Tech Insights

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザーによる情報漏洩のリスクに警戒

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザ...

GitサーバーとCI/CD機能を提供するOneDevにおいて、バージョン11.0.9未満に深刻な認証回避の脆弱性が発見された。未認証ユーザーによる任意のファイル読み取りが可能となる問題が確認されており、CVSSスコア8.7(HIGH)と高い危険性が指摘されている。開発チームは直ちにバージョン11.0.9で修正を実施したが、早急なアップデートの適用が推奨される。

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザ...

GitサーバーとCI/CD機能を提供するOneDevにおいて、バージョン11.0.9未満に深刻な認証回避の脆弱性が発見された。未認証ユーザーによる任意のファイル読み取りが可能となる問題が確認されており、CVSSスコア8.7(HIGH)と高い危険性が指摘されている。開発チームは直ちにバージョン11.0.9で修正を実施したが、早急なアップデートの適用が推奨される。

【CVE-2024-51608】WordPressプラグインAmaDiscountにSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2024-51608】WordPressプラグインAmaDiscountにSQLイン...

WordPressプラグインのAmaDiscountにおいて、SQLインジェクションの脆弱性が発見された。CVE-2024-51608として識別されたこの脆弱性は、バージョン1.0以下に影響を与え、CVSSスコア8.5の高リスク評価を受けている。低い特権レベルでリモートからの攻撃が可能であり、ユーザー操作を必要としない点から、早急なセキュリティアップデートが求められている。

【CVE-2024-51608】WordPressプラグインAmaDiscountにSQLイン...

WordPressプラグインのAmaDiscountにおいて、SQLインジェクションの脆弱性が発見された。CVE-2024-51608として識別されたこの脆弱性は、バージョン1.0以下に影響を与え、CVSSスコア8.5の高リスク評価を受けている。低い特権レベルでリモートからの攻撃が可能であり、ユーザー操作を必要としない点から、早急なセキュリティアップデートが求められている。

【CVE-2024-51576】WordPress AMP Img Shortcode 1.0.1に格納型XSSの脆弱性、CVSSスコア6.5で中程度の深刻度

【CVE-2024-51576】WordPress AMP Img Shortcode 1.0...

WordPress用プラグインAMP Img Shortcode 1.0.1以前において格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-51576として識別されるこの脆弱性は、CVSS 3.1で6.5点と評価され中程度の深刻度。攻撃者は限定された特権でネットワークを介して攻撃を実行でき、ユーザーの関与が必要となるものの、スコープの変更を伴う可能性がある。

【CVE-2024-51576】WordPress AMP Img Shortcode 1.0...

WordPress用プラグインAMP Img Shortcode 1.0.1以前において格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-51576として識別されるこの脆弱性は、CVSS 3.1で6.5点と評価され中程度の深刻度。攻撃者は限定された特権でネットワークを介して攻撃を実行でき、ユーザーの関与が必要となるものの、スコープの変更を伴う可能性がある。

【CVE-2024-51490】Ampache 7.0.1未満にXSS脆弱性、ロゴのカスタムURL設定で危険性

【CVE-2024-51490】Ampache 7.0.1未満にXSS脆弱性、ロゴのカスタムU...

GitHubセキュリティアドバイザリーは、Ampacheのインターフェースセクションにおいて、ロゴのカスタムURL設定でJavaScriptが実行可能な新たな脆弱性を報告した。CVSS v3.1で深刻度5.5と評価され、特権アカウントを必要とするものの攻撃条件の複雑さは低く、機密性・整合性・可用性に影響を及ぼす可能性がある。開発チームは7.0.1でこの問題を修正している。

【CVE-2024-51490】Ampache 7.0.1未満にXSS脆弱性、ロゴのカスタムU...

GitHubセキュリティアドバイザリーは、Ampacheのインターフェースセクションにおいて、ロゴのカスタムURL設定でJavaScriptが実行可能な新たな脆弱性を報告した。CVSS v3.1で深刻度5.5と評価され、特権アカウントを必要とするものの攻撃条件の複雑さは低く、機密性・整合性・可用性に影響を及ぼす可能性がある。開発チームは7.0.1でこの問題を修正している。

【CVE-2024-51486】Ampache 7.0.1未満のバージョンにXSS脆弱性、アップデートによる対策が必須に

【CVE-2024-51486】Ampache 7.0.1未満のバージョンにXSS脆弱性、アッ...

GitHubは2024年11月11日、音声・動画ストリーミングアプリケーションAmpacheにストアドクロスサイトスクリプティングの脆弱性が存在することを公開した。Custom URL - Faviconの設定項目における入力値のサニタイズ処理が不十分であり、JavaScriptの実行が可能な状態となっている。CVSSスコアは5.5でMediumレベルと評価されており、バージョン7.0.1へのアップデートが推奨されている。

【CVE-2024-51486】Ampache 7.0.1未満のバージョンにXSS脆弱性、アッ...

GitHubは2024年11月11日、音声・動画ストリーミングアプリケーションAmpacheにストアドクロスサイトスクリプティングの脆弱性が存在することを公開した。Custom URL - Faviconの設定項目における入力値のサニタイズ処理が不十分であり、JavaScriptの実行が可能な状態となっている。CVSSスコアは5.5でMediumレベルと評価されており、バージョン7.0.1へのアップデートが推奨されている。

【CVE-2024-51484】Ampache 7.0.1未満でCSRF脆弱性を発見、管理者機能の不正操作の危険性

【CVE-2024-51484】Ampache 7.0.1未満でCSRF脆弱性を発見、管理者機...

Ampacheの音声・動画ストリーミングアプリケーションにおいて、コントローラーの有効化・無効化機能にCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価され、管理者権限での認証は必要だがユーザーの関与なく攻撃が可能とされている。開発チームは7.0.1へのアップグレードを推奨しており、現時点で他の回避策は存在しない。

【CVE-2024-51484】Ampache 7.0.1未満でCSRF脆弱性を発見、管理者機...

Ampacheの音声・動画ストリーミングアプリケーションにおいて、コントローラーの有効化・無効化機能にCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価され、管理者権限での認証は必要だがユーザーの関与なく攻撃が可能とされている。開発チームは7.0.1へのアップグレードを推奨しており、現時点で他の回避策は存在しない。

【CVE-2024-50634】Watcharr v1.43.0のJWTトークン脆弱性が発覚、特権昇格の危険性が浮上

【CVE-2024-50634】Watcharr v1.43.0のJWTトークン脆弱性が発覚、...

Watcharr v1.43.0以下のバージョンにおいて、JWTトークンに関する重大な脆弱性が発見された。CVE-2024-50634として識別されたこの脆弱性は、攻撃者による特権昇格を可能にし、認証を必要とする全機能に影響を及ぼす。CVSSスコアは8.8(HIGH)と評価され、ネットワークからの攻撃が可能で、攻撃条件の複雑さも低いことが判明している。

【CVE-2024-50634】Watcharr v1.43.0のJWTトークン脆弱性が発覚、...

Watcharr v1.43.0以下のバージョンにおいて、JWTトークンに関する重大な脆弱性が発見された。CVE-2024-50634として識別されたこの脆弱性は、攻撃者による特権昇格を可能にし、認証を必要とする全機能に影響を及ぼす。CVSSスコアは8.8(HIGH)と評価され、ネットワークからの攻撃が可能で、攻撃条件の複雑さも低いことが判明している。

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPHPオブジェクトインジェクションの脆弱性発見、認証済みユーザーによる攻撃に注意

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPH...

WordPressテーマEmpowermentのバージョン1.0.2以前に、PHPオブジェクトインジェクションの脆弱性が発見された。Contributor以上の権限を持つ認証済みユーザーが悪用可能で、CVSSスコアは8.8と高く評価されている。追加のプラグインやテーマがインストールされている環境では、任意のファイルの削除や機密データの取得、コードの実行などの攻撃が可能になる可能性がある。

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPH...

WordPressテーマEmpowermentのバージョン1.0.2以前に、PHPオブジェクトインジェクションの脆弱性が発見された。Contributor以上の権限を持つ認証済みユーザーが悪用可能で、CVSSスコアは8.8と高く評価されている。追加のプラグインやテーマがインストールされている環境では、任意のファイルの削除や機密データの取得、コードの実行などの攻撃が可能になる可能性がある。

【CVE-2024-47942】SiemensがSolid Edge SE2024のDLLハイジャック脆弱性を公開、早急なアップデートが必要に

【CVE-2024-47942】SiemensがSolid Edge SE2024のDLLハイ...

Siemens社は3D CADソフトウェアSolid Edge SE2024において、DLLハイジャックの脆弱性【CVE-2024-47942】を公開した。V224.0 Update 9より前のバージョンが影響を受け、攻撃者が細工されたDLLファイルをシステムに配置することで任意のコード実行が可能になる。CVSSスコアはv3.1で7.3、v4.0で7.0と高い危険度を示しており、早急なアップデートが推奨されている。

【CVE-2024-47942】SiemensがSolid Edge SE2024のDLLハイ...

Siemens社は3D CADソフトウェアSolid Edge SE2024において、DLLハイジャックの脆弱性【CVE-2024-47942】を公開した。V224.0 Update 9より前のバージョンが影響を受け、攻撃者が細工されたDLLファイルをシステムに配置することで任意のコード実行が可能になる。CVSSスコアはv3.1で7.3、v4.0で7.0と高い危険度を示しており、早急なアップデートが推奨されている。

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Injection脆弱性、認証済みユーザーによる攻撃の可能性

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Inj...

WordPressテーマUnseen Blog 1.0.0以前にPHP Object Injectionの脆弱性が発見された。CVE-2024-7432として識別されるこの脆弱性は、投稿者以上の権限を持つ認証済みユーザーが任意のPHPオブジェクトを注入可能。POP chainが存在する環境では、任意のファイル削除や機密データの取得、コード実行などの深刻な影響が懸念される。CVSSスコアは8.8(HIGH)と評価されており、早急な対応が推奨される。

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Inj...

WordPressテーマUnseen Blog 1.0.0以前にPHP Object Injectionの脆弱性が発見された。CVE-2024-7432として識別されるこの脆弱性は、投稿者以上の権限を持つ認証済みユーザーが任意のPHPオブジェクトを注入可能。POP chainが存在する環境では、任意のファイル削除や機密データの取得、コード実行などの深刻な影響が懸念される。CVSSスコアは8.8(HIGH)と評価されており、早急な対応が推奨される。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発見、バージョン1.0以前のユーザーに影響

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻なSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻...

Patchstack OÜがWordPress用プラグインBlrt WP Embedにおいて、深刻なSQLインジェクション脆弱性【CVE-2024-51606】を発見した。本脆弱性はバージョン1.6.9以前のすべてのバージョンに影響を与えており、CVSSスコア8.5と高い深刻度で評価されている。特に攻撃の複雑さが低く、低い特権レベルで実行可能であることから、早急な対応が求められている。

【CVE-2024-51606】WordPress Blrt WP Embedプラグインに深刻...

Patchstack OÜがWordPress用プラグインBlrt WP Embedにおいて、深刻なSQLインジェクション脆弱性【CVE-2024-51606】を発見した。本脆弱性はバージョン1.6.9以前のすべてのバージョンに影響を与えており、CVSSスコア8.5と高い深刻度で評価されている。特に攻撃の複雑さが低く、低い特権レベルで実行可能であることから、早急な対応が求められている。

【CVE-2024-51587】Definitive Addons for Elementor 1.5.16にXSS脆弱性、WordPress開発者の対応が急務に

【CVE-2024-51587】Definitive Addons for Elementor...

WordPress用プラグインDefinitive Addons for Elementorにおいて、バージョン1.5.16以前に存在するStored XSSの脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価されており、低い特権で攻撃が可能で影響範囲が変更される可能性がある。Patchstack Allianceのセキュリティリサーチャーによって発見されたこの脆弱性は、WordPress用プラグインの安全性に警鐘を鳴らす重要な事例となっている。

【CVE-2024-51587】Definitive Addons for Elementor...

WordPress用プラグインDefinitive Addons for Elementorにおいて、バージョン1.5.16以前に存在するStored XSSの脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価されており、低い特権で攻撃が可能で影響範囲が変更される可能性がある。Patchstack Allianceのセキュリティリサーチャーによって発見されたこの脆弱性は、WordPress用プラグインの安全性に警鐘を鳴らす重要な事例となっている。

【CVE-2024-51583】WordPress用Kento Ads Rotatorプラグインにクロスサイトスクリプティングの脆弱性、バージョン1.3以前に影響

【CVE-2024-51583】WordPress用Kento Ads Rotatorプラグイ...

KentoThemes社のWordPress用プラグインKento Ads Rotatorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51583として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。Patchstack Allianceにより発見され、ウェブページ生成時の入力の不適切な無害化に起因する問題だ。

【CVE-2024-51583】WordPress用Kento Ads Rotatorプラグイ...

KentoThemes社のWordPress用プラグインKento Ads Rotatorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51583として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。Patchstack Allianceにより発見され、ウェブページ生成時の入力の不適切な無害化に起因する問題だ。

【CVE-2024-51488】Ampache7.0.1未満でメッセージ削除機能のCSRF脆弱性が発見、早急な更新が必要に

【CVE-2024-51488】Ampache7.0.1未満でメッセージ削除機能のCSRF脆弱...

オープンソースのWeb音声・動画ストリーミングアプリケーションAmpacheにおいて、メッセージ削除機能のCSRFトークン検証が不十分である脆弱性が発見された。CVSSv4スコアは5.3(Medium)で、攻撃者は悪意のあるリクエストを送信し、管理者を含む任意のユーザーのメッセージを削除可能となる。開発チームは脆弱性を修正したバージョン7.0.1をリリースしており、影響を受ける可能性のあるユーザーに対して即時のアップデートを強く推奨している。

【CVE-2024-51488】Ampache7.0.1未満でメッセージ削除機能のCSRF脆弱...

オープンソースのWeb音声・動画ストリーミングアプリケーションAmpacheにおいて、メッセージ削除機能のCSRFトークン検証が不十分である脆弱性が発見された。CVSSv4スコアは5.3(Medium)で、攻撃者は悪意のあるリクエストを送信し、管理者を含む任意のユーザーのメッセージを削除可能となる。開発チームは脆弱性を修正したバージョン7.0.1をリリースしており、影響を受ける可能性のあるユーザーに対して即時のアップデートを強く推奨している。

【CVE-2024-50972】Construction Management System 1.0にSQLインジェクションの脆弱性、早急な対策が必要に

【CVE-2024-50972】Construction Management System ...

Itsourcecode社のConstruction Management System 1.0において、printtool.phpのborrow_idパラメータにSQLインジェクションの脆弱性が発見され、CVE-2024-50972として公開された。この脆弱性により、リモート攻撃者が任意のSQLコマンドを実行できる状態となっており、データベースの改ざんや情報漏洩などのリスクが高まっている。運用者は早急なセキュリティパッチの適用や代替策の実装を検討する必要がある。

【CVE-2024-50972】Construction Management System ...

Itsourcecode社のConstruction Management System 1.0において、printtool.phpのborrow_idパラメータにSQLインジェクションの脆弱性が発見され、CVE-2024-50972として公開された。この脆弱性により、リモート攻撃者が任意のSQLコマンドを実行できる状態となっており、データベースの改ざんや情報漏洩などのリスクが高まっている。運用者は早急なセキュリティパッチの適用や代替策の実装を検討する必要がある。

【CVE-2024-50969】Jonnys Liquor 1.0にXSS脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2024-50969】Jonnys Liquor 1.0にXSS脆弱性が発見、リモー...

Code-projectsは2024年11月13日、Jonnys Liquor 1.0のbrowse.phpにReflected XSS(クロスサイトスクリプティング)の脆弱性が存在することを公開した。searchパラメータを介して任意のWebスクリプトやHTMLを注入可能な状態にあり、リモート攻撃者によって悪用されるリスクが指摘されている。MITREによって【CVE-2024-50969】として識別されたこの脆弱性への早急な対応が求められている。

【CVE-2024-50969】Jonnys Liquor 1.0にXSS脆弱性が発見、リモー...

Code-projectsは2024年11月13日、Jonnys Liquor 1.0のbrowse.phpにReflected XSS(クロスサイトスクリプティング)の脆弱性が存在することを公開した。searchパラメータを介して任意のWebスクリプトやHTMLを注入可能な状態にあり、リモート攻撃者によって悪用されるリスクが指摘されている。MITREによって【CVE-2024-50969】として識別されたこの脆弱性への早急な対応が求められている。

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発見、深刻な影響の可能性が浮上

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発...

Tenda G3 v3.0 v15.11.0.20においてコマンドインジェクション脆弱性が発見され、MITRE CorporationによってCVE-2024-50853として公開された。formSetDebugCfg機能を介した不正コマンド実行の可能性が指摘されており、CISA-ADPによる評価では攻撃の自動化が可能で技術的影響も深刻とされている。早急な対策が求められる事態となっている。

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発...

Tenda G3 v3.0 v15.11.0.20においてコマンドインジェクション脆弱性が発見され、MITRE CorporationによってCVE-2024-50853として公開された。formSetDebugCfg機能を介した不正コマンド実行の可能性が指摘されており、CISA-ADPによる評価では攻撃の自動化が可能で技術的影響も深刻とされている。早急な対策が求められる事態となっている。

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサルの脆弱性、任意のコード実行の危険性が浮上

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサル...

MITREがDotNetZip v.1.16.0およびそれ以前のバージョンにディレクトリトラバーサルの脆弱性が存在することを公開した。この脆弱性は遠隔からの任意のコード実行を可能にする深刻な問題であり、自動化された攻撃も可能とされている。特に重要な点として、この脆弱性は現在メンテナンスが終了した製品にのみ影響を与えることが確認されている。

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサル...

MITREがDotNetZip v.1.16.0およびそれ以前のバージョンにディレクトリトラバーサルの脆弱性が存在することを公開した。この脆弱性は遠隔からの任意のコード実行を可能にする深刻な問題であり、自動化された攻撃も可能とされている。特に重要な点として、この脆弱性は現在メンテナンスが終了した製品にのみ影響を与えることが確認されている。

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4.5のオープンリダイレクト脆弱性が発覚、セキュリティ対策が急務に

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4....

WordPressのイベント管理プラグインEventPrime 4.0.4.5以前のバージョンにオープンリダイレクト脆弱性が存在することが判明した。CVE-2024-47648として識別されたこの脆弱性は、CVSSスコア4.7のミディアムリスクと評価されており、特権は不要だがユーザーの操作が必要とされている。開発元は4.0.4.6でこの問題を修正しており、早急なアップデートが推奨される。

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4....

WordPressのイベント管理プラグインEventPrime 4.0.4.5以前のバージョンにオープンリダイレクト脆弱性が存在することが判明した。CVE-2024-47648として識別されたこの脆弱性は、CVSSスコア4.7のミディアムリスクと評価されており、特権は不要だがユーザーの操作が必要とされている。開発元は4.0.4.6でこの問題を修正しており、早急なアップデートが推奨される。

【CVE-2024-45278】SAP Commerce BackofficeにXSS脆弱性が発見、機密性と整合性に影響の恐れ

【CVE-2024-45278】SAP Commerce BackofficeにXSS脆弱性が...

SAPは2024年10月8日、SAP Commerce Backofficeにおいて、ユーザー制御入力の不十分なエンコードに起因するXSS脆弱性を公開した。HY_COM 2205とCOM_CLOUD 2211のバージョンに影響を与えるこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価されており、機密性と整合性に限定的な影響を及ぼす可能性がある。セキュリティパッチデーの一環として修正プログラムが提供されている。

【CVE-2024-45278】SAP Commerce BackofficeにXSS脆弱性が...

SAPは2024年10月8日、SAP Commerce Backofficeにおいて、ユーザー制御入力の不十分なエンコードに起因するXSS脆弱性を公開した。HY_COM 2205とCOM_CLOUD 2211のバージョンに影響を与えるこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価されており、機密性と整合性に限定的な影響を及ぼす可能性がある。セキュリティパッチデーの一環として修正プログラムが提供されている。

【CVE-2024-45277】SAP HANA Client 2.21.31未満にPrototype Pollution脆弱性、アプリケーションの可用性に影響

【CVE-2024-45277】SAP HANA Client 2.21.31未満にProto...

SAP HANA Node.jsクライアントパッケージのバージョン2.0.0から2.21.31未満において、Prototype Pollution脆弱性が発見された。nestTables機能でのユーザー入力検証の不備により、攻撃者がグローバルオブジェクトのプロトタイプに任意のプロパティを追加可能となり、アプリケーションの可用性に影響を与える可能性がある。CVSSスコアは4.3で、機密性と完全性への影響はないとされている。

【CVE-2024-45277】SAP HANA Client 2.21.31未満にProto...

SAP HANA Node.jsクライアントパッケージのバージョン2.0.0から2.21.31未満において、Prototype Pollution脆弱性が発見された。nestTables機能でのユーザー入力検証の不備により、攻撃者がグローバルオブジェクトのプロトタイプに任意のプロパティを追加可能となり、アプリケーションの可用性に影響を与える可能性がある。CVSSスコアは4.3で、機密性と完全性への影響はないとされている。

【CVE-2024-11076】code-projects Job Recruitment 1.0にSQL injection脆弱性、リモートからの攻撃が可能に

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-11058】CodeAstro Real Estate Management System 1.0でSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-11054】Simple Music Cloud Community System 1.0に深刻な脆弱性、リモートからの攻撃が可能な状態に

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロスサイトスクリプティングの脆弱性、未認証攻撃者によるスクリプト実行のリスク

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロス...

WordfenceはWordPress用プラグイン「Form Maker by 10Web」のバージョン1.15.30以前に存在するクロスサイトスクリプティングの脆弱性を公開した。add_query_argパラメータのエスケープ処理が不適切なため、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。CVSS基本値6.1のMEDIUMと評価されており、早急な対応が推奨される。

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロス...

WordfenceはWordPress用プラグイン「Form Maker by 10Web」のバージョン1.15.30以前に存在するクロスサイトスクリプティングの脆弱性を公開した。add_query_argパラメータのエスケープ処理が不適切なため、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。CVSS基本値6.1のMEDIUMと評価されており、早急な対応が推奨される。

【CVE-2024-47441】After Effects 24.6.2以前のバージョンに深刻な脆弱性、任意のコード実行のリスクが浮上

【CVE-2024-47441】After Effects 24.6.2以前のバージョンに深刻...

Adobeは2024年11月12日、After Effectsのバージョン23.6.9および24.6.2以前に存在する深刻な脆弱性を公開した。Out-of-bounds Write(CWE-787)として分類されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、ユーザーが悪意のあるファイルを開くことで任意のコード実行が可能となる危険性がある。

【CVE-2024-47441】After Effects 24.6.2以前のバージョンに深刻...

Adobeは2024年11月12日、After Effectsのバージョン23.6.9および24.6.2以前に存在する深刻な脆弱性を公開した。Out-of-bounds Write(CWE-787)として分類されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、ユーザーが悪意のあるファイルを開くことで任意のコード実行が可能となる危険性がある。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートからの攻撃リスクで早急な対応が必要に

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆弱性、リモートコード実行のリスクが発生

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-51581】Restaurant & Cafe Addon for Elementor 1.5.6にクロスサイトスクリプティングの脆弱性、早急なアップデートが必要に

【CVE-2024-51581】Restaurant & Cafe Addon for Ele...

WordPressのElementor用プラグインであるRestaurant & Cafe Addon for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-51581として識別され、バージョン1.5.6以前に影響を与える。CVSS 3.1で中程度の深刻度と評価されており、早急なバージョン1.5.7へのアップデートが推奨される。

【CVE-2024-51581】Restaurant & Cafe Addon for Ele...

WordPressのElementor用プラグインであるRestaurant & Cafe Addon for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-51581として識別され、バージョン1.5.6以前に影響を与える。CVSS 3.1で中程度の深刻度と評価されており、早急なバージョン1.5.7へのアップデートが推奨される。

HOT TOPICS

新着順
ITニュース
イベント・セミナー
カテゴリ別
タキヒヨーのサステナブル素材を活用したグラニフとMUSTARD HOTELのコラボ商品が発売、環境配慮型の新たな価値創造へ
  • XEXEQ編集部
  • XEXEQ編集部
タナベコンサルティングが経営支援EXPOに出展、ナンバーワンブランド実現に向けたサービス展開へ
  • XEXEQ編集部
  • XEXEQ編集部
AkamaiがIDC MarketScapeのWAAP評価でリーダーに選出、包括的なセキュリティソリューションの提供が高評価
  • XEXEQ編集部
  • XEXEQ編集部
TEGがRED°ブランドのWeb3プロジェクトを開始、TONブロックチェーンを活用したエンターテインメントエコシステムの構築へ
  • XEXEQ編集部
  • XEXEQ編集部
Qiita Conferenceが過去最多の参加申込みを記録、18名の登壇者による技術セッションで満足度8.13を達成
  • XEXEQ編集部
  • XEXEQ編集部
株式会社SJOYが洋服専用自動圧縮機でJETRO女性起業家コースに採択、シリコンバレーでの事業拡大へ
  • XEXEQ編集部
  • XEXEQ編集部
STYZがインクルーシブデザインセミナーを12月に開催、多様な人々との共創による商品開発手法を紹介
  • XEXEQ編集部
  • XEXEQ編集部
AEA2024で廃棄物処理技術のEntomal Biotechが優勝、柏の葉スマートシティでの実証機会を提供
  • XEXEQ編集部
  • XEXEQ編集部
DPI日本会議が第13回障害者政策討論集会を開催、優生思想の根絶とインクルーシブ社会の実現へ向けた取り組みを議論
  • XEXEQ編集部
  • XEXEQ編集部
Welcome JapanがGISC発足シンポジウムを開催、難民DX人材の育成と就労支援で社会貢献を推進
  • XEXEQ編集部
  • XEXEQ編集部
TP-LinkがスマートセンサーキットTapo T30 KITを発売、工具不要で簡単にスマートホームセキュリティを実現
  • XEXEQ編集部
  • XEXEQ編集部
サイバー・バズとRiskMillが景表法対策ウェビナーを開催、12月に業界別4回の無料セミナーで実践知識を提供
  • XEXEQ編集部
  • XEXEQ編集部
ビッグイシュー日本がBIO DAOのトークン発行を開始、若年層の取り込みとコミュニティ形成で持続可能な運営体制を構築へ
  • XEXEQ編集部
  • XEXEQ編集部
GIGABYTEがQHD解像度の27インチゲーミングモニターM27QA ICEを発売、応答速度1msと180Hzで快適なゲームプレイを実現
  • XEXEQ編集部
  • XEXEQ編集部
seven x seven ISHIGAKIのAlan Walker特別公演にDAISHI DANCEとSHUZOの出演が決定、宿泊者限定イベントとして話題に
  • XEXEQ編集部
  • XEXEQ編集部
日立グローバルライフソリューションズが新型スティッククリーナーを発表、3方向ライトとAR機能で掃除がより簡単に
  • XEXEQ編集部
  • XEXEQ編集部
テラスマイルが北海道スマート農業SUMMITで農業DX化ノウハウと事例を紹介、RightARMによるデータ活用で経営効率化を促進
  • XEXEQ編集部
  • XEXEQ編集部
日本旅行がバンコクのトンロー日本市場に日本の地域観光資源発信拠点を開設、タイからの訪日誘客を強化
  • XEXEQ編集部
  • XEXEQ編集部
インフキュリオンがビジネス決済総合調査2024を実施、半数以上の事業者で紙の請求書が主流に
  • XEXEQ編集部
  • XEXEQ編集部
データワイズがDWAMに居住者/勤務者/来街者判定距離の個別設定機能を追加、施設特性に応じた柔軟な来訪者分析が可能に
  • XEXEQ編集部
  • XEXEQ編集部
WACULのAIアナリストがGA4対応の経由ページ分析機能をベータ版リリース、サイト回遊分析でCVR向上を実現
  • XEXEQ編集部
  • XEXEQ編集部
いいオフィスが福岡に新コワーキングスペースをオープン、アール・エフ・ヤマカワの家具を活用した快適な空間を提供
  • XEXEQ編集部
  • XEXEQ編集部
スペースシードホールディングスがロンジェビティーフォーラムに参加、エクソソーム療法と発酵技術の統合的アプローチを提案
  • XEXEQ編集部
  • XEXEQ編集部
HashPortがEXPO2025デジタルウォレットを国外展開、JNTOが水墨画NFTを活用した観光プロモーションを開始
  • XEXEQ編集部
  • XEXEQ編集部
パナソニックがDRIVEBOSS(TM) LPガスの新機能を追加、配送時間帯指定と写真アップロードで業務効率化を実現
  • XEXEQ編集部
  • XEXEQ編集部
RAYARD MIYASHITA PARKでLYとのコラボイベントを開催、モンスターLUVが館内各所に出現しホリデー気分を演出
  • XEXEQ編集部
  • XEXEQ編集部
マッシュグループ運営の9サイトにZETA VOICEを導入、レビュー機能強化でユーザビリティ向上へ
  • XEXEQ編集部
  • XEXEQ編集部
STYLYがAI活用のApple Vision Pro向けコンテンツ開発カリキュラムを11校に提供、次世代XRクリエイターの育成を本格化
  • XEXEQ編集部
  • XEXEQ編集部
リプロネクストが児童養護施設の子どもたちの絵画展をメタバースで開催、視聴回数に応じた寄付も実施へ
  • XEXEQ編集部
  • XEXEQ編集部
サイバージムジャパンが金融機関向けセキュリティトレーニングを開始、APT攻撃対応力の向上を目指す
  • XEXEQ編集部
  • XEXEQ編集部
すべての最新情報を見る
ITニュースの最新情報を見る
イベント・セミナーの最新情報を見る

#AI

#SEO

#SNS

#広告

#デザイン

#コンピュータ

#セキュリティ

#プログラミング

#ビジネススキル

#マーケティング

#経営

#経済

#資格

#職業

#職種

#心理学

#ブロックチェーン

#IoT

#インターネット

#VR

#AR

#MR

#ソフトウェア

#ハードウェア

#ゲーム

#DX