Tech Insights

【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...

2024年11月13日

MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。

【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...

2024年11月13日

MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。

【CVE-2024-38204】Microsoft Azure FunctionsでImagi...

2024年11月13日

MicrosoftはImagine Cup Siteにおいて深刻な情報漏洩の脆弱性を発見した。CVE-2024-38204として識別されたこの脆弱性は、認可された攻撃者がネットワーク経由で権限を昇格させることを可能にする。CVSSスコア7.5を記録し、攻撃の自動化も可能なため、早急な対策が求められている。

【CVE-2024-38204】Microsoft Azure FunctionsでImagi...

2024年11月13日

MicrosoftはImagine Cup Siteにおいて深刻な情報漏洩の脆弱性を発見した。CVE-2024-38204として識別されたこの脆弱性は、認可された攻撃者がネットワーク経由で権限を昇格させることを可能にする。CVSSスコア7.5を記録し、攻撃の自動化も可能なため、早急な対策が求められている。

【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻...

2024年11月13日

WordPress用プラグインMega Elementsの1.2.6以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、攻撃の難易度は低いとされている。Kraftplugins社は迅速に対応し、バージョン1.2.7で修正を完了。ユーザーには最新バージョンへのアップデートが推奨される。

【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻...

2024年11月13日

WordPress用プラグインMega Elementsの1.2.6以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、攻撃の難易度は低いとされている。Kraftplugins社は迅速に対応し、バージョン1.2.7で修正を完了。ユーザーには最新バージョンへのアップデートが推奨される。

デジタルアート制作会社C&が展示会向け新作コンテンツを制作、LEDビジョンと液晶モニターで革新...

2024年11月13日

デジタルアート制作会社C&が2024年10月から11月にかけて、展示会向けの新作デジタルコンテンツを多数制作している。横5m×高さ3mの大型LEDビジョンによる映像演出や、4台の液晶モニターを連動させた花の展示台、タッチパネル式の情報閲覧システムなど、革新的な演出を提供。機材手配から映像制作まで一貫して担当し、製品の魅力を最大限に引き出す空間づくりを実現した。

デジタルアート制作会社C&が展示会向け新作コンテンツを制作、LEDビジョンと液晶モニターで革新...

2024年11月13日

デジタルアート制作会社C&が2024年10月から11月にかけて、展示会向けの新作デジタルコンテンツを多数制作している。横5m×高さ3mの大型LEDビジョンによる映像演出や、4台の液晶モニターを連動させた花の展示台、タッチパネル式の情報閲覧システムなど、革新的な演出を提供。機材手配から映像制作まで一貫して担当し、製品の魅力を最大限に引き出す空間づくりを実現した。

エレクターが再加熱ワゴンマルチサーブを発表、高齢者施設での業務効率化とサービス品質向上を実現へ

2024年11月13日

エレクター株式会社が2024年12月4日から5日に開催される「CareTEX名古屋 '24」にて、新商品の再加熱ワゴン「マルチサーブ」を展示する。クックチル・ニュークックチル食品の保冷から自動再加熱までを一台で実現し、対面での盛り付けによるコミュニケーション向上も可能。給排水設備不要で導入がスムーズな点も特徴で、高齢者・福祉施設における人手不足の解消とサービス向上の両立を目指す。

エレクターが再加熱ワゴンマルチサーブを発表、高齢者施設での業務効率化とサービス品質向上を実現へ

2024年11月13日

エレクター株式会社が2024年12月4日から5日に開催される「CareTEX名古屋 '24」にて、新商品の再加熱ワゴン「マルチサーブ」を展示する。クックチル・ニュークックチル食品の保冷から自動再加熱までを一台で実現し、対面での盛り付けによるコミュニケーション向上も可能。給排水設備不要で導入がスムーズな点も特徴で、高齢者・福祉施設における人手不足の解消とサービス向上の両立を目指す。

Vast DataがAIコミュニティCosmosを設立、NVIDIAやxAIなど主要企業が参画...

2024年11月13日

Vast DataはAIの実践者による、AIの実践者のためのコミュニティCosmosを2024年11月12日に設立した。NVIDIA、xAI、Supermicro、Deloitte、WWT、Cisco、CoreWeave、Core42などの主要企業が初期メンバーとして参加し、AIの導入簡素化とデータ駆動型イノベーションの促進を目指す。日本市場でも積極的な展開を予定している。

Vast DataがAIコミュニティCosmosを設立、NVIDIAやxAIなど主要企業が参画...

2024年11月13日

Vast DataはAIの実践者による、AIの実践者のためのコミュニティCosmosを2024年11月12日に設立した。NVIDIA、xAI、Supermicro、Deloitte、WWT、Cisco、CoreWeave、Core42などの主要企業が初期メンバーとして参加し、AIの導入簡素化とデータ駆動型イノベーションの促進を目指す。日本市場でも積極的な展開を予定している。

ユーティルが中小企業向けホームページできるくんをリリース、月額2,980円から高品質なホームペ...

2024年11月13日

株式会社ユーティルは月額2,980円から高品質なホームページを制作できる「ホームページできるくん」をリリースした。スマホ対応やSNS連携、予約機能などを搭載し、プロのWeb制作会社と共同開発したデザインワークフローにより高品質なデザインを実現。さらに中小企業向けのBPaaS事業を本格展開し、デジタルマーケティングやバックオフィス業務まで支援を拡大していく方針だ。

ユーティルが中小企業向けホームページできるくんをリリース、月額2,980円から高品質なホームペ...

2024年11月13日

株式会社ユーティルは月額2,980円から高品質なホームページを制作できる「ホームページできるくん」をリリースした。スマホ対応やSNS連携、予約機能などを搭載し、プロのWeb制作会社と共同開発したデザインワークフローにより高品質なデザインを実現。さらに中小企業向けのBPaaS事業を本格展開し、デジタルマーケティングやバックオフィス業務まで支援を拡大していく方針だ。

エスラボがIT営業特化型SFA/CRM wisefocusをリリース、AIによる営業業務の効率...

2024年11月13日

株式会社エスラボが2024年11月11日、IT営業に特化したSFA/CRM「wisefocus」をリリースした。AIによるメール情報の自動抽出や顧客情報の一元管理、市況データの自動分析など、営業業務を効率化する機能を搭載。給与明細や請求書作成も自動化され、営業プロセスにおける業務時間を最大80%削減することが可能となった。SES事業の売上および規模の拡大に貢献するツールとして期待される。

エスラボがIT営業特化型SFA/CRM wisefocusをリリース、AIによる営業業務の効率...

2024年11月13日

株式会社エスラボが2024年11月11日、IT営業に特化したSFA/CRM「wisefocus」をリリースした。AIによるメール情報の自動抽出や顧客情報の一元管理、市況データの自動分析など、営業業務を効率化する機能を搭載。給与明細や請求書作成も自動化され、営業プロセスにおける業務時間を最大80%削減することが可能となった。SES事業の売上および規模の拡大に貢献するツールとして期待される。

インテリジェントウェイブが量子ハードウェアQaptiva 800を発表、大容量メモリ搭載で量...

2024年11月13日

インテリジェントウェイブは第5回量子コンピューティングEXPO秋にて、2～32TBの大容量メモリを搭載した量子ハードウェアQaptiva 800を出展する。量子プログラミング環境とシミュレーターを備えた開発環境として、アルゴリズムと量子アプリケーションの開発、改善、実験のためのフルスタックコンピューティング機能を提供。量子コンピューティングの実用化に向けた研究開発を加速する。

インテリジェントウェイブが量子ハードウェアQaptiva 800を発表、大容量メモリ搭載で量...

2024年11月13日

インテリジェントウェイブは第5回量子コンピューティングEXPO秋にて、2～32TBの大容量メモリを搭載した量子ハードウェアQaptiva 800を出展する。量子プログラミング環境とシミュレーターを備えた開発環境として、アルゴリズムと量子アプリケーションの開発、改善、実験のためのフルスタックコンピューティング機能を提供。量子コンピューティングの実用化に向けた研究開発を加速する。

ピープルドットがAI・データサイエンス分野でスタートアップ支援プラットフォームを開始、日本のシ...

2024年11月13日

株式会社ピープルドットが、AI・データサイエンス分野における日本のシリコンバレー創出を目指し、新プラットフォーム「AI & データサイエンス・アントレプレナー・ステーション」を開始。データサイエンス・ビジネススクールdatamixの卒業生コミュニティを活用し、集合知による新規事業創出を支援する。活動費やMVP制作費の提供など、具体的な支援体制も整備。

ピープルドットがAI・データサイエンス分野でスタートアップ支援プラットフォームを開始、日本のシ...

2024年11月13日

株式会社ピープルドットが、AI・データサイエンス分野における日本のシリコンバレー創出を目指し、新プラットフォーム「AI & データサイエンス・アントレプレナー・ステーション」を開始。データサイエンス・ビジネススクールdatamixの卒業生コミュニティを活用し、集合知による新規事業創出を支援する。活動費やMVP制作費の提供など、具体的な支援体制も整備。

フォレスト出版が消費者心理分析の新メソッドを公開、2万人のインタビューから導き出した5つの原則...

2024年11月13日

フォレスト出版株式会社は新刊『「消費者ニーズ」の解像度を高める』を2024年11月10日より発売開始する。著者の犬飼江梨子氏が2万人以上のインタビューから確立した「ニーズ・ファインディング・メソッド」を紹介し、5つの原則から成る実践的な手法で消費者の深層心理にアプローチ。マーケティング初心者からプロまで幅広い読者層に向けて、体系的な戦略構築の方法を提供するものだ。

フォレスト出版が消費者心理分析の新メソッドを公開、2万人のインタビューから導き出した5つの原則...

2024年11月13日

フォレスト出版株式会社は新刊『「消費者ニーズ」の解像度を高める』を2024年11月10日より発売開始する。著者の犬飼江梨子氏が2万人以上のインタビューから確立した「ニーズ・ファインディング・メソッド」を紹介し、5つの原則から成る実践的な手法で消費者の深層心理にアプローチ。マーケティング初心者からプロまで幅広い読者層に向けて、体系的な戦略構築の方法を提供するものだ。

GFLOPSがAskDona GPTでClaude 3.5 Haikuに対応、法人向け生成AI...

2024年11月13日

株式会社GFLOPSは法人向けChatGPT活用プラットフォームAskDonaのAskDona GPTにおいて、Anthropic社の生成AI Claude 3.5 Haikuの提供を開始した。高度なコーディング能力と推論能力を備えた最新のLLMを導入することで、企業の生成AI活用における選択肢を拡大。セキュリティに配慮した法人向け環境で、ChatGPTやGeminiと併せて目的に応じた最適なAI活用を実現する。

GFLOPSがAskDona GPTでClaude 3.5 Haikuに対応、法人向け生成AI...

2024年11月13日

株式会社GFLOPSは法人向けChatGPT活用プラットフォームAskDonaのAskDona GPTにおいて、Anthropic社の生成AI Claude 3.5 Haikuの提供を開始した。高度なコーディング能力と推論能力を備えた最新のLLMを導入することで、企業の生成AI活用における選択肢を拡大。セキュリティに配慮した法人向け環境で、ChatGPTやGeminiと併せて目的に応じた最適なAI活用を実現する。

イージーソフトがハーモス経費をEXPOに出展、ハーモス勤怠との連携で業務効率化を促進

2024年11月13日

イージーソフト株式会社が第9回[関西]会計・財務EXPOにハーモス経費を出展する。2024年11月20日から22日までインテックス大阪で開催され、ビズリーチのハーモス勤怠と同時出展することで、経費精算と勤怠管理の連携による業務効率化を提案。豊富な機能と充実のサポート、おてごろな価格を特長とし、電子帳簿保存法とインボイス制度に完全対応している。

イージーソフトがハーモス経費をEXPOに出展、ハーモス勤怠との連携で業務効率化を促進

2024年11月13日

イージーソフト株式会社が第9回[関西]会計・財務EXPOにハーモス経費を出展する。2024年11月20日から22日までインテックス大阪で開催され、ビズリーチのハーモス勤怠と同時出展することで、経費精算と勤怠管理の連携による業務効率化を提案。豊富な機能と充実のサポート、おてごろな価格を特長とし、電子帳簿保存法とインボイス制度に完全対応している。

INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万...

2024年11月13日

INSTANTROOM株式会社が運営するフリーランスボードが2024年11月の市場動向を発表。17万件以上の案件を分析した結果、フリーランスエンジニアの月額平均単価は72.1万円で、最高単価は320万円を記録。開発言語別ではRustが82.9万円で最高額となり、フレームワークではRSpecが86.4万円を記録。リモートワーク比率は87.3%に達し、柔軟な働き方が浸透している。

INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万...

2024年11月13日

INSTANTROOM株式会社が運営するフリーランスボードが2024年11月の市場動向を発表。17万件以上の案件を分析した結果、フリーランスエンジニアの月額平均単価は72.1万円で、最高単価は320万円を記録。開発言語別ではRustが82.9万円で最高額となり、フレームワークではRSpecが86.4万円を記録。リモートワーク比率は87.3%に達し、柔軟な働き方が浸透している。

大東建託の賃貸未来研究所が長久手市でフィールドワークを実施、デザイン思考を活用した持続可能な街...

2024年11月13日

大東建託株式会社の賃貸未来研究所は2024年11月8日、街の未来を考えるシリーズセミナー第3回として長久手市の職員とフィールドワークを実施した。デザイン思考と行動観察の講義後、市内の観光スポットや公園、大型商業施設などを徒歩やリニモで巡り、各所で行動観察を行った。参加した長久手市職員9名と日進市職員3名は、ワールドカフェ形式で気づきを共有し、今後の施策について議論を深めた。

大東建託の賃貸未来研究所が長久手市でフィールドワークを実施、デザイン思考を活用した持続可能な街...

2024年11月13日

大東建託株式会社の賃貸未来研究所は2024年11月8日、街の未来を考えるシリーズセミナー第3回として長久手市の職員とフィールドワークを実施した。デザイン思考と行動観察の講義後、市内の観光スポットや公園、大型商業施設などを徒歩やリニモで巡り、各所で行動観察を行った。参加した長久手市職員9名と日進市職員3名は、ワールドカフェ形式で気づきを共有し、今後の施策について議論を深めた。

イースマイルがLINEチャットサービスを開始、24時間365日の水道トラブル解決体制を強化

2024年11月13日

株式会社イースマイルはLINE公式アカウント「町の水道屋さんイースマイル」を開設し、チャットボットを活用した問い合わせ対応を2024年11月1日より開始した。北海道から鹿児島まで全国展開する水道メンテナンス・リフォーム事業において、最短20分での駆けつけ対応と年中無休のオペレーターサービスを提供し、顧客満足度の向上を目指す。

イースマイルがLINEチャットサービスを開始、24時間365日の水道トラブル解決体制を強化

2024年11月13日

株式会社イースマイルはLINE公式アカウント「町の水道屋さんイースマイル」を開設し、チャットボットを活用した問い合わせ対応を2024年11月1日より開始した。北海道から鹿児島まで全国展開する水道メンテナンス・リフォーム事業において、最短20分での駆けつけ対応と年中無休のオペレーターサービスを提供し、顧客満足度の向上を目指す。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

2024年11月13日

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5（MEDIUM）と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

2024年11月13日

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5（MEDIUM）と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-50496】AR For WordPressプラグインに深刻な脆弱性、We...

2024年11月13日

WordPressプラグイン「AR For WordPress」にファイルアップロードの脆弱性が発見された。CVE-2024-50496として識別されたこの問題は、攻撃者によるWeb Shellのアップロードを可能にし、CVSSスコア10.0の最も深刻なレベルに分類される。バージョン6.2までの全バージョンが影響を受け、特別な権限なしで攻撃が可能な状態となっている。

【CVE-2024-50496】AR For WordPressプラグインに深刻な脆弱性、We...

2024年11月13日

WordPressプラグイン「AR For WordPress」にファイルアップロードの脆弱性が発見された。CVE-2024-50496として識別されたこの問題は、攻撃者によるWeb Shellのアップロードを可能にし、CVSSスコア10.0の最も深刻なレベルに分類される。バージョン6.2までの全バージョンが影響を受け、特別な権限なしで攻撃が可能な状態となっている。

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...

2024年11月13日

WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...

2024年11月13日

WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。

【CVE-2024-50440】WordPress用プラグインCodePen Embedded...

2024年11月13日

Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング（XSS）の脆弱性が存在することが判明した。CVSSスコアは6.5（中）で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。

【CVE-2024-50440】WordPress用プラグインCodePen Embedded...

2024年11月13日

Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング（XSS）の脆弱性が存在することが判明した。CVSSスコアは6.5（中）で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。

【CVE-2024-50448】YITH WooCommerce Product Add-On...

2024年11月13日

YITH WooCommerce Product Add-Onsのバージョン4.14.1以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1の高リスクと評価されており、攻撃者はネットワークを介して特権なしで攻撃を実行可能。YITHは修正パッチを含むバージョン4.14.2をリリースしており、影響を受ける可能性のあるユーザーには直ちにアップデートが推奨される。

【CVE-2024-50448】YITH WooCommerce Product Add-On...

2024年11月13日

YITH WooCommerce Product Add-Onsのバージョン4.14.1以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1の高リスクと評価されており、攻撃者はネットワークを介して特権なしで攻撃を実行可能。YITHは修正パッチを含むバージョン4.14.2をリリースしており、影響を受ける可能性のあるユーザーには直ちにアップデートが推奨される。

【CVE-2024-50445】WordPress Selection Lite 1.13にX...

2024年11月13日

WordPress用プラグインSelection Liteにおいて、バージョン1.13以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、特権ユーザーによる攻撃が可能な状態。開発元のMerkulove社はバージョン1.14で修正を実施しており、影響を受けるユーザーには速やかなアップデートを推奨している。

【CVE-2024-50445】WordPress Selection Lite 1.13にX...

2024年11月13日

WordPress用プラグインSelection Liteにおいて、バージョン1.13以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、特権ユーザーによる攻撃が可能な状態。開発元のMerkulove社はバージョン1.14で修正を実施しており、影響を受けるユーザーには速やかなアップデートを推奨している。

【CVE-2024-50439】WordPress用プラグインAstra Widgets 1....

2024年11月13日

WordPressプラグインAstra Widgetsにおいて格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-50439として識別されたこの脆弱性は、バージョン1.2.14以前に影響を与え、CVSSスコア6.5の中程度の深刻度と評価されている。修正版となるバージョン1.2.15がリリースされており、早急なアップデートが推奨される。

【CVE-2024-50439】WordPress用プラグインAstra Widgets 1....

2024年11月13日

WordPressプラグインAstra Widgetsにおいて格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-50439として識別されたこの脆弱性は、バージョン1.2.14以前に影響を与え、CVSSスコア6.5の中程度の深刻度と評価されている。修正版となるバージョン1.2.15がリリースされており、早急なアップデートが推奨される。

【CVE-2024-50446】WordPressプラグインFuturio Extraにストア...

2024年11月13日

WordPressプラグインFuturio Extraにおいて、Webページ生成時の入力の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-50446】として識別され、CVSS v3.1で深刻度6.5（中程度）と評価されている。バージョン2.0.11以前のユーザーには、修正版となる2.0.12へのアップデートが推奨される。

【CVE-2024-50446】WordPressプラグインFuturio Extraにストア...

2024年11月13日

WordPressプラグインFuturio Extraにおいて、Webページ生成時の入力の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-50446】として識別され、CVSS v3.1で深刻度6.5（中程度）と評価されている。バージョン2.0.11以前のユーザーには、修正版となる2.0.12へのアップデートが推奨される。

【CVE-2024-50334】Scooldに認証バイパスの脆弱性、設定データへの不正アクセス...

2024年11月13日

Q&Aプラットフォームのscooldにおいて、/api;/configエンドポイントでセミコロンパス注入の脆弱性が発見された。URLにセミコロンを追加することで認証をバイパスし、HOCONファイルインクルージョンを介して設定ファイルなどの機密情報を取得可能。Scoold 1.64.0で修正済みだが、それ以前のバージョンではAPIの無効化による対応が必要となる。

【CVE-2024-50334】Scooldに認証バイパスの脆弱性、設定データへの不正アクセス...

2024年11月13日

Q&Aプラットフォームのscooldにおいて、/api;/configエンドポイントでセミコロンパス注入の脆弱性が発見された。URLにセミコロンを追加することで認証をバイパスし、HOCONファイルインクルージョンを介して設定ファイルなどの機密情報を取得可能。Scoold 1.64.0で修正済みだが、それ以前のバージョンではAPIの無効化による対応が必要となる。

【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロー...

2024年11月13日

WordPressプラグインFileOrganizerの1.0.9以前のバージョンにおいて、認証済みユーザー（Subscriber以上）が悪用可能な任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVSS基本スコア7.5と評価される重要な問題であり、リモートコード実行の可能性を含む。FileOrganizer Proプラグインがインストールされアクティブな状態である必要があるものの、早急な対応が求められる。

【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロー...

2024年11月13日

WordPressプラグインFileOrganizerの1.0.9以前のバージョンにおいて、認証済みユーザー（Subscriber以上）が悪用可能な任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVSS基本スコア7.5と評価される重要な問題であり、リモートコード実行の可能性を含む。FileOrganizer Proプラグインがインストールされアクティブな状態である必要があるものの、早急な対応が求められる。

【CVE-2024-49679】WPKoi Templates for Elementorにク...

2024年11月13日

WordPressのプラグインWPKoi Templates for Elementorにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-49679として識別されるこの脆弱性は、バージョン3.1.0以前に影響を与え、CVSSスコア5.9と評価される。高い権限を持つユーザーのみが影響を受けるが、攻撃が成功すると重大な被害につながる可能性があるため、バージョン3.1.1への早急なアップデートが推奨される。

【CVE-2024-49679】WPKoi Templates for Elementorにク...

2024年11月13日

WordPressのプラグインWPKoi Templates for Elementorにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-49679として識別されるこの脆弱性は、バージョン3.1.0以前に影響を与え、CVSSスコア5.9と評価される。高い権限を持つユーザーのみが影響を受けるが、攻撃が成功すると重大な被害につながる可能性があるため、バージョン3.1.1への早急なアップデートが推奨される。

【CVE-2024-49672】WordPress Google Docs RSVPプラグイン...

2024年11月13日

WordPress用プラグイン「Google Docs RSVP」にクロスサイトリクエストフォージェリ（CSRF）の脆弱性が発見された。バージョン2.0.1以前が影響を受け、CVSSスコアは7.1（High）と評価されている。この脆弱性は悪用されるとストアドXSSにつながる可能性があり、早急なアップデートが推奨される。Patchstack Allianceに所属するSOPROBROによって発見され、対策として最新版への更新が必要とされている。

【CVE-2024-49672】WordPress Google Docs RSVPプラグイン...

2024年11月13日

WordPress用プラグイン「Google Docs RSVP」にクロスサイトリクエストフォージェリ（CSRF）の脆弱性が発見された。バージョン2.0.1以前が影響を受け、CVSSスコアは7.1（High）と評価されている。この脆弱性は悪用されるとストアドXSSにつながる可能性があり、早急なアップデートが推奨される。Patchstack Allianceに所属するSOPROBROによって発見され、対策として最新版への更新が必要とされている。

【CVE-2024-46872】Mattermostの複数バージョンにCSRF脆弱性、Play...

2024年11月13日

Mattermost社が複数バージョンに影響を与えるセキュリティ脆弱性を公開した。Playbooks機能においてフロントエンドでのユーザー入力の検証が不適切であり、クライアントサイドパストラバーサルによってCSRFを引き起こす可能性が判明。影響を受けるバージョンは9.10.x、9.11.x、9.5.x系列の特定バージョンで、CVSSスコアは4.6（MEDIUM）と評価されている。早急なアップデートが推奨される。

【CVE-2024-46872】Mattermostの複数バージョンにCSRF脆弱性、Play...

2024年11月13日

Mattermost社が複数バージョンに影響を与えるセキュリティ脆弱性を公開した。Playbooks機能においてフロントエンドでのユーザー入力の検証が不適切であり、クライアントサイドパストラバーサルによってCSRFを引き起こす可能性が判明。影響を受けるバージョンは9.10.x、9.11.x、9.5.x系列の特定バージョンで、CVSSスコアは4.6（MEDIUM）と評価されている。早急なアップデートが推奨される。

【CVE-2024-51567】CyberPanelに認証回避の脆弱性、PSAUXによる大規模...

2024年11月13日

CyberPanelのデータベース関連機能で認証回避とコマンド実行が可能な重大な脆弱性が発見された。この脆弱性はPOSTリクエスト用のsecMiddlewareを迂回し、statusfileプロパティでシェルメタ文字を使用することで攻撃が可能となる。PSAUXによる攻撃では22,000以上のインスタンスが標的となり、バージョン2.3.6以前と未パッチの2.3.7が影響を受ける。

【CVE-2024-51567】CyberPanelに認証回避の脆弱性、PSAUXによる大規模...

2024年11月13日

CyberPanelのデータベース関連機能で認証回避とコマンド実行が可能な重大な脆弱性が発見された。この脆弱性はPOSTリクエスト用のsecMiddlewareを迂回し、statusfileプロパティでシェルメタ文字を使用することで攻撃が可能となる。PSAUXによる攻撃では22,000以上のインスタンスが標的となり、バージョン2.3.6以前と未パッチの2.3.7が影響を受ける。