVSSスコア8.3と高い深刻度を示すこの脆弱性は、攻撃者が特権を必要とせずにネットワーク経由で攻撃を実行できる可能性があり、システムの機密性と整合性に重大な影響を及ぼす恐れがある。早急な対策が求められる状況となっている。

【CVE-2024-48878】ManageEngine ADManager Plus 724...

ManageEngine ADManager Plusのバージョン7241以前において、Archived Audit Report機能にSQL Injection脆弱性が発見された。CVSSスコア8.3と高い深刻度を示すこの脆弱性は、攻撃者が特権を必要とせずにネットワーク経由で攻撃を実行できる可能性があり、システムの機密性と整合性に重大な影響を及ぼす恐れがある。早急な対策が求められる状況となっている。

【CVE-2024-48353】Yealink Meeting Serverに深刻な脆弱性、静的キー情報からパスワードの復号が可能に

【CVE-2024-48353】Yealink Meeting Serverに深刻な脆弱性、静...

Yealink Meeting Server V26.0.0.67未満において、フロントエンドJSファイルから静的キー情報が取得可能な脆弱性が発見された。CVSSスコア7.5(HIGH)と評価される本脆弱性では、攻撃者が認証なしでリモートからアクセスし、取得した静的キー情報を用いてパスワードの復号化が可能となる。Yealink社は対策としてV26.0.0.67へのアップデートを強く推奨している。

【CVE-2024-48353】Yealink Meeting Serverに深刻な脆弱性、静...

Yealink Meeting Server V26.0.0.67未満において、フロントエンドJSファイルから静的キー情報が取得可能な脆弱性が発見された。CVSSスコア7.5(HIGH)と評価される本脆弱性では、攻撃者が認証なしでリモートからアクセスし、取得した静的キー情報を用いてパスワードの復号化が可能となる。Yealink社は対策としてV26.0.0.67へのアップデートを強く推奨している。

【CVE-2024-47827】Argo Workflows 3.6.0-rc1でサービス拒否の脆弱性、グローバル変数の競合状態が原因に

【CVE-2024-47827】Argo Workflows 3.6.0-rc1でサービス拒否...

GitHubはArgo Workflowsのコントローラーに影響を与えるサービス拒否の脆弱性を公開した。バージョン3.6.0-rc1において、グローバル変数での競合状態により、ワークフロー実行権限を持つユーザーがコントローラーをクラッシュさせることが可能になっている。CVSSスコアは5.7(MEDIUM)で、argoprojチームは3.6.0-rc2でパッチを提供している。

【CVE-2024-47827】Argo Workflows 3.6.0-rc1でサービス拒否...

GitHubはArgo Workflowsのコントローラーに影響を与えるサービス拒否の脆弱性を公開した。バージョン3.6.0-rc1において、グローバル変数での競合状態により、ワークフロー実行権限を持つユーザーがコントローラーをクラッシュさせることが可能になっている。CVSSスコアは5.7(MEDIUM)で、argoprojチームは3.6.0-rc2でパッチを提供している。

【CVE-2024-44234】Appleが複数製品のセキュリティアップデートを公開、動画ファイル処理の脆弱性に対処

【CVE-2024-44234】Appleが複数製品のセキュリティアップデートを公開、動画ファ...

Appleは2024年11月1日、macOS、iOS、iPadOS、visionOS、watchOS、tvOSに対する重要なセキュリティアップデートを公開した。このアップデートは悪意のある動画ファイルの解析時にシステムが予期せず終了する脆弱性【CVE-2024-44234】を修正するもので、境界チェックの改善により対処。CVSSスコアは6.5(中)と評価されており、可用性に影響を与える可能性がある。

【CVE-2024-44234】Appleが複数製品のセキュリティアップデートを公開、動画ファ...

Appleは2024年11月1日、macOS、iOS、iPadOS、visionOS、watchOS、tvOSに対する重要なセキュリティアップデートを公開した。このアップデートは悪意のある動画ファイルの解析時にシステムが予期せず終了する脆弱性【CVE-2024-44234】を修正するもので、境界チェックの改善により対処。CVSSスコアは6.5(中)と評価されており、可用性に影響を与える可能性がある。

【CVE-2024-36485】ManageEngine ADAudit Plus 8121にSQL Injection脆弱性、High深刻度でセキュリティリスクが増大

【CVE-2024-36485】ManageEngine ADAudit Plus 8121に...

ZohocorpのManageEngine社がADAudit Plus 8121以前のバージョンにSQL Injection脆弱性が存在することを公開した。CVE-2024-36485として識別されたこの脆弱性は、Technician reportsオプションで確認され、CVSSスコア8.3のHigh深刻度を示している。CWE-89に分類されるSQL Injection型の脆弱性で、システムへの重大な影響が懸念される。

【CVE-2024-36485】ManageEngine ADAudit Plus 8121に...

ZohocorpのManageEngine社がADAudit Plus 8121以前のバージョンにSQL Injection脆弱性が存在することを公開した。CVE-2024-36485として識別されたこの脆弱性は、Technician reportsオプションで確認され、CVSSスコア8.3のHigh深刻度を示している。CWE-89に分類されるSQL Injection型の脆弱性で、システムへの重大な影響が懸念される。

【CVE-2024-20114】MediaTek製品のCCUに脆弱性、Android12.0から15.0まで影響範囲が拡大

【CVE-2024-20114】MediaTek製品のCCUに脆弱性、Android12.0か...

MediaTek社は同社製品のCCUに関する重大な脆弱性【CVE-2024-20114】を公開した。MT6765、MT6768など複数の製品で境界チェックの不備が発見され、特権昇格によるシステム実行権限の取得が可能となる。Android 12.0から15.0までの広範なバージョンに影響を与え、ユーザー操作不要で攻撃可能な点が深刻な問題となっている。

【CVE-2024-20114】MediaTek製品のCCUに脆弱性、Android12.0か...

MediaTek社は同社製品のCCUに関する重大な脆弱性【CVE-2024-20114】を公開した。MT6765、MT6768など複数の製品で境界チェックの不備が発見され、特権昇格によるシステム実行権限の取得が可能となる。Android 12.0から15.0までの広範なバージョンに影響を与え、ユーザー操作不要で攻撃可能な点が深刻な問題となっている。

【CVE-2024-10760】University Event Management System 1.0でSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-10760】University Event Management Sys...

code-projectsのUniversity Event Management System 1.0のdodelete.phpファイルにおいて、SQLインジェクションの脆弱性が発見された。CVE-2024-10760として報告されたこの脆弱性は、id引数を介したリモート攻撃が可能で、既に攻撃コードも公開されている。CVSSスコアは5.3(MEDIUM)を記録し、認証された状態での攻撃により、データベースの完全性と機密性に影響を与える可能性がある。

【CVE-2024-10760】University Event Management Sys...

code-projectsのUniversity Event Management System 1.0のdodelete.phpファイルにおいて、SQLインジェクションの脆弱性が発見された。CVE-2024-10760として報告されたこの脆弱性は、id引数を介したリモート攻撃が可能で、既に攻撃コードも公開されている。CVSSスコアは5.3(MEDIUM)を記録し、認証された状態での攻撃により、データベースの完全性と機密性に影響を与える可能性がある。

【CVE-2024-10759】Farm Management System 1.0でSQLインジェクション脆弱性が発見、複数のパラメータに影響の可能性

【CVE-2024-10759】Farm Management System 1.0でSQLイ...

itsourcecodeが開発したFarm Management System 1.0のedit-pig.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10759として識別されるこの脆弱性は、pigno、weight、arrived、breed、remark、statusの各パラメータに影響を及ぼす可能性がある。CVSSスコアはバージョン4.0で5.3、バージョン3.1と3.0で6.3とMedium評価となっており、早急な対策が必要とされている。

【CVE-2024-10759】Farm Management System 1.0でSQLイ...

itsourcecodeが開発したFarm Management System 1.0のedit-pig.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10759として識別されるこの脆弱性は、pigno、weight、arrived、breed、remark、statusの各パラメータに影響を及ぼす可能性がある。CVSSスコアはバージョン4.0で5.3、バージョン3.1と3.0で6.3とMedium評価となっており、早急な対策が必要とされている。