Tech Insights

【CVE-2024-50241】Linuxカーネルのnfsd4_copy初期化処理に関する脆弱...

2024年11月19日

Linuxカーネルの開発チームがNFSDのnfsd4_copy構造体における初期化処理の脆弱性を修正。バージョン6.12-rc1から6.12-rc6で発生する可能性のある参照カウントアンダーフロー問題に対し、refcountとasync_copiesフィールドの早期初期化を実装。cleanup_async_copy実行時の安定性が向上し、より信頼性の高いファイル共有サービスの提供が可能に。

【CVE-2024-50241】Linuxカーネルのnfsd4_copy初期化処理に関する脆弱...

2024年11月19日

Linuxカーネルの開発チームがNFSDのnfsd4_copy構造体における初期化処理の脆弱性を修正。バージョン6.12-rc1から6.12-rc6で発生する可能性のある参照カウントアンダーフロー問題に対し、refcountとasync_copiesフィールドの早期初期化を実装。cleanup_async_copy実行時の安定性が向上し、より信頼性の高いファイル共有サービスの提供が可能に。

【CVE-2024-49507】InDesign Desktop ID19.5以前に深刻な脆弱...

2024年11月19日

AdobeはInDesign Desktop ID19.5以前のバージョンにおいてHeap-based Buffer Overflowの脆弱性を公開した。CVSS v3.1で7.8（HIGH）と評価されており、悪意のあるファイルを開くことで任意のコード実行が可能となる。現在のユーザーコンテキストでの実行により、システムの機密性・完全性・可用性に重大な影響を及ぼす可能性があるため、早急な対応が求められる。

【CVE-2024-49507】InDesign Desktop ID19.5以前に深刻な脆弱...

2024年11月19日

AdobeはInDesign Desktop ID19.5以前のバージョンにおいてHeap-based Buffer Overflowの脆弱性を公開した。CVSS v3.1で7.8（HIGH）と評価されており、悪意のあるファイルを開くことで任意のコード実行が可能となる。現在のユーザーコンテキストでの実行により、システムの機密性・完全性・可用性に重大な影響を及ぼす可能性があるため、早急な対応が求められる。

【CVE-2024-45099】IBM Security ReaQta 3.12に深刻なクロス...

2024年11月19日

IBMは2024年11月14日、IBM Security ReaQta 3.12においてクロスサイトスクリプティングの脆弱性を発見したことを公開した。CVE-2024-45099として識別されるこの脆弱性は、特権ユーザーによる任意のJavaScriptコードの埋め込みを可能にし、Web UIの機能改変や認証情報の漏洩につながる可能性がある。CVSSスコアは3.1（Low）と評価されているものの、早急な対応が推奨される。

【CVE-2024-45099】IBM Security ReaQta 3.12に深刻なクロス...

2024年11月19日

IBMは2024年11月14日、IBM Security ReaQta 3.12においてクロスサイトスクリプティングの脆弱性を発見したことを公開した。CVE-2024-45099として識別されるこの脆弱性は、特権ユーザーによる任意のJavaScriptコードの埋め込みを可能にし、Web UIの機能改変や認証情報の漏洩につながる可能性がある。CVSSスコアは3.1（Low）と評価されているものの、早急な対応が推奨される。

Tekoma Energyが5,000万米ドルの追加出資を確保、太陽光発電ポートフォリオ400...

2024年11月19日

国内大手太陽光発電事業者のTekoma Energyは、シンガポールの投資会社テマセク傘下のABC Impactから5,000万米ドルの追加出資を確保した。HSBCアセットマネジメントのエネルギー・トランジション・インフラストラクチャーチームと共に、今後5年間で太陽光発電所ポートフォリオを400MW超へ拡大し、コーポレートPPAにおけるパートナーシップを積極的に推進していく方針だ。

Tekoma Energyが5,000万米ドルの追加出資を確保、太陽光発電ポートフォリオ400...

2024年11月19日

国内大手太陽光発電事業者のTekoma Energyは、シンガポールの投資会社テマセク傘下のABC Impactから5,000万米ドルの追加出資を確保した。HSBCアセットマネジメントのエネルギー・トランジション・インフラストラクチャーチームと共に、今後5年間で太陽光発電所ポートフォリオを400MW超へ拡大し、コーポレートPPAにおけるパートナーシップを積極的に推進していく方針だ。

ゼロ高等学院が心の専門家山名裕子氏を招き、Z世代向けコミュニケーション心理学の特別授業を開催

2024年11月19日

株式会社ZERO EDUCATION&ARTSは、2024年11月18日にゼロ高等学院で公認心理師の山名裕子氏による特別授業「現場で使えるコミュニケーション心理学」を開催する。通信制環境で学ぶZ世代の生徒たちに向けて、心のバランスの保ち方や自己成長を促す具体的な方法を解説。起業を目指す生徒たちへのメンタルヘルス面でのサポートも提供する。

ゼロ高等学院が心の専門家山名裕子氏を招き、Z世代向けコミュニケーション心理学の特別授業を開催

2024年11月19日

株式会社ZERO EDUCATION&ARTSは、2024年11月18日にゼロ高等学院で公認心理師の山名裕子氏による特別授業「現場で使えるコミュニケーション心理学」を開催する。通信制環境で学ぶZ世代の生徒たちに向けて、心のバランスの保ち方や自己成長を促す具体的な方法を解説。起業を目指す生徒たちへのメンタルヘルス面でのサポートも提供する。

イケアがEVフードトラック「スウェーデンスナック」を関西エリアで展開開始、サステナブルな食文化...

2024年11月19日

イケア・ジャパンは2024年11月18日より、EVフードトラック「スウェーデンスナック」の運用を関西エリアで開始した。ミートボールやプラントボールなどのイケア人気メニューを日替わりで提供し、第一弾としてイオンモールKYOTOで12月29日まで営業を実施する。再生可能電力を使用したEV車両の導入により、環境に配慮した取り組みを推進している。

イケアがEVフードトラック「スウェーデンスナック」を関西エリアで展開開始、サステナブルな食文化...

2024年11月19日

イケア・ジャパンは2024年11月18日より、EVフードトラック「スウェーデンスナック」の運用を関西エリアで開始した。ミートボールやプラントボールなどのイケア人気メニューを日替わりで提供し、第一弾としてイオンモールKYOTOで12月29日まで営業を実施する。再生可能電力を使用したEV車両の導入により、環境に配慮した取り組みを推進している。

トリートエンドワークスがASACアクセラレーションプログラム第19期に採択、治療と仕事の両立支...

2024年11月19日

株式会社トリートエンドワークスが東京都主催のASACアクセラレーションプログラム第19期に採択された。134件の応募から選ばれた同社は、治療と仕事の両立支援に関するプラットフォームを開発中で、患者や企業、医療関係者など多様なステークホルダーが必要な情報にアクセスできる環境整備を目指している。ASACの短期集中型育成プログラムを通じて、事業の成長加速が期待される。

トリートエンドワークスがASACアクセラレーションプログラム第19期に採択、治療と仕事の両立支...

2024年11月19日

株式会社トリートエンドワークスが東京都主催のASACアクセラレーションプログラム第19期に採択された。134件の応募から選ばれた同社は、治療と仕事の両立支援に関するプラットフォームを開発中で、患者や企業、医療関係者など多様なステークホルダーが必要な情報にアクセスできる環境整備を目指している。ASACの短期集中型育成プログラムを通じて、事業の成長加速が期待される。

大崎電気がbe.storaged社と新エネルギーソリューションの共同開発、AI制御による電力最...

2024年11月19日

大崎電気工業は2024年11月18日、ドイツのbe.storaged社と共同で太陽光発電・蓄電池・AI制御を組み合わせた新たなエネルギーソリューションの開発に着手。独自開発のAI制御端末「Aiel Master」にbe.storagedの技術を組み込むことで、電力市場のスポット価格に応じた充放電制御を実現し、CO2排出量と電気料金の削減を目指す。2025年度の実用化を予定している。

大崎電気がbe.storaged社と新エネルギーソリューションの共同開発、AI制御による電力最...

2024年11月19日

大崎電気工業は2024年11月18日、ドイツのbe.storaged社と共同で太陽光発電・蓄電池・AI制御を組み合わせた新たなエネルギーソリューションの開発に着手。独自開発のAI制御端末「Aiel Master」にbe.storagedの技術を組み込むことで、電力市場のスポット価格に応じた充放電制御を実現し、CO2排出量と電気料金の削減を目指す。2025年度の実用化を予定している。

KPMGコンサルティングが生成AIとデジタル治療用アプリのセミナーを開催、医療分野のイノベーシ...

2024年11月19日

KPMGコンサルティングとFPTソフトウェアジャパンが共同で医療・医薬分野における生成AIとデジタル治療用アプリに関するセミナーを開催する。セミナーでは最新動向や事例紹介、規制対応、開発戦略などについて解説され、医療分野のデジタル化における課題解決と将来展望について議論される。2024年11月27日に東京で開催予定で、製薬企業の新規事業開発やIT部門の担当者が対象となる。

KPMGコンサルティングが生成AIとデジタル治療用アプリのセミナーを開催、医療分野のイノベーシ...

2024年11月19日

KPMGコンサルティングとFPTソフトウェアジャパンが共同で医療・医薬分野における生成AIとデジタル治療用アプリに関するセミナーを開催する。セミナーでは最新動向や事例紹介、規制対応、開発戦略などについて解説され、医療分野のデジタル化における課題解決と将来展望について議論される。2024年11月27日に東京で開催予定で、製薬企業の新規事業開発やIT部門の担当者が対象となる。

BBSecとNTTテクノクロスがセキュリティサービス向けAI技術の実証実験を開始、MSSの品質...

2024年11月19日

BBSecとNTTテクノクロスが、マネージドセキュリティサービス向けのAI技術実証実験を開始。NTTネットワークイノベーションセンタ開発の確からしさ評価AIとscikit-learnを活用し、AIの確信度に基づく自動判断と専門家判断を組み合わせることで、セキュリティ対応の迅速化と精度向上を目指す。BBSecのVision2030実現に向けたAction 2024の一環として、新規事業への参入と収益化を推進。

BBSecとNTTテクノクロスがセキュリティサービス向けAI技術の実証実験を開始、MSSの品質...

2024年11月19日

BBSecとNTTテクノクロスが、マネージドセキュリティサービス向けのAI技術実証実験を開始。NTTネットワークイノベーションセンタ開発の確からしさ評価AIとscikit-learnを活用し、AIの確信度に基づく自動判断と専門家判断を組み合わせることで、セキュリティ対応の迅速化と精度向上を目指す。BBSecのVision2030実現に向けたAction 2024の一環として、新規事業への参入と収益化を推進。

株式会社UnReactがプログラミング専用タイピングゲームUnTypingに記号コースを追加、...

2024年11月19日

福岡県のITベンチャー企業である株式会社UnReactが、プログラミング専用タイピングゲーム「UnTyping」に記号コースを追加した。JavaScript・TypeScript・React・Python対応に加え、15秒の制限時間内でタイピングスキルを競う世界ランキング機能を実装。各コースごとの成長記録も可視化され、プログラミングに特化したタイピング練習を実現している。

株式会社UnReactがプログラミング専用タイピングゲームUnTypingに記号コースを追加、...

2024年11月19日

福岡県のITベンチャー企業である株式会社UnReactが、プログラミング専用タイピングゲーム「UnTyping」に記号コースを追加した。JavaScript・TypeScript・React・Python対応に加え、15秒の制限時間内でタイピングスキルを競う世界ランキング機能を実装。各コースごとの成長記録も可視化され、プログラミングに特化したタイピング練習を実現している。

【CVE-2024-52352】WordPress Postcasa Shortcode 1....

2024年11月19日

WordPressプラグインPostcasa Shortcode 1.0以下にクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-52352として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されており、特権レベルとユーザーインタラクションが必要となる。機密性・整合性・可用性のすべてに低レベルの影響が想定されており、早急な対策が求められる。

【CVE-2024-52352】WordPress Postcasa Shortcode 1....

2024年11月19日

WordPressプラグインPostcasa Shortcode 1.0以下にクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-52352として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されており、特権レベルとユーザーインタラクションが必要となる。機密性・整合性・可用性のすべてに低レベルの影響が想定されており、早急な対策が求められる。

【CVE-2024-51604】WordPressのMedia Modalプラグインに脆弱性、...

2024年11月19日

WordPressのMedia Modalプラグインにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51604として識別されるこの脆弱性は、バージョン1.0.2以前に影響を及ぼし、CVSS3.1でベーススコア6.5のミディアムレベルと評価されている。Patchstack Allianceに所属するSOPROBROによって発見され、機密性や整合性、可用性に限定的な影響を及ぼす可能性がある。

【CVE-2024-51604】WordPressのMedia Modalプラグインに脆弱性、...

2024年11月19日

WordPressのMedia Modalプラグインにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51604として識別されるこの脆弱性は、バージョン1.0.2以前に影響を及ぼし、CVSS3.1でベーススコア6.5のミディアムレベルと評価されている。Patchstack Allianceに所属するSOPROBROによって発見され、機密性や整合性、可用性に限定的な影響を及ぼす可能性がある。

【CVE-2024-51592】WordPress用プラグインMeta Store Eleme...

2024年11月19日

Patchstack OÜは2024年11月9日、WordPress用プラグインMeta Store Elementsにクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開した。この脆弱性はバージョン1.0.9以前に存在しており、DOM-BasedのXSSが可能な状態であることが判明。CVSSスコアは6.5でMedium（中程度）と評価されており、早急な対応が求められる。

【CVE-2024-51592】WordPress用プラグインMeta Store Eleme...

2024年11月19日

Patchstack OÜは2024年11月9日、WordPress用プラグインMeta Store Elementsにクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開した。この脆弱性はバージョン1.0.9以前に存在しており、DOM-BasedのXSSが可能な状態であることが判明。CVSSスコアは6.5でMedium（中程度）と評価されており、早急な対応が求められる。

【CVE-2024-8376】Eclipse Mosquitto 2.0.18にメモリリークの...

2024年11月19日

Eclipse Foundationは2024年10月11日、Eclipse Mosquittoのバージョン2.0.18以前に深刻な脆弱性を確認した。特定のパケットシーケンスによってメモリリークやセグメンテーション違反、ヒープメモリの使用後解放などの問題が発生する可能性がある。CVSSスコアは7.2で深刻度「HIGH」と評価され、10月31日にリリースされたバージョン2.0.19で修正された。

【CVE-2024-8376】Eclipse Mosquitto 2.0.18にメモリリークの...

2024年11月19日

Eclipse Foundationは2024年10月11日、Eclipse Mosquittoのバージョン2.0.18以前に深刻な脆弱性を確認した。特定のパケットシーケンスによってメモリリークやセグメンテーション違反、ヒープメモリの使用後解放などの問題が発生する可能性がある。CVSSスコアは7.2で深刻度「HIGH」と評価され、10月31日にリリースされたバージョン2.0.19で修正された。

【CVE-2024-51662】WordPress用プラグインBlack Widgets Fo...

2024年11月19日

WordPress用プラグインBlack Widgets For Elementorのバージョン1.3.6以前に、重大な格納型クロスサイトスクリプティング（Stored XSS）の脆弱性が発見された。CVE-2024-51662として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されている。開発元のModernaweb Studioは既にバージョン1.3.7で修正を実施しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2024-51662】WordPress用プラグインBlack Widgets Fo...

2024年11月19日

WordPress用プラグインBlack Widgets For Elementorのバージョン1.3.6以前に、重大な格納型クロスサイトスクリプティング（Stored XSS）の脆弱性が発見された。CVE-2024-51662として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されている。開発元のModernaweb Studioは既にバージョン1.3.7で修正を実施しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度...

2024年11月19日

NTTコミュニケーションズが開発したAI Advisorは、NTTの大規模言語モデルtsuzumiを活用し、セキュリティ運用を支援するソリューションだ。2025年1月からの提供開始を予定しており、セキュリティアラートを95%削減可能。顧客独自の情報をもとにチューニングされ、NTTの独自ノウハウやIoC情報も学習することで、より高度な回答を生成する。

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度...

2024年11月19日

NTTコミュニケーションズが開発したAI Advisorは、NTTの大規模言語モデルtsuzumiを活用し、セキュリティ運用を支援するソリューションだ。2025年1月からの提供開始を予定しており、セキュリティアラートを95%削減可能。顧客独自の情報をもとにチューニングされ、NTTの独自ノウハウやIoC情報も学習することで、より高度な回答を生成する。

日立ソリューションズ・テクノロジーが英Trustonicと提携し組み込み型セキュリティプラット...

2024年11月19日

日立ソリューションズ・テクノロジーは、英Trustonicと国内初の販売代理店契約を締結し、GlobalPlatform準拠のセキュリティプラットフォーム「Kinibi」の販売を開始した。自動車やモバイル、IoTなどのコネクテッドデバイス向け組み込み型セキュリティソリューションを提供し、要件定義から開発、運用までの包括的な支援体制を整えている。

日立ソリューションズ・テクノロジーが英Trustonicと提携し組み込み型セキュリティプラット...

2024年11月19日

日立ソリューションズ・テクノロジーは、英Trustonicと国内初の販売代理店契約を締結し、GlobalPlatform準拠のセキュリティプラットフォーム「Kinibi」の販売を開始した。自動車やモバイル、IoTなどのコネクテッドデバイス向け組み込み型セキュリティソリューションを提供し、要件定義から開発、運用までの包括的な支援体制を整えている。

吉野家、出前館、パナソニックHDが自動搬送ロボットでのフードデリバリー実証実験を神奈川県藤沢市で開始

2024年11月19日

吉野家、出前館、パナソニックホールディングスの3社は2024年11月15日から11月21日まで、神奈川県藤沢市でフードデリバリーサービスの実証実験を開始した。Fujisawaサスティナブル・スマートタウン内の全住宅を対象に、出前館アプリを通じて注文された吉野家湘南新道辻堂店のメニューを自動搬送ロボット「ハコボ」で配送する。この取り組みは配達員の人手不足解消を目指している。

吉野家、出前館、パナソニックHDが自動搬送ロボットでのフードデリバリー実証実験を神奈川県藤沢市で開始

2024年11月19日

吉野家、出前館、パナソニックホールディングスの3社は2024年11月15日から11月21日まで、神奈川県藤沢市でフードデリバリーサービスの実証実験を開始した。Fujisawaサスティナブル・スマートタウン内の全住宅を対象に、出前館アプリを通じて注文された吉野家湘南新道辻堂店のメニューを自動搬送ロボット「ハコボ」で配送する。この取り組みは配達員の人手不足解消を目指している。

【CVE-2024-47450】Adobe Illustrator 28.7.1にヒープベース...

2024年11月19日

Adobe Illustrator 28.7.1以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで現在のユーザーコンテキストでの任意のコード実行が可能となる。機密性・完全性・可用性すべてに高い影響を与える可能性があり、早急な対応が求められる状況だ。

【CVE-2024-47450】Adobe Illustrator 28.7.1にヒープベース...

2024年11月19日

Adobe Illustrator 28.7.1以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで現在のユーザーコンテキストでの任意のコード実行が可能となる。機密性・完全性・可用性すべてに高い影響を与える可能性があり、早急な対応が求められる状況だ。

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆...

2024年11月19日

WordPressプラグインGenooにおいて、バージョン6.0.10以前に影響するDOM-Based XSSの脆弱性が発見された。CVSSスコアは6.5（MEDIUM）と評価され、攻撃には特権レベルとユーザー操作が必要とされるものの、機密性・整合性・可用性すべてに影響を及ぼす可能性がある。WordPressサイト管理者は早急なアップデートが推奨される。

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆...

2024年11月19日

WordPressプラグインGenooにおいて、バージョン6.0.10以前に影響するDOM-Based XSSの脆弱性が発見された。CVSSスコアは6.5（MEDIUM）と評価され、攻撃には特権レベルとユーザー操作が必要とされるものの、機密性・整合性・可用性すべてに影響を及ぼす可能性がある。WordPressサイト管理者は早急なアップデートが推奨される。

【CVE-2024-51610】WordPress Display Terms Shortco...

2024年11月19日

WordPress用プラグインDisplay Terms Shortcodeにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51610として識別されるこの脆弱性は、バージョン1.0.4以下に影響を与え、CVSSスコア6.5（MEDIUM）と評価されている。攻撃成功時は機密性・完全性・可用性すべてに影響が及ぶ可能性があり、早急な対応が求められる。

【CVE-2024-51610】WordPress Display Terms Shortco...

2024年11月19日

WordPress用プラグインDisplay Terms Shortcodeにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51610として識別されるこの脆弱性は、バージョン1.0.4以下に影響を与え、CVSSスコア6.5（MEDIUM）と評価されている。攻撃成功時は機密性・完全性・可用性すべてに影響が及ぶ可能性があり、早急な対応が求められる。

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

2024年11月19日

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

2024年11月19日

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

2024年11月19日

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

2024年11月19日

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理...

2024年11月19日

VulDBは2024年11月12日、ZZCMS 2023のmsg.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11130】として識別され、keywordパラメータを操作することでXSS攻撃が可能となる。管理者権限での遠隔攻撃が可能で、CVSS v4.0のスコアは5.1（MEDIUM）を記録。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理...

2024年11月19日

VulDBは2024年11月12日、ZZCMS 2023のmsg.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11130】として識別され、keywordパラメータを操作することでXSS攻撃が可能となる。管理者権限での遠隔攻撃が可能で、CVSS v4.0のスコアは5.1（MEDIUM）を記録。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-49512】InDesign Desktop ID19.5以前にOOBR脆...

2024年11月19日

Adobe社がInDesign Desktop ID18.5.3、ID19.5以前のバージョンにおいて重大な脆弱性を確認した。Out-Of-Bounds Read（OOBR）による機密メモリの情報漏洩が可能となっており、攻撃者がASLRなどの保護機能を回避できる状態となっている。CVSSスコアは5.5（Medium）で、攻撃には利用者による悪意のあるファイルの開封が必要となる。

【CVE-2024-49512】InDesign Desktop ID19.5以前にOOBR脆...

2024年11月19日

Adobe社がInDesign Desktop ID18.5.3、ID19.5以前のバージョンにおいて重大な脆弱性を確認した。Out-Of-Bounds Read（OOBR）による機密メモリの情報漏洩が可能となっており、攻撃者がASLRなどの保護機能を回避できる状態となっている。CVSSスコアは5.5（Medium）で、攻撃には利用者による悪意のあるファイルの開封が必要となる。

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリ...

2024年11月19日

Public CMS 5.202406.dのVoting Management機能において、/admin/cmsVote/saveファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3でMediumレベルと評価されており、特権レベルが低い状態でもリモートからの攻撃が可能なことから、早急なパッチ適用による対策が推奨されている。パッチはb9530b9cc1f5cfdad4b637874f59029a6283a65cとして提供されている。

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリ...

2024年11月19日

Public CMS 5.202406.dのVoting Management機能において、/admin/cmsVote/saveファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3でMediumレベルと評価されており、特権レベルが低い状態でもリモートからの攻撃が可能なことから、早急なパッチ適用による対策が推奨されている。パッチはb9530b9cc1f5cfdad4b637874f59029a6283a65cとして提供されている。

【CVE-2024-50236】Linux kernelのath10kドライバーにメモリリーク...

2024年11月19日

Linux kernelのWiFiドライバーath10kにおいて、管理パケットTX処理時のメモリリークが発見された。この脆弱性はCVE-2024-50236として報告され、16バイトのメモリが未解放となる問題が確認されている。kmemleak診断ツールにより検出されたこの問題に対し、複数のバージョンで修正パッチが提供された。システムの安定性確保のため、該当バージョンを使用している場合は修正パッチの適用が推奨される。

【CVE-2024-50236】Linux kernelのath10kドライバーにメモリリーク...

2024年11月19日

Linux kernelのWiFiドライバーath10kにおいて、管理パケットTX処理時のメモリリークが発見された。この脆弱性はCVE-2024-50236として報告され、16バイトのメモリが未解放となる問題が確認されている。kmemleak診断ツールにより検出されたこの問題に対し、複数のバージョンで修正パッチが提供された。システムの安定性確保のため、該当バージョンを使用している場合は修正パッチの適用が推奨される。

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ...

2024年11月19日

Linuxカーネルの開発チームが、qmp-usbドライバーにおけるNULLポインタ参照の脆弱性【CVE-2024-50240】の修正パッチをリリース。この問題は、プラットフォームデバイスドライバーデータの初期化不備に起因し、ランタイムサスペンド時にシステムの不安定化を引き起こす可能性がある。Linux 6.2以降のバージョンが影響を受け、6.6.60、6.11.7、6.12-rc6などで修正が提供された。

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ...

2024年11月19日

Linuxカーネルの開発チームが、qmp-usbドライバーにおけるNULLポインタ参照の脆弱性【CVE-2024-50240】の修正パッチをリリース。この問題は、プラットフォームデバイスドライバーデータの初期化不備に起因し、ランタイムサスペンド時にシステムの不安定化を引き起こす可能性がある。Linux 6.2以降のバージョンが影響を受け、6.6.60、6.11.7、6.12-rc6などで修正が提供された。

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メ...

2024年11月19日

Linux kernelの開発チームが、BPF機能のメモリ管理における重要な脆弱性の修正パッチをリリース。bpf_iter_bits_new()関数でのnr_wordsパラメータの検証不足により、特定条件下でスタック破損が発生する可能性があった。修正により最大値を511に制限し、bpf_mem_alloc_check_size()ヘルパーを導入することで、より安全なメモリ管理を実現。Linux kernel 6.11.7以降で問題が解決されている。

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メ...

2024年11月19日

Linux kernelの開発チームが、BPF機能のメモリ管理における重要な脆弱性の修正パッチをリリース。bpf_iter_bits_new()関数でのnr_wordsパラメータの検証不足により、特定条件下でスタック破損が発生する可能性があった。修正により最大値を511に制限し、bpf_mem_alloc_check_size()ヘルパーを導入することで、より安全なメモリ管理を実現。Linux kernel 6.11.7以降で問題が解決されている。