Tech Insights

【CVE-2024-50231】Linuxカーネルのiio-gts-helperモジュールでメモリリーク問題を修正、システム安定性の向上へ

【CVE-2024-50231】Linuxカーネルのiio-gts-helperモジュールでメ...

Linuxカーネルのiio-gts-helperモジュールにおいて深刻なメモリリーク問題が発見され、CVE-2024-50231として報告された。この問題はiio_gts_build_avail_scale_table関数内でのメモリ管理の不備に起因し、特定の操作でsize 64とsize 16のメモリリークが複数回発生する。Linux 6.4以降の特定バージョンに影響を与えるこの脆弱性は、最新のパッチで修正されている。

【CVE-2024-50231】Linuxカーネルのiio-gts-helperモジュールでメ...

Linuxカーネルのiio-gts-helperモジュールにおいて深刻なメモリリーク問題が発見され、CVE-2024-50231として報告された。この問題はiio_gts_build_avail_scale_table関数内でのメモリ管理の不備に起因し、特定の操作でsize 64とsize 16のメモリリークが複数回発生する。Linux 6.4以降の特定バージョンに影響を与えるこの脆弱性は、最新のパッチで修正されている。

【CVE-2024-50214】Linuxカーネル6.11のディスプレイドライバーにメモリリーク脆弱性が発見、修正パッチで対応完了

【CVE-2024-50214】Linuxカーネル6.11のディスプレイドライバーにメモリリー...

Linuxカーネルのディスプレイドライバーにおいて、drm_display_mode_from_cea_vic()関数内でのメモリリークの脆弱性が発見された。この問題はdrm_connector_testモジュールのロード・アンロード時に128バイトのメモリが未解放となる現象を引き起こしており、Linux 6.11.7以降のバージョンで修正パッチが適用された。長期運用時のシステム安定性に影響を与える可能性のある重要な修正となっている。

【CVE-2024-50214】Linuxカーネル6.11のディスプレイドライバーにメモリリー...

Linuxカーネルのディスプレイドライバーにおいて、drm_display_mode_from_cea_vic()関数内でのメモリリークの脆弱性が発見された。この問題はdrm_connector_testモジュールのロード・アンロード時に128バイトのメモリが未解放となる現象を引き起こしており、Linux 6.11.7以降のバージョンで修正パッチが適用された。長期運用時のシステム安定性に影響を与える可能性のある重要な修正となっている。

【CVE-2024-50159】Linuxカーネルのarm_scmi二重解放脆弱性、複数バージョンに影響が判明し修正パッチを緊急公開

【CVE-2024-50159】Linuxカーネルのarm_scmi二重解放脆弱性、複数バージ...

Linuxカーネルの開発チームは、arm_scmiコンポーネントにおける二重解放の脆弱性【CVE-2024-50159】を修正。この問題は、scmi_debugfs_common_setup()関数内でdevm_add_action_or_reset()が失敗した際に発生し、Linux 6.3から6.6.59までの複数バージョンに影響。静的解析ツールによって発見され、冗長なcleanup処理の削除による修正が実装された。

【CVE-2024-50159】Linuxカーネルのarm_scmi二重解放脆弱性、複数バージ...

Linuxカーネルの開発チームは、arm_scmiコンポーネントにおける二重解放の脆弱性【CVE-2024-50159】を修正。この問題は、scmi_debugfs_common_setup()関数内でdevm_add_action_or_reset()が失敗した際に発生し、Linux 6.3から6.6.59までの複数バージョンに影響。静的解析ツールによって発見され、冗長なcleanup処理の削除による修正が実装された。

【CVE-2024-50089】Linuxカーネルのunicode処理に重要な脆弱性修正、複数バージョンに影響

【CVE-2024-50089】Linuxカーネルのunicode処理に重要な脆弱性修正、複数...

Linuxカーネルコミュニティが重要な脆弱性【CVE-2024-50089】の修正をリリース。unicodeのignorable code pointsに関する特別処理を簡略化し、自己分解とケースフォールディングに統一。この変更は5.4系から6.12-rc3までの広範なバージョンに影響を与え、各バージョン向けに修正パッチが提供された。コードの複雑性低減とセキュリティ向上が期待される。

【CVE-2024-50089】Linuxカーネルのunicode処理に重要な脆弱性修正、複数...

Linuxカーネルコミュニティが重要な脆弱性【CVE-2024-50089】の修正をリリース。unicodeのignorable code pointsに関する特別処理を簡略化し、自己分解とケースフォールディングに統一。この変更は5.4系から6.12-rc3までの広範なバージョンに影響を与え、各バージョン向けに修正パッチが提供された。コードの複雑性低減とセキュリティ向上が期待される。

【CVE-2024-47331】WordPress用Multi Step for Contact Formに深刻な脆弱性、即時アップデートが必要に

【CVE-2024-47331】WordPress用Multi Step for Contac...

WordPressプラグインMulti Step for Contact Form 2.7.7以前のバージョンにSQLインジェクションの脆弱性が発見された。CVSSスコア9.3のクリティカルな脆弱性として評価され、認証不要で攻撃可能な状態であることから、影響を受けるバージョンを使用しているユーザーは速やかなアップデートが推奨される。すでにバージョン2.7.8で修正済みとなっている。

【CVE-2024-47331】WordPress用Multi Step for Contac...

WordPressプラグインMulti Step for Contact Form 2.7.7以前のバージョンにSQLインジェクションの脆弱性が発見された。CVSSスコア9.3のクリティカルな脆弱性として評価され、認証不要で攻撃可能な状態であることから、影響を受けるバージョンを使用しているユーザーは速やかなアップデートが推奨される。すでにバージョン2.7.8で修正済みとなっている。

【CVE-2024-11097】Student Record Management System 1.0に無限ループの脆弱性、教育現場のシステム運用に影響

【CVE-2024-11097】Student Record Management Syste...

SourceCodester Student Record Management System 1.0のMain Menuコンポーネントに無限ループの脆弱性が発見された。CVE-2024-11097として識別されるこの脆弱性は、CVSSスコア4.8でMedium評価とされており、ローカル環境での攻撃が可能。既にexploitが公開されており、教育機関での学生情報管理に支障をきたす可能性があるため、早急な対応が求められる。

【CVE-2024-11097】Student Record Management Syste...

SourceCodester Student Record Management System 1.0のMain Menuコンポーネントに無限ループの脆弱性が発見された。CVE-2024-11097として識別されるこの脆弱性は、CVSSスコア4.8でMedium評価とされており、ローカル環境での攻撃が可能。既にexploitが公開されており、教育機関での学生情報管理に支障をきたす可能性があるため、早急な対応が求められる。

BACKSTAGE PRODUCTSとSHOKO the World of Artが業務提携、バレエダンサーのキャリア支援を本格展開へ

BACKSTAGE PRODUCTSとSHOKO the World of Artが業務提携、...

株式会社BACKSTAGE PRODUCTSと株式会社SHOKO the World of Artが業務提携を締結し、APLOM CAREERを通じたバレエダンサーのキャリア支援事業を本格展開する。エージェント業務の引受けやアパレルプロダクト事業APLOMでの共同開発も実施され、バレエ界における新たな価値創出とキャリア支援の充実を目指す。両社の強みを活かした包括的な支援体制の構築が期待される。

BACKSTAGE PRODUCTSとSHOKO the World of Artが業務提携、...

株式会社BACKSTAGE PRODUCTSと株式会社SHOKO the World of Artが業務提携を締結し、APLOM CAREERを通じたバレエダンサーのキャリア支援事業を本格展開する。エージェント業務の引受けやアパレルプロダクト事業APLOMでの共同開発も実施され、バレエ界における新たな価値創出とキャリア支援の充実を目指す。両社の強みを活かした包括的な支援体制の構築が期待される。

キングジムのテプラPRO MARK SR-MK1がmybest AWARD 2024を受賞、スマートフォン専用モデルで新しいラベル体験を提供

キングジムのテプラPRO MARK SR-MK1がmybest AWARD 2024を受賞、ス...

キングジムのラベルプリンター「テプラ」PRO MARK SR-MK1が、商品比較サービス「マイベスト」が選出するmybest AWARD 2024の事務家電部門で最優秀賞を受賞した。シリーズ初のスマートフォン専用モデルとして開発され、シリーズ最高精細度の印刷ヘッドを搭載。専用アプリからのコンテンツ配信機能により、新しいラベル作成体験を提供している。

キングジムのテプラPRO MARK SR-MK1がmybest AWARD 2024を受賞、ス...

キングジムのラベルプリンター「テプラ」PRO MARK SR-MK1が、商品比較サービス「マイベスト」が選出するmybest AWARD 2024の事務家電部門で最優秀賞を受賞した。シリーズ初のスマートフォン専用モデルとして開発され、シリーズ最高精細度の印刷ヘッドを搭載。専用アプリからのコンテンツ配信機能により、新しいラベル作成体験を提供している。

WHITE CROSSとsoeaseyが歯科医療教育で連携、300のコンテンツ提供でスタッフ教育のDX化を推進

WHITE CROSSとsoeaseyが歯科医療教育で連携、300のコンテンツ提供でスタッフ教...

WHITE CROSS株式会社が株式会社soeaseyと連携し、歯科衛生士・歯科助手向けの約300のコンテンツをsoeasy buddy for dentalに統合することを発表。時間や場所にとらわれない学習環境を構築し、教育効率の向上と臨床レベルの底上げを目指す。歯科医療の基礎から専門的な治療まで、12のテーマで順次コンテンツを展開予定。

WHITE CROSSとsoeaseyが歯科医療教育で連携、300のコンテンツ提供でスタッフ教...

WHITE CROSS株式会社が株式会社soeaseyと連携し、歯科衛生士・歯科助手向けの約300のコンテンツをsoeasy buddy for dentalに統合することを発表。時間や場所にとらわれない学習環境を構築し、教育効率の向上と臨床レベルの底上げを目指す。歯科医療の基礎から専門的な治療まで、12のテーマで順次コンテンツを展開予定。

シエンシーがDX人材化による障がい者雇用支援セミナーを開催、IT活用で職域拡大を促進

シエンシーがDX人材化による障がい者雇用支援セミナーを開催、IT活用で職域拡大を促進

株式会社シエンシーとWEL'Sが共同で「障がい者のDX人材化セミナー」を2024年12月3日に朝日新聞東京本社で開催する。法定雇用率引き上げに伴う障がい者雇用の課題に対し、IT活用による職域拡大の実現手法を紹介。DX推進と障がい者雇用の両立を目指す企業向けに、ハードスキル開発やAI/DXスキル習得の具体的方法論を解説する。

シエンシーがDX人材化による障がい者雇用支援セミナーを開催、IT活用で職域拡大を促進

株式会社シエンシーとWEL'Sが共同で「障がい者のDX人材化セミナー」を2024年12月3日に朝日新聞東京本社で開催する。法定雇用率引き上げに伴う障がい者雇用の課題に対し、IT活用による職域拡大の実現手法を紹介。DX推進と障がい者雇用の両立を目指す企業向けに、ハードスキル開発やAI/DXスキル習得の具体的方法論を解説する。

LYZONとELYZAの代表が生成AI対談を公開、日本語LLMの開発とAI技術の未来を議論

LYZONとELYZAの代表が生成AI対談を公開、日本語LLMの開発とAI技術の未来を議論

株式会社LYZONが2024年11月15日に『AIの未来を語る-ELYZA代表 曽根岡 侑也 × LYZON代表 藤田 健による生成AI対談』を公開した。ELYZAのLLM開発やLYZONのRAG活用、さらにSakana AIやSLM、OpenAIの音声入力など最新のAI技術について深い議論が交わされ、専門家レベルのAI実現に向けた展望が示された。

LYZONとELYZAの代表が生成AI対談を公開、日本語LLMの開発とAI技術の未来を議論

株式会社LYZONが2024年11月15日に『AIの未来を語る-ELYZA代表 曽根岡 侑也 × LYZON代表 藤田 健による生成AI対談』を公開した。ELYZAのLLM開発やLYZONのRAG活用、さらにSakana AIやSLM、OpenAIの音声入力など最新のAI技術について深い議論が交わされ、専門家レベルのAI実現に向けた展望が示された。

キリンのエレキソルト スプーンがCES Innovation Awards 2025を受賞、電流波形技術で減塩食品の味覚増強を実現

キリンのエレキソルト スプーンがCES Innovation Awards 2025を受賞、電...

キリンホールディングスの食器型デバイス「エレキソルト スプーン」がCES Innovation Awards 2025のDigital HealthとAccessibility & AgeTech部門で受賞を果たした。明治大学との共同研究により開発された独自の電流波形技術を搭載し、微弱な電流で減塩食品の塩味を約1.5倍に増強させる機能を実現。2024年5月より販売を開始し、今後は食器類の展開拡大や減塩食メニューの開発も予定している。

キリンのエレキソルト スプーンがCES Innovation Awards 2025を受賞、電...

キリンホールディングスの食器型デバイス「エレキソルト スプーン」がCES Innovation Awards 2025のDigital HealthとAccessibility & AgeTech部門で受賞を果たした。明治大学との共同研究により開発された独自の電流波形技術を搭載し、微弱な電流で減塩食品の塩味を約1.5倍に増強させる機能を実現。2024年5月より販売を開始し、今後は食器類の展開拡大や減塩食メニューの開発も予定している。

明日香出版社が起業家向け新刊を発売、フリーウェイジャパン代表の実践的な経営戦略を解説

明日香出版社が起業家向け新刊を発売、フリーウェイジャパン代表の実践的な経営戦略を解説

明日香出版社は2024年11月13日に『決定版 失敗しない起業家の戦い方』を発売した。株式会社フリーウェイジャパン代表取締役の井上達也氏が、29歳でゼロから起業し55万ユーザーを抱える国内最大級の業務系クラウドシステムメーカーに成長させた経験をもとに、起業における現実的な課題とリスク管理について解説している。

明日香出版社が起業家向け新刊を発売、フリーウェイジャパン代表の実践的な経営戦略を解説

明日香出版社は2024年11月13日に『決定版 失敗しない起業家の戦い方』を発売した。株式会社フリーウェイジャパン代表取締役の井上達也氏が、29歳でゼロから起業し55万ユーザーを抱える国内最大級の業務系クラウドシステムメーカーに成長させた経験をもとに、起業における現実的な課題とリスク管理について解説している。

【CVE-2024-49394】muttとneomuttにIn-Reply-Toヘッダーフィールドの暗号署名脆弱性が発見、なりすまし攻撃のリスクに

【CVE-2024-49394】muttとneomuttにIn-Reply-Toヘッダーフィー...

Red Hat社が電子メールクライアントmuttとneomuttにおける重要な脆弱性を公開。In-Reply-To電子メールヘッダーフィールドが暗号署名による保護を受けておらず、攻撃者が暗号化されていない署名付きメールを再利用して送信者になりすます可能性がある。Red Hat Enterprise Linux 8および9の全バージョンが影響を受け、早急な対応が求められる事態となっている。

【CVE-2024-49394】muttとneomuttにIn-Reply-Toヘッダーフィー...

Red Hat社が電子メールクライアントmuttとneomuttにおける重要な脆弱性を公開。In-Reply-To電子メールヘッダーフィールドが暗号署名による保護を受けておらず、攻撃者が暗号化されていない署名付きメールを再利用して送信者になりすます可能性がある。Red Hat Enterprise Linux 8および9の全バージョンが影響を受け、早急な対応が求められる事態となっている。

【CVE-2024-46953】Artifex Ghostscript 10.04.0未満のファイル処理に整数オーバーフロー脆弱性、深刻な影響の可能性

【CVE-2024-46953】Artifex Ghostscript 10.04.0未満のフ...

Artifexは2024年11月10日、Ghostscriptのbase/gsdevice.cにおける重大な脆弱性を公開した。出力ファイル名のフォーマット文字列を解析する際の整数オーバーフローにより、パスの切り捨てやパストラバーサル、任意のコード実行が可能となる。CVSSスコア7.8の深刻な脆弱性であり、システム管理者は早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-46953】Artifex Ghostscript 10.04.0未満のフ...

Artifexは2024年11月10日、Ghostscriptのbase/gsdevice.cにおける重大な脆弱性を公開した。出力ファイル名のフォーマット文字列を解析する際の整数オーバーフローにより、パスの切り捨てやパストラバーサル、任意のコード実行が可能となる。CVSSスコア7.8の深刻な脆弱性であり、システム管理者は早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-42000】Mattermost 9.10.x-10.0.0で認証の脆弱性、プライベートチャンネルの情報漏洩のリスクに

【CVE-2024-42000】Mattermost 9.10.x-10.0.0で認証の脆弱性...

Mattermost社が複数バージョンにおける認証の脆弱性【CVE-2024-42000】を公開。ReadGroups権限を持つユーザーやシステムマネージャーが、アクセス権のないプライベートチャンネルの詳細情報を閲覧可能な状態となっていた。CVSSスコアは2.7(Low)と評価されており、9.10.3、9.11.2、9.5.10、10.0.1への更新で対応が可能となっている。

【CVE-2024-42000】Mattermost 9.10.x-10.0.0で認証の脆弱性...

Mattermost社が複数バージョンにおける認証の脆弱性【CVE-2024-42000】を公開。ReadGroups権限を持つユーザーやシステムマネージャーが、アクセス権のないプライベートチャンネルの詳細情報を閲覧可能な状態となっていた。CVSSスコアは2.7(Low)と評価されており、9.10.3、9.11.2、9.5.10、10.0.1への更新で対応が可能となっている。

【CVE-2024-11074】itsourcecode Tailoring Management System 1.0にSQLインジェクションの脆弱性、複数パラメータに影響

【CVE-2024-11074】itsourcecode Tailoring Manageme...

VulDBが2024年11月11日に公開したitsourcecode Tailoring Management System 1.0の脆弱性情報によると、/incadd.phpファイル内の複数パラメータにSQLインジェクションの脆弱性が存在する。CVSSスコア6.3でMedium評価とされ、リモートからの攻撃が可能な状態。既に脆弱性の詳細が公開されており、早急な対応が求められる事態となっている。

【CVE-2024-11074】itsourcecode Tailoring Manageme...

VulDBが2024年11月11日に公開したitsourcecode Tailoring Management System 1.0の脆弱性情報によると、/incadd.phpファイル内の複数パラメータにSQLインジェクションの脆弱性が存在する。CVSSスコア6.3でMedium評価とされ、リモートからの攻撃が可能な状態。既に脆弱性の詳細が公開されており、早急な対応が求められる事態となっている。

【CVE-2024-11056】Tenda AC10 16.03.10.13でスタックベースのバッファオーバーフロー脆弱性が発見、リモート攻撃のリスクに警戒

【CVE-2024-11056】Tenda AC10 16.03.10.13でスタックベースの...

Tenda AC10 16.03.10.13のWifiExtraSet機能において、重大な脆弱性が発見された。wpapsk_crypto引数の処理における問題により、スタックベースのバッファオーバーフローが発生する可能性があり、リモートからの攻撃が可能。CVSSスコアは8.7-8.8と高く、エクスプロイトコードも公開されている。機密性・完全性・可用性に重大な影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-11056】Tenda AC10 16.03.10.13でスタックベースの...

Tenda AC10 16.03.10.13のWifiExtraSet機能において、重大な脆弱性が発見された。wpapsk_crypto引数の処理における問題により、スタックベースのバッファオーバーフローが発生する可能性があり、リモートからの攻撃が可能。CVSSスコアは8.7-8.8と高く、エクスプロイトコードも公開されている。機密性・完全性・可用性に重大な影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-10958】WP Photo Album Plus 8.8.08.007に認証なしショートコード実行の脆弱性、早急な対応が必要に

【CVE-2024-10958】WP Photo Album Plus 8.8.08.007に...

WordPressプラグインWP Photo Album Plus 8.8.08.007以前のバージョンに、認証なし任意ショートコード実行の脆弱性が発見された。CVSSスコア7.3のHigh深刻度と評価され、getshortcodedrenderedfenodelay AJAX経由での攻撃が可能。認証不要でネットワーク経由の攻撃が可能なため、早急なアップデートが推奨される。

【CVE-2024-10958】WP Photo Album Plus 8.8.08.007に...

WordPressプラグインWP Photo Album Plus 8.8.08.007以前のバージョンに、認証なし任意ショートコード実行の脆弱性が発見された。CVSSスコア7.3のHigh深刻度と評価され、getshortcodedrenderedfenodelay AJAX経由での攻撃が可能。認証不要でネットワーク経由の攻撃が可能なため、早急なアップデートが推奨される。

【CVE-2024-10695】WordPressプラグインFuturio Extra 2.0.13に情報漏洩の脆弱性、権限チェックの不備で非公開コンテンツが閲覧可能に

【CVE-2024-10695】WordPressプラグインFuturio Extra 2.0...

WordPressプラグインFuturio Extra 2.0.13以前のバージョンで深刻な情報漏洩の脆弱性が発見された。elementor-templateショートコードの実装における権限チェックの不備により、Contributor以上の権限を持つユーザーが非公開記事や下書き記事の内容を閲覧可能になっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-10695】WordPressプラグインFuturio Extra 2.0...

WordPressプラグインFuturio Extra 2.0.13以前のバージョンで深刻な情報漏洩の脆弱性が発見された。elementor-templateショートコードの実装における権限チェックの不備により、Contributor以上の権限を持つユーザーが非公開記事や下書き記事の内容を閲覧可能になっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-47783】SIPORTのV3.4.0未満に特権昇格の脆弱性、インストールフォルダの権限設定に重大な問題

【CVE-2024-47783】SIPORTのV3.4.0未満に特権昇格の脆弱性、インストール...

Siemens社のSIPORTにおいて、V3.4.0未満の全バージョンに特権昇格の脆弱性が発見された。インストールフォルダの権限設定が不適切であり、非特権アカウントによるサービス実行ファイルの改変が可能な状態。CVSSスコアは3.1で7.8、4.0で8.5と高い深刻度を示しており、早急なV3.4.0へのアップデートが推奨される。

【CVE-2024-47783】SIPORTのV3.4.0未満に特権昇格の脆弱性、インストール...

Siemens社のSIPORTにおいて、V3.4.0未満の全バージョンに特権昇格の脆弱性が発見された。インストールフォルダの権限設定が不適切であり、非特権アカウントによるサービス実行ファイルの改変が可能な状態。CVSSスコアは3.1で7.8、4.0で8.5と高い深刻度を示しており、早急なV3.4.0へのアップデートが推奨される。

【CVE-2024-47452】Adobe Illustrator 28.7.1に深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-47452】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに影響を与える深刻な脆弱性【CVE-2024-47452】を公開した。境界外書き込みの問題により、攻撃者が細工したファイルを開かせることで任意のコード実行が可能となる。CVSSスコアは7.8と高い値を示しており、早急な対応が求められている。

【CVE-2024-47452】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに影響を与える深刻な脆弱性【CVE-2024-47452】を公開した。境界外書き込みの問題により、攻撃者が細工したファイルを開かせることで任意のコード実行が可能となる。CVSSスコアは7.8と高い値を示しており、早急な対応が求められている。

【CVE-2024-47453】Adobe Illustrator 28.7.1以前にメモリ脆弱性、ASLRの保護機能回避のリスクが発生

【CVE-2024-47453】Adobe Illustrator 28.7.1以前にメモリ脆...

Adobe IllustratorのバージョンK28.7.1以前に範囲外読み取りの脆弱性が発見された。この脆弱性により機密性の高いメモリ情報が漏洩する可能性があり、攻撃者がASLRなどの保護機能を回避するために悪用するリスクが指摘されている。CVSSスコアは5.5(Medium)で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの関与が必須となる。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-47453】Adobe Illustrator 28.7.1以前にメモリ脆...

Adobe IllustratorのバージョンK28.7.1以前に範囲外読み取りの脆弱性が発見された。この脆弱性により機密性の高いメモリ情報が漏洩する可能性があり、攻撃者がASLRなどの保護機能を回避するために悪用するリスクが指摘されている。CVSSスコアは5.5(Medium)で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの関与が必須となる。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-45147】Adobe Bridge 13.0.9、14.1.2以前に範囲外読み取りの脆弱性、ASLRバイパスのリスクに注意

【CVE-2024-45147】Adobe Bridge 13.0.9、14.1.2以前に範囲...

Adobe Bridgeの13.0.9、14.1.2以前のバージョンに範囲外読み取りの脆弱性が発見された。この脆弱性は機密メモリの漏洩を引き起こす可能性があり、攻撃者がASLRなどの保護機能をバイパスするために利用される危険性がある。CVSSスコアは5.5で中程度の深刻度とされ、攻撃には被害者が悪意のあるファイルを開く必要がある。セキュリティ対策の強化が求められる。

【CVE-2024-45147】Adobe Bridge 13.0.9、14.1.2以前に範囲...

Adobe Bridgeの13.0.9、14.1.2以前のバージョンに範囲外読み取りの脆弱性が発見された。この脆弱性は機密メモリの漏洩を引き起こす可能性があり、攻撃者がASLRなどの保護機能をバイパスするために利用される危険性がある。CVSSスコアは5.5で中程度の深刻度とされ、攻撃には被害者が悪意のあるファイルを開く必要がある。セキュリティ対策の強化が求められる。

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースのバッファオーバーフロー脆弱性が発見、リモート攻撃のリスクに警鐘

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースの...

TendaのAC10 16.03.10.13において、/goform/fast_setting_wifi_setファイルのFUN_0044db3c関数に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11061】として識別され、timeZoneパラメータの操作によってスタックベースのバッファオーバーフローが発生する可能性がある。CVSS 4.0で8.7というハイレベルの深刻度が付与されており、リモートからの攻撃が可能な状態となっている。

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースの...

TendaのAC10 16.03.10.13において、/goform/fast_setting_wifi_setファイルのFUN_0044db3c関数に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11061】として識別され、timeZoneパラメータの操作によってスタックベースのバッファオーバーフローが発生する可能性がある。CVSS 4.0で8.7というハイレベルの深刻度が付与されており、リモートからの攻撃が可能な状態となっている。

【CVE-2024-10672】Multiple Page Generator Plugin – MPGに認証済みディレクトリトラバーサルの脆弱性、早急な更新が必要に

【CVE-2024-10672】Multiple Page Generator Plugin ...

WordfenceはWordPress用プラグインMultiple Page Generator Plugin – MPGにおいて、バージョン4.0.2以前に認証済みディレクトリトラバーサルによる任意のファイル削除の脆弱性が存在することを公開した。エディターレベル以上の権限を持つ攻撃者がサーバー上の特定のファイルを削除できる可能性があり、早急な対応が必要となっている。

【CVE-2024-10672】Multiple Page Generator Plugin ...

WordfenceはWordPress用プラグインMultiple Page Generator Plugin – MPGにおいて、バージョン4.0.2以前に認証済みディレクトリトラバーサルによる任意のファイル削除の脆弱性が存在することを公開した。エディターレベル以上の権限を持つ攻撃者がサーバー上の特定のファイルを削除できる可能性があり、早急な対応が必要となっている。

【CVE-2024-24117】Ruijie RG-NBS2009G-P RGOSに権限昇格の脆弱性、ログインチェックコンポーネントに深刻な問題

【CVE-2024-24117】Ruijie RG-NBS2009G-P RGOSに権限昇格の...

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release (9736)にログインチェック状態コンポーネントを介した権限昇格の脆弱性が存在することを公開した。この脆弱性は【CVE-2024-24117】として識別され、リモート攻撃者による権限取得が可能となる。CISAの評価では技術的影響が部分的で自動化された攻撃が可能とされており、早急な対応が必要とされている。

【CVE-2024-24117】Ruijie RG-NBS2009G-P RGOSに権限昇格の...

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release (9736)にログインチェック状態コンポーネントを介した権限昇格の脆弱性が存在することを公開した。この脆弱性は【CVE-2024-24117】として識別され、リモート攻撃者による権限取得が可能となる。CISAの評価では技術的影響が部分的で自動化された攻撃が可能とされており、早急な対応が必要とされている。

【CVE-2024-36250】Mattermost 9.11.xと9.5.xでMFAコードのリプレイ攻撃による脆弱性が発見、迅速な対応でセキュリティ強化へ

【CVE-2024-36250】Mattermost 9.11.xと9.5.xでMFAコードの...

Mattermost社が9.11.xおよび9.5.xシリーズにおいて、MFAコードの再利用を可能とする脆弱性【CVE-2024-36250】を公開。約30秒以内のMFAコードリプレイ攻撃が可能な状態であることが判明。CWE-303に分類され、CVSSスコアは3.1(Low)。Mattermost 10.1.0、9.11.3、9.5.11で修正済み。DoyenSecにより発見された本脆弱性に対し、迅速なセキュリティアップデートを実施。

【CVE-2024-36250】Mattermost 9.11.xと9.5.xでMFAコードの...

Mattermost社が9.11.xおよび9.5.xシリーズにおいて、MFAコードの再利用を可能とする脆弱性【CVE-2024-36250】を公開。約30秒以内のMFAコードリプレイ攻撃が可能な状態であることが判明。CWE-303に分類され、CVSSスコアは3.1(Low)。Mattermost 10.1.0、9.11.3、9.5.11で修正済み。DoyenSecにより発見された本脆弱性に対し、迅速なセキュリティアップデートを実施。

【CVE-2024-49393】neomuttとmuttでメールヘッダーの暗号署名に脆弱性、機密情報漏洩のリスクが浮上

【CVE-2024-49393】neomuttとmuttでメールヘッダーの暗号署名に脆弱性、機...

Red Hatは2024年11月12日、メールクライアントneomuttとmuttにおいて、ToとCcヘッダーフィールドが暗号署名による保護を受けていない脆弱性を公開した。CVSSスコアは7.4(High)で、攻撃者がメッセージを傍受してヘッダー値を変更し、自身を受信者として追加することで機密性を侵害する可能性がある。Red Hat Enterprise Linux 8および9の全バージョンが影響を受けることが確認されている。

【CVE-2024-49393】neomuttとmuttでメールヘッダーの暗号署名に脆弱性、機...

Red Hatは2024年11月12日、メールクライアントneomuttとmuttにおいて、ToとCcヘッダーフィールドが暗号署名による保護を受けていない脆弱性を公開した。CVSSスコアは7.4(High)で、攻撃者がメッセージを傍受してヘッダー値を変更し、自身を受信者として追加することで機密性を侵害する可能性がある。Red Hat Enterprise Linux 8および9の全バージョンが影響を受けることが確認されている。

【CVE-2024-46955】Ghostscriptに境界外読み取りの脆弱性、バージョン10.04.0で修正パッチを提供

【CVE-2024-46955】Ghostscriptに境界外読み取りの脆弱性、バージョン10...

Artifex GhostscriptのIndexedカラースペース処理において境界外読み取りの脆弱性が発見された。CVSSスコア5.5(MEDIUM)と評価されるこの脆弱性は、psi/zcolor.cファイル内で発生し、システムの可用性に影響を与える可能性がある。Artifexは対策としてバージョン10.04.0でセキュリティパッチを提供しており、ユーザーに更新を推奨している。

【CVE-2024-46955】Ghostscriptに境界外読み取りの脆弱性、バージョン10...

Artifex GhostscriptのIndexedカラースペース処理において境界外読み取りの脆弱性が発見された。CVSSスコア5.5(MEDIUM)と評価されるこの脆弱性は、psi/zcolor.cファイル内で発生し、システムの可用性に影響を与える可能性がある。Artifexは対策としてバージョン10.04.0でセキュリティパッチを提供しており、ユーザーに更新を推奨している。

HOT TOPICS