Tech Insights

【CVE-2024-44019】Contact Form 7 Campaign Monitor Extension 0.4.67以下でファイル削除の脆弱性が発見、認証機能の不備により重要機能へのアクセ

【CVE-2024-44019】Contact Form 7 Campaign Monitor...

WordPressプラグインContact Form 7 Campaign Monitor Extensionのバージョン0.4.67以下において、認証機能の不備による脆弱性が発見された。CVE-2024-44019として識別されるこの脆弱性は、Missing Authorization(CWE-862)に分類され、CVSSスコア5.3のMedium評価となっている。この問題により未認証のユーザーが任意のファイル削除機能にアクセス可能となり、早急な対応が必要とされている。

【CVE-2024-44019】Contact Form 7 Campaign Monitor...

WordPressプラグインContact Form 7 Campaign Monitor Extensionのバージョン0.4.67以下において、認証機能の不備による脆弱性が発見された。CVE-2024-44019として識別されるこの脆弱性は、Missing Authorization(CWE-862)に分類され、CVSSスコア5.3のMedium評価となっている。この問題により未認証のユーザーが任意のファイル削除機能にアクセス可能となり、早急な対応が必要とされている。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御の脆弱性、バージョン1.0.10以前のユーザーに影響

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト(ACL)による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト(ACL)による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格の危険性に対処

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度(4.3)と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度(4.3)と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の脆弱性が発見、速やかなアップデートを推奨

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の...

WordPressプラグインJoomSport 5.6.3以前のバージョンにおいて、アクセス制御の設定不備による脆弱性が発見された。CVE-2024-44031として識別されたこの問題は、CVSSスコア4.3のミディアムレベルの脆弱性であり、認証されたユーザーによる情報改ざんの可能性が指摘されている。開発元のBearDevは修正版となるバージョン5.6.4をリリースし、ユーザーに対して早急なアップデートを呼びかけている。

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の...

WordPressプラグインJoomSport 5.6.3以前のバージョンにおいて、アクセス制御の設定不備による脆弱性が発見された。CVE-2024-44031として識別されたこの問題は、CVSSスコア4.3のミディアムレベルの脆弱性であり、認証されたユーザーによる情報改ざんの可能性が指摘されている。開発元のBearDevは修正版となるバージョン5.6.4をリリースし、ユーザーに対して早急なアップデートを呼びかけている。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3.70に認証の脆弱性、アクセス制御の設定不備により権限昇格の可能性

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証の脆弱性、アクセス制御の設定ミスによるセキュリティリスクが発生

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な認証脆弱性が発見、中程度の深刻度でセキュリティリスクに警鐘

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な...

Patchstack OÜがWordPressプラグイン「WP Free SSL」のバージョン1.2.6以前に認証の脆弱性が存在することを報告した。CVE-2024-44020として識別されるこの脆弱性は、CWE-862に分類される認可制御の不備が原因で、CVSSスコア4.3の中程度の深刻度を記録している。SSL証明書の管理やHTTPS強制設定に関する機能に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な...

Patchstack OÜがWordPressプラグイン「WP Free SSL」のバージョン1.2.6以前に認証の脆弱性が存在することを報告した。CVE-2024-44020として識別されるこの脆弱性は、CWE-862に分類される認可制御の不備が原因で、CVSSスコア4.3の中程度の深刻度を記録している。SSL証明書の管理やHTTPS強制設定に関する機能に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイパスの脆弱性が発見、アクセス制御機能の強化版をリリース

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイ...

WebsiteinWP社が提供するWordPressテーマBlogpoet 1.0.3およびそれ以前のバージョンにおいて認証バイパスの脆弱性が発見された。CVE-2024-43998として識別されるこの脆弱性は、CVSSv3.1で6.5のミディアムレベルと評価されており、アクセス制御の欠如により正規の認証プロセスをバイパスされる可能性がある。対策としてバージョン1.0.4への更新が推奨される。

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイ...

WebsiteinWP社が提供するWordPressテーマBlogpoet 1.0.3およびそれ以前のバージョンにおいて認証バイパスの脆弱性が発見された。CVE-2024-43998として識別されるこの脆弱性は、CVSSv3.1で6.5のミディアムレベルと評価されており、アクセス制御の欠如により正規の認証プロセスをバイパスされる可能性がある。対策としてバージョン1.0.4への更新が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10にアクセス制御の脆弱性、認可の欠如による影響に注意

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアクセス制御の脆弱性、情報漏洩のリスクに対応急ぐ

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-8934】BeckhoffのTwinCAT Package Managerにコマンドインジェクションの脆弱性、管理者権限で悪用の可能性

【CVE-2024-8934】BeckhoffのTwinCAT Package Manager...

BeckhoffのTwinCAT Package Managerにおいて、管理者権限を持つローカルユーザーがUIを通じて特別に細工された値を入力することで、任意のOSコマンドが実行可能となる脆弱性が発見された。CVE-2024-8934として識別されるこの脆弱性は、バージョン1.0.603.0未満のすべてのバージョンに影響を及ぼし、CVSSスコア6.5のミディアムレベルと評価されている。

【CVE-2024-8934】BeckhoffのTwinCAT Package Manager...

BeckhoffのTwinCAT Package Managerにおいて、管理者権限を持つローカルユーザーがUIを通じて特別に細工された値を入力することで、任意のOSコマンドが実行可能となる脆弱性が発見された。CVE-2024-8934として識別されるこの脆弱性は、バージョン1.0.603.0未満のすべてのバージョンに影響を及ぼし、CVSSスコア6.5のミディアムレベルと評価されている。

ApplyNowがEPGと業務提携、24/7面接プラットフォームInterview Cloudの販路拡大で外食業界の採用課題解決へ

ApplyNowがEPGと業務提携、24/7面接プラットフォームInterview Cloud...

株式会社ApplyNowは株式会社EPGと業務提携を開始し、24/7面接プラットフォームInterview Cloudの販路拡大を目指す。Interview Cloudはクラウド技術とプロ面接官による面接代行を組み合わせたBPaaSで、応募から最短30分での面接実施を可能にする。EPG社の強力なネットワークとリソースを活用し、外食産業における人材採用課題の解決を加速させる。

ApplyNowがEPGと業務提携、24/7面接プラットフォームInterview Cloud...

株式会社ApplyNowは株式会社EPGと業務提携を開始し、24/7面接プラットフォームInterview Cloudの販路拡大を目指す。Interview Cloudはクラウド技術とプロ面接官による面接代行を組み合わせたBPaaSで、応募から最短30分での面接実施を可能にする。EPG社の強力なネットワークとリソースを活用し、外食産業における人材採用課題の解決を加速させる。

AI CROSS社が個人投資家向けIRセミナーに登壇決定、経営方針と成長戦略の説明を実施へ

AI CROSS社が個人投資家向けIRセミナーに登壇決定、経営方針と成長戦略の説明を実施へ

AI CROSS株式会社は2024年11月24日開催のログミーファイナンス主催の個人投資家向けIRセミナーへの登壇を発表した。代表取締役CEO原田典子氏が登壇し、2024年12月期第3四半期決算の振り返りと今後の展望について説明を行う。Smart AI Engagement事業を展開する同社は、テクノロジーを活用した企業業務の効率化と多様な働き方の支援に注力している。

AI CROSS社が個人投資家向けIRセミナーに登壇決定、経営方針と成長戦略の説明を実施へ

AI CROSS株式会社は2024年11月24日開催のログミーファイナンス主催の個人投資家向けIRセミナーへの登壇を発表した。代表取締役CEO原田典子氏が登壇し、2024年12月期第3四半期決算の振り返りと今後の展望について説明を行う。Smart AI Engagement事業を展開する同社は、テクノロジーを活用した企業業務の効率化と多様な働き方の支援に注力している。

株式会社TWOが植物由来の新ゼロ系エナジードリンク2Energyを発売、カフェインフリーで新時代のビジネスパーソンをサポート

株式会社TWOが植物由来の新ゼロ系エナジードリンク2Energyを発売、カフェインフリーで新時...

株式会社TWOが展開する植物由来食品ブランド2foodsが、ゼロカフェイン・ゼロカロリー・ゼロシュガーの3つのゼロを実現した新エナジードリンク2Energyを発売。11月20日・21日開催のStartup JAPAN EXPOでサンプリングを実施し、カフェインの代替としてマンゴー葉由来のZynamiteを配合することで、新時代のビジネスパーソンの健康的な働き方をサポートする。

株式会社TWOが植物由来の新ゼロ系エナジードリンク2Energyを発売、カフェインフリーで新時...

株式会社TWOが展開する植物由来食品ブランド2foodsが、ゼロカフェイン・ゼロカロリー・ゼロシュガーの3つのゼロを実現した新エナジードリンク2Energyを発売。11月20日・21日開催のStartup JAPAN EXPOでサンプリングを実施し、カフェインの代替としてマンゴー葉由来のZynamiteを配合することで、新時代のビジネスパーソンの健康的な働き方をサポートする。

【CVE-2024-10687】Contest Gallery 24.0.3以前のバージョンでSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-10687】Contest Gallery 24.0.3以前のバージョンで...

WordPressプラグインContest Gallery 24.0.3以前のバージョンで認証不要のSQLインジェクション脆弱性が発見された。$collectedIdsパラメータのエスケープ処理不備により、既存のSQLクエリへの追加クエリ挿入が可能で、データベースからの機密情報抽出のリスクがある。CVSS評価は9.8のクリティカルで、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-10687】Contest Gallery 24.0.3以前のバージョンで...

WordPressプラグインContest Gallery 24.0.3以前のバージョンで認証不要のSQLインジェクション脆弱性が発見された。$collectedIdsパラメータのエスケープ処理不備により、既存のSQLクエリへの追加クエリ挿入が可能で、データベースからの機密情報抽出のリスクがある。CVSS評価は9.8のクリティカルで、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-9867】Element Pack Elementor Addonsに深刻な脆弱性、Contributor権限での任意スクリプト実行が可能に

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な更新が必要

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な...

SuiteCRMのプロフィール編集ページのPublish Keyフィールドに認証済みXSS脆弱性が発見された。この脆弱性により、攻撃者はCSRFトークンを窃取し管理者アカウントを不正に作成可能となる。影響を受けるバージョン7.14.6未満および8.0.0から8.7.1未満のユーザーは、セキュリティパッチの適用が推奨される。既知の回避策は存在せず、早急なアップデートが必要だ。

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な...

SuiteCRMのプロフィール編集ページのPublish Keyフィールドに認証済みXSS脆弱性が発見された。この脆弱性により、攻撃者はCSRFトークンを窃取し管理者アカウントを不正に作成可能となる。影響を受けるバージョン7.14.6未満および8.0.0から8.7.1未満のユーザーは、セキュリティパッチの適用が推奨される。既知の回避策は存在せず、早急なアップデートが必要だ。

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未認証での任意のショートコード実行が可能に

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未...

WordPressのイベントチケッティングプラグインTickeraにおいて、バージョン3.5.4.4以前に重大な脆弱性が発見された。CVE-2024-10263として識別されたこの脆弱性は、未認証の攻撃者が任意のショートコードを実行できる問題であり、CVSSスコア7.3の高い深刻度を記録。do_shortcode関数の実行前に適切な値の検証が行われていないことが原因で、早急なアップデートが推奨される。

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未...

WordPressのイベントチケッティングプラグインTickeraにおいて、バージョン3.5.4.4以前に重大な脆弱性が発見された。CVE-2024-10263として識別されたこの脆弱性は、未認証の攻撃者が任意のショートコードを実行できる問題であり、CVSSスコア7.3の高い深刻度を記録。do_shortcode関数の実行前に適切な値の検証が行われていないことが原因で、早急なアップデートが推奨される。

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆弱性が発見、認証なしでバックアップデータにアクセス可能に

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆...

WordPressプラグインのEverest Backupにおいて、バージョン2.2.13以前に深刻な情報漏洩の脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、認証なしでバックアップファイル名の取得とダウンロードが可能となる。プロセス統計ファイルの露出が原因で、サイト全体のセキュリティが脅かされる可能性がある。

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆...

WordPressプラグインのEverest Backupにおいて、バージョン2.2.13以前に深刻な情報漏洩の脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、認証なしでバックアップファイル名の取得とダウンロードが可能となる。プロセス統計ファイルの露出が原因で、サイト全体のセキュリティが脅かされる可能性がある。

【CVE-2024-9657】Element Pack Elementor Addons 5.10.2以前に認証済みXSS脆弱性が発見、深刻度は中程度と評価

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-9178】XT Floating Cart for WooCommerceに深刻なXSS脆弱性、Author権限で悪用の可能性

【CVE-2024-9178】XT Floating Cart for WooCommerce...

WordPressプラグインXT Floating Cart for WooCommerceのバージョン2.8.2以前にXSS脆弱性が発見された。CVSSスコア6.4を記録したこの脆弱性は、Author以上の権限を持つユーザーがSVGファイルを介して任意のスクリプトを実行可能。サイト訪問者へのスクリプト実行やセッションハイジャックなどの二次被害が懸念される。

【CVE-2024-9178】XT Floating Cart for WooCommerce...

WordPressプラグインXT Floating Cart for WooCommerceのバージョン2.8.2以前にXSS脆弱性が発見された。CVSSスコア6.4を記録したこの脆弱性は、Author以上の権限を持つユーザーがSVGファイルを介して任意のスクリプトを実行可能。サイト訪問者へのスクリプト実行やセッションハイジャックなどの二次被害が懸念される。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXSS脆弱性、管理者権限での任意スクリプト実行が可能に

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-9667】Seriously Simple Podcasting 3.5.0以前にXSS脆弱性、未認証攻撃者によるスクリプト実行の可能性

【CVE-2024-9667】Seriously Simple Podcasting 3.5....

WordPressプラグインSeriously Simple Podcasting 3.5.0以前のバージョンにReflected XSSの脆弱性が発見された。CVE-2024-9667として追跡されるこの脆弱性は、add_query_argパラメータの不適切なエスケープ処理に起因し、未認証の攻撃者が任意のWebスクリプトを実行可能。CVSS評価は6.1でMEDIUMレベルとされ、早急な対策が求められる。

【CVE-2024-9667】Seriously Simple Podcasting 3.5....

WordPressプラグインSeriously Simple Podcasting 3.5.0以前のバージョンにReflected XSSの脆弱性が発見された。CVE-2024-9667として追跡されるこの脆弱性は、add_query_argパラメータの不適切なエスケープ処理に起因し、未認証の攻撃者が任意のWebスクリプトを実行可能。CVSS評価は6.1でMEDIUMレベルとされ、早急な対策が求められる。

【CVE-2024-33700】LevelOne WBR-6012の脆弱性が発見、FTP機能の入力検証に深刻な問題

【CVE-2024-33700】LevelOne WBR-6012の脆弱性が発見、FTP機能の...

Cisco Talosは2024年10月30日、LevelOne WBR-6012ルーターのファームウェアR0.40e6におけるFTP機能の入力検証の脆弱性を公開した。CVSS3.1で深刻度7.5のHIGHと評価されており、攻撃者による悪意のあるFTPコマンドの送信でサービス拒否攻撃が可能となる。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-33700】LevelOne WBR-6012の脆弱性が発見、FTP機能の...

Cisco Talosは2024年10月30日、LevelOne WBR-6012ルーターのファームウェアR0.40e6におけるFTP機能の入力検証の脆弱性を公開した。CVSS3.1で深刻度7.5のHIGHと評価されており、攻撃者による悪意のあるFTPコマンドの送信でサービス拒否攻撃が可能となる。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-33699】LevelOne WBR-6012 R0.40e6に重大な脆弱性、パスワード検証なしで管理者権限の昇格が可能に

【CVE-2024-33699】LevelOne WBR-6012 R0.40e6に重大な脆弱...

Cisco TalosがLevelOne WBR-6012ルーターのファームウェアバージョンR0.40e6において、管理者パスワードの変更に関する重大な脆弱性を発見した。現在のパスワードの検証なしで管理者権限の昇格が可能となるこの脆弱性は、CVSS v3.1で深刻度9.9のクリティカルと評価されている。ネットワーク経由での攻撃が可能であり、機密性と整合性、可用性のすべてに高い影響があると判断された。

【CVE-2024-33699】LevelOne WBR-6012 R0.40e6に重大な脆弱...

Cisco TalosがLevelOne WBR-6012ルーターのファームウェアバージョンR0.40e6において、管理者パスワードの変更に関する重大な脆弱性を発見した。現在のパスワードの検証なしで管理者権限の昇格が可能となるこの脆弱性は、CVSS v3.1で深刻度9.9のクリティカルと評価されている。ネットワーク経由での攻撃が可能であり、機密性と整合性、可用性のすべてに高い影響があると判断された。

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正アクセスのリスクが浮上

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正...

Cisco TalosがLevelOne WBR-6012 R0.40e6のWebアプリケーション機能においてCSRF脆弱性を発見。CVSSスコア8.8のHIGH評価で、特別に細工されたHTTPリクエストによる不正アクセスが可能となる。攻撃者が悪意のあるWebページを通じて攻撃を仕掛けることができ、システムの機密性と完全性に重大な影響を及ぼす可能性がある。

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正...

Cisco TalosがLevelOne WBR-6012 R0.40e6のWebアプリケーション機能においてCSRF脆弱性を発見。CVSSスコア8.8のHIGH評価で、特別に細工されたHTTPリクエストによる不正アクセスが可能となる。攻撃者が悪意のあるWebページを通じて攻撃を仕掛けることができ、システムの機密性と完全性に重大な影響を及ぼす可能性がある。

【CVE-2024-10005】ConsulとConsul Enterpriseに深刻なL7トラフィックインテンションの脆弱性、URLパスによるアクセスルールのバイパスが可能に

【CVE-2024-10005】ConsulとConsul Enterpriseに深刻なL7ト...

HashiCorp社はConsulとConsul Enterpriseにおいて、L7トラフィックインテンションのURLパスを使用したアクセスルールがバイパス可能な脆弱性【CVE-2024-10005】を公開した。影響を受けるバージョンは1.9.0から1.20.1未満で、CVSSスコア8.1の深刻度の高い問題として報告されている。HashiCorp社は修正版として1.19.3、1.18.5、1.15.15をリリースしている。

【CVE-2024-10005】ConsulとConsul Enterpriseに深刻なL7ト...

HashiCorp社はConsulとConsul Enterpriseにおいて、L7トラフィックインテンションのURLパスを使用したアクセスルールがバイパス可能な脆弱性【CVE-2024-10005】を公開した。影響を受けるバージョンは1.9.0から1.20.1未満で、CVSSスコア8.1の深刻度の高い問題として報告されている。HashiCorp社は修正版として1.19.3、1.18.5、1.15.15をリリースしている。

【CVE-2024-23309】LevelOne WBR-6012に認証バイパスの脆弱性、IPアドレス認証の設計上の問題で不正アクセスの危険性

【CVE-2024-23309】LevelOne WBR-6012に認証バイパスの脆弱性、IP...

Cisco TalosがLevelOne WBR-6012ルーター(ファームウェアR0.40e6)に重大な認証バイパスの脆弱性を発見。IPアドレスによる認証に依存する設計上の問題により、攻撃者は認証なしでシステムにアクセス可能。CVSS 9.0のCritical評価で、特権不要かつユーザー操作不要の攻撃が可能。CWE-291に分類される認証の実装不備により、管理者権限の不正取得やシステムの改ざんのリスクが指摘されている。

【CVE-2024-23309】LevelOne WBR-6012に認証バイパスの脆弱性、IP...

Cisco TalosがLevelOne WBR-6012ルーター(ファームウェアR0.40e6)に重大な認証バイパスの脆弱性を発見。IPアドレスによる認証に依存する設計上の問題により、攻撃者は認証なしでシステムにアクセス可能。CVSS 9.0のCritical評価で、特権不要かつユーザー操作不要の攻撃が可能。CWE-291に分類される認証の実装不備により、管理者権限の不正取得やシステムの改ざんのリスクが指摘されている。

【CVE-2024-8541】Discount Rules for WooCommerceに脆弱性、レビュー機能でXSS攻撃のリスクが判明

【CVE-2024-8541】Discount Rules for WooCommerceに脆...

WordfenceはWPプラグインDiscount Rules for WooCommerceにReflected XSS脆弱性が存在することを公開した。CVE-2024-8541として識別されたこの脆弱性は、バージョン2.6.5以前の全バージョンに影響を及ぼし、100件以上の注文後に表示されるレビュー通知でURLのadd_query_argが適切にエスケープされていないことが原因となっている。CVSSスコアは4.7で中程度の深刻度と評価されている。

【CVE-2024-8541】Discount Rules for WooCommerceに脆...

WordfenceはWPプラグインDiscount Rules for WooCommerceにReflected XSS脆弱性が存在することを公開した。CVE-2024-8541として識別されたこの脆弱性は、バージョン2.6.5以前の全バージョンに影響を及ぼし、100件以上の注文後に表示されるレビュー通知でURLのadd_query_argが適切にエスケープされていないことが原因となっている。CVSSスコアは4.7で中程度の深刻度と評価されている。

【CVE-2024-48783】Ruijie NBR3000D-E Gatewayに情報漏洩の脆弱性、リモートからの不正アクセスが可能に

【CVE-2024-48783】Ruijie NBR3000D-E Gatewayに情報漏洩の...

MITREが2024年10月15日にRuijie NBR3000D-E Gatewayの重大な脆弱性情報を公開した。この脆弱性は【CVE-2024-48783】として識別され、/tool/shell/postgresql.confコンポーネントを介して遠隔から機密情報を取得可能であることが判明。CISAの評価では自動化された攻撃の可能性が指摘されており、システムに部分的な影響を及ぼす可能性がある。

【CVE-2024-48783】Ruijie NBR3000D-E Gatewayに情報漏洩の...

MITREが2024年10月15日にRuijie NBR3000D-E Gatewayの重大な脆弱性情報を公開した。この脆弱性は【CVE-2024-48783】として識別され、/tool/shell/postgresql.confコンポーネントを介して遠隔から機密情報を取得可能であることが判明。CISAの評価では自動化された攻撃の可能性が指摘されており、システムに部分的な影響を及ぼす可能性がある。

HOT TOPICS