Tech Insights

【CVE-2024-44019】Contact Form 7 Campaign Monitor Extension 0.4.67以下でファイル削除の脆弱性が発見、認証機能の不備により重要機能へのアクセ

【CVE-2024-44019】Contact Form 7 Campaign Monitor...

WordPressプラグインContact Form 7 Campaign Monitor Extensionのバージョン0.4.67以下において、認証機能の不備による脆弱性が発見された。CVE-2024-44019として識別されるこの脆弱性は、Missing Authorization(CWE-862)に分類され、CVSSスコア5.3のMedium評価となっている。この問題により未認証のユーザーが任意のファイル削除機能にアクセス可能となり、早急な対応が必要とされている。

【CVE-2024-44019】Contact Form 7 Campaign Monitor...

WordPressプラグインContact Form 7 Campaign Monitor Extensionのバージョン0.4.67以下において、認証機能の不備による脆弱性が発見された。CVE-2024-44019として識別されるこの脆弱性は、Missing Authorization(CWE-862)に分類され、CVSSスコア5.3のMedium評価となっている。この問題により未認証のユーザーが任意のファイル削除機能にアクセス可能となり、早急な対応が必要とされている。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格の危険性に対処

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度(4.3)と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度(4.3)と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の脆弱性が発見、速やかなアップデートを推奨

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の...

WordPressプラグインJoomSport 5.6.3以前のバージョンにおいて、アクセス制御の設定不備による脆弱性が発見された。CVE-2024-44031として識別されたこの問題は、CVSSスコア4.3のミディアムレベルの脆弱性であり、認証されたユーザーによる情報改ざんの可能性が指摘されている。開発元のBearDevは修正版となるバージョン5.6.4をリリースし、ユーザーに対して早急なアップデートを呼びかけている。

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の...

WordPressプラグインJoomSport 5.6.3以前のバージョンにおいて、アクセス制御の設定不備による脆弱性が発見された。CVE-2024-44031として識別されたこの問題は、CVSSスコア4.3のミディアムレベルの脆弱性であり、認証されたユーザーによる情報改ざんの可能性が指摘されている。開発元のBearDevは修正版となるバージョン5.6.4をリリースし、ユーザーに対して早急なアップデートを呼びかけている。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3.70に認証の脆弱性、アクセス制御の設定不備により権限昇格の可能性

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証の脆弱性、アクセス制御の設定ミスによるセキュリティリスクが発生

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10にアクセス制御の脆弱性、認可の欠如による影響に注意

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアクセス制御の脆弱性、情報漏洩のリスクに対応急ぐ

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆弱性が発見、認証なしでバックアップデータにアクセス可能に

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆...

WordPressプラグインのEverest Backupにおいて、バージョン2.2.13以前に深刻な情報漏洩の脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、認証なしでバックアップファイル名の取得とダウンロードが可能となる。プロセス統計ファイルの露出が原因で、サイト全体のセキュリティが脅かされる可能性がある。

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆...

WordPressプラグインのEverest Backupにおいて、バージョン2.2.13以前に深刻な情報漏洩の脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、認証なしでバックアップファイル名の取得とダウンロードが可能となる。プロセス統計ファイルの露出が原因で、サイト全体のセキュリティが脅かされる可能性がある。

【CVE-2024-9178】XT Floating Cart for WooCommerceに深刻なXSS脆弱性、Author権限で悪用の可能性

【CVE-2024-9178】XT Floating Cart for WooCommerce...

WordPressプラグインXT Floating Cart for WooCommerceのバージョン2.8.2以前にXSS脆弱性が発見された。CVSSスコア6.4を記録したこの脆弱性は、Author以上の権限を持つユーザーがSVGファイルを介して任意のスクリプトを実行可能。サイト訪問者へのスクリプト実行やセッションハイジャックなどの二次被害が懸念される。

【CVE-2024-9178】XT Floating Cart for WooCommerce...

WordPressプラグインXT Floating Cart for WooCommerceのバージョン2.8.2以前にXSS脆弱性が発見された。CVSSスコア6.4を記録したこの脆弱性は、Author以上の権限を持つユーザーがSVGファイルを介して任意のスクリプトを実行可能。サイト訪問者へのスクリプト実行やセッションハイジャックなどの二次被害が懸念される。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXSS脆弱性、管理者権限での任意スクリプト実行が可能に

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-49670】WordPress用プラグインClient Power Tools Portal 1.8.6に反射型XSS脆弱性が発見、早急な対応が必要に

【CVE-2024-49670】WordPress用プラグインClient Power Too...

WordPressプラグインClient Power Tools Portal 1.8.6以前のバージョンで反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価を受けており、攻撃条件の複雑さは低く特権も不要とされている。Patchstack OÜが2024年10月29日に公開し、【CVE-2024-49670】として識別された本脆弱性への対応が急務となっている。

【CVE-2024-49670】WordPress用プラグインClient Power Too...

WordPressプラグインClient Power Tools Portal 1.8.6以前のバージョンで反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価を受けており、攻撃条件の複雑さは低く特権も不要とされている。Patchstack OÜが2024年10月29日に公開し、【CVE-2024-49670】として識別された本脆弱性への対応が急務となっている。

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9にXSS脆弱性、アップデートによる対応が必要に

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9に...

Patchstack OÜは2024年10月29日、WordPressプラグインAffiliateXにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。CVE-2024-49692として識別されるこの脆弱性は、バージョン1.2.9以前に影響し、CVSSスコア6.5の中程度の危険性を有している。セキュリティパッチを含むバージョン1.2.9.1への更新が推奨される。

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9に...

Patchstack OÜは2024年10月29日、WordPressプラグインAffiliateXにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。CVE-2024-49692として識別されるこの脆弱性は、バージョン1.2.9以前に影響し、CVSSスコア6.5の中程度の危険性を有している。セキュリティパッチを含むバージョン1.2.9.1への更新が推奨される。

【CVE-2024-50449】PDF Generator Addon for Elementor Page Builderに深刻な脆弱性、バージョン1.7.5で修正完了

【CVE-2024-50449】PDF Generator Addon for Element...

WordPress用プラグインPDF Generator Addon for Elementor Page Builderにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-50449】として識別され、CVSSスコア6.5(MEDIUM)と評価されている。バージョン1.7.4以前に影響があり、バージョン1.7.5で修正された。攻撃には特権レベルと利用者の関与が必要だが、早急なアップデートが推奨される。

【CVE-2024-50449】PDF Generator Addon for Element...

WordPress用プラグインPDF Generator Addon for Elementor Page Builderにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-50449】として識別され、CVSSスコア6.5(MEDIUM)と評価されている。バージョン1.7.4以前に影響があり、バージョン1.7.5で修正された。攻撃には特権レベルと利用者の関与が必要だが、早急なアップデートが推奨される。

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアップロードの脆弱性が発見、早急な対応が必要に

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアッ...

WordPressプラグインPlugin Propagatorにおいて、Webシェルをサーバーにアップロードできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-50495】として識別され、CVSS v3.1で最高レベルの10.0(CRITICAL)と評価されている。バージョン0.1以前に影響があり、攻撃者は特別な権限なく遠隔から攻撃可能なため、早急な対応が必要となる。

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアッ...

WordPressプラグインPlugin Propagatorにおいて、Webシェルをサーバーにアップロードできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-50495】として識別され、CVSS v3.1で最高レベルの10.0(CRITICAL)と評価されている。バージョン0.1以前に影響があり、攻撃者は特別な権限なく遠隔から攻撃可能なため、早急な対応が必要となる。

【CVE-2024-49702】WordPress用プラグインmyCred Elementor 1.2.6にXSS脆弱性が発見、アップデートによる対応が必要に

【CVE-2024-49702】WordPress用プラグインmyCred Elementor...

WordPressのページビルダープラグインElementorと連携して動作するmyCred Elementorのバージョン1.2.6以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSv3.1のベーススコアは6.5(ミディアム)であり、特権ユーザーによる悪意のあるスクリプト実行の可能性がある。開発チームは1.2.7でこの脆弱性を修正済みであり、早急なアップデートが推奨される。

【CVE-2024-49702】WordPress用プラグインmyCred Elementor...

WordPressのページビルダープラグインElementorと連携して動作するmyCred Elementorのバージョン1.2.6以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSv3.1のベーススコアは6.5(ミディアム)であり、特権ユーザーによる悪意のあるスクリプト実行の可能性がある。開発チームは1.2.7でこの脆弱性を修正済みであり、早急なアップデートが推奨される。

コーレがAI導入支援プラットフォームAI-BPR CLOUDをプレリリース、業務プロセス可視化で導入時間を最大99%短縮

コーレがAI導入支援プラットフォームAI-BPR CLOUDをプレリリース、業務プロセス可視化...

コーレは企業のAI導入を包括的にサポートするプラットフォーム「AI-BPR CLOUD」をプレリリースした。業務プロセスとデータの可視化機能により、AI導入の効果を自動算出し、最適なAIソリューションを提案。生成AI、予測AI、認識AIなど多様なAI技術に対応し、データフィケーションとアノテーションの効率化により、導入準備時間を最大99%短縮することが可能になる。

コーレがAI導入支援プラットフォームAI-BPR CLOUDをプレリリース、業務プロセス可視化...

コーレは企業のAI導入を包括的にサポートするプラットフォーム「AI-BPR CLOUD」をプレリリースした。業務プロセスとデータの可視化機能により、AI導入の効果を自動算出し、最適なAIソリューションを提案。生成AI、予測AI、認識AIなど多様なAI技術に対応し、データフィケーションとアノテーションの効率化により、導入準備時間を最大99%短縮することが可能になる。

GoogleがGoogle Vidsを教育機関向けに一般提供、AIを活用した動画作成機能で学習効果の向上を実現

GoogleがGoogle Vidsを教育機関向けに一般提供、AIを活用した動画作成機能で学習...

Googleは2024年11月7日、Education PlusとGemini for Workspaceの顧客向けにGoogle Vidsの一般提供を開始した。教育者は複雑な概念の説明動画作成や学習者の多様なスタイルに対応した教材作成が可能となり、18歳以上のユーザーはAIを活用した動画作成支援機能も利用できる。ブラウザベースで共同編集も可能な新サービスとして注目を集めている。

GoogleがGoogle Vidsを教育機関向けに一般提供、AIを活用した動画作成機能で学習...

Googleは2024年11月7日、Education PlusとGemini for Workspaceの顧客向けにGoogle Vidsの一般提供を開始した。教育者は複雑な概念の説明動画作成や学習者の多様なスタイルに対応した教材作成が可能となり、18歳以上のユーザーはAIを活用した動画作成支援機能も利用できる。ブラウザベースで共同編集も可能な新サービスとして注目を集めている。

楽天が未来購買予測のAIソリューションを提供開始、コンバージョン予測による効率的な広告配信を実現

楽天が未来購買予測のAIソリューションを提供開始、コンバージョン予測による効率的な広告配信を実現

楽天グループ株式会社が広告主企業向けにAIソリューション「未来購買予測」の提供を開始。70以上のサービスから得られる消費行動分析データと広告主のコンバージョンデータをAIが分析し、高精度な購買予測を実現する。RMP - Unified Adsとの連携により効率的な広告配信が可能になり、今後は外部メディアへの展開も予定している。

楽天が未来購買予測のAIソリューションを提供開始、コンバージョン予測による効率的な広告配信を実現

楽天グループ株式会社が広告主企業向けにAIソリューション「未来購買予測」の提供を開始。70以上のサービスから得られる消費行動分析データと広告主のコンバージョンデータをAIが分析し、高精度な購買予測を実現する。RMP - Unified Adsとの連携により効率的な広告配信が可能になり、今後は外部メディアへの展開も予定している。

PICOがOS 5.12.0をリリース、マルチデバイス接続機能とMR開発ツールの強化でXR体験が進化

PICOがOS 5.12.0をリリース、マルチデバイス接続機能とMR開発ツールの強化でXR体験が進化

Pico Technology Japan株式会社がPICO OS 5.12.0をリリースし、AndroidとiOSのスマートフォン画面ミラーリングやPC同時接続によるマルチデバイス機能を強化。さらにトラッキング精度の向上、MRゲームの追加、開発ツールの拡充により、XRプラットフォームとしての機能が大幅に進化。ユーザー体験の向上とMRエコシステムの発展に貢献する。

PICOがOS 5.12.0をリリース、マルチデバイス接続機能とMR開発ツールの強化でXR体験が進化

Pico Technology Japan株式会社がPICO OS 5.12.0をリリースし、AndroidとiOSのスマートフォン画面ミラーリングやPC同時接続によるマルチデバイス機能を強化。さらにトラッキング精度の向上、MRゲームの追加、開発ツールの拡充により、XRプラットフォームとしての機能が大幅に進化。ユーザー体験の向上とMRエコシステムの発展に貢献する。

阪急阪神不動産が第5回事業共創AWARDを開催、スタートアップとのDX推進による未来のまちづくりを加速

阪急阪神不動産が第5回事業共創AWARDを開催、スタートアップとのDX推進による未来のまちづく...

阪急阪神不動産とスタートアップ支援協会が共同で開催する第5回事業共創AWARDが11月7日より募集開始。UNIDGEが支援パートナーとして運営をサポートし、トイレ環境やテナントリーシングなど10の個別テーマで事業提案を募集。入賞企業には協業機会と最大1000万円の出資権利を提供し、DXによる未来のまちづくりを目指す。

阪急阪神不動産が第5回事業共創AWARDを開催、スタートアップとのDX推進による未来のまちづく...

阪急阪神不動産とスタートアップ支援協会が共同で開催する第5回事業共創AWARDが11月7日より募集開始。UNIDGEが支援パートナーとして運営をサポートし、トイレ環境やテナントリーシングなど10の個別テーマで事業提案を募集。入賞企業には協業機会と最大1000万円の出資権利を提供し、DXによる未来のまちづくりを目指す。

デジライズが福岡支社を開設、九州地域のAIリスキリング支援体制を本格的に強化

デジライズが福岡支社を開設、九州地域のAIリスキリング支援体制を本格的に強化

株式会社デジライズは2024年11月1日に福岡支社を開設し、九州地域におけるAIリスキリング支援体制を強化する。創業からわずか1年余りで上場企業を含む150社以上への導入実績と延べ15,000名以上のAI研修受講者数を達成した同社は、地域企業のAI活用とDX推進を現地でサポートする体制を整備。アジア市場への展開も視野に入れた戦略的な展開を目指す。

デジライズが福岡支社を開設、九州地域のAIリスキリング支援体制を本格的に強化

株式会社デジライズは2024年11月1日に福岡支社を開設し、九州地域におけるAIリスキリング支援体制を強化する。創業からわずか1年余りで上場企業を含む150社以上への導入実績と延べ15,000名以上のAI研修受講者数を達成した同社は、地域企業のAI活用とDX推進を現地でサポートする体制を整備。アジア市場への展開も視野に入れた戦略的な展開を目指す。

Illumioがパートナープログラムを拡充、マイクロセグメンテーション技術の普及促進へ向け無償ツールを提供

Illumioがパートナープログラムを拡充、マイクロセグメンテーション技術の普及促進へ向け無償...

米国Illumioは2024年11月8日、パートナー向けEnlightenパートナープログラムを拡充し、無償イネーブルメントツールの提供を開始した。ハンズオントレーニングや新価格設定プログラム、プライスプロテクションなどを導入し、パートナーによるIllumio製品の販売・実装・運用の効率化を実現。Forresterからマイクロセグメンテーションのリーダーと評価されるIllumioは、ゼロトラストセキュリティの普及を加速させる。

Illumioがパートナープログラムを拡充、マイクロセグメンテーション技術の普及促進へ向け無償...

米国Illumioは2024年11月8日、パートナー向けEnlightenパートナープログラムを拡充し、無償イネーブルメントツールの提供を開始した。ハンズオントレーニングや新価格設定プログラム、プライスプロテクションなどを導入し、パートナーによるIllumio製品の販売・実装・運用の効率化を実現。Forresterからマイクロセグメンテーションのリーダーと評価されるIllumioは、ゼロトラストセキュリティの普及を加速させる。

【CVE-2024-9988】WordPress用プラグインCrypto 2.15に認証バイパスの脆弱性が発見、管理者権限の不正取得が可能に

【CVE-2024-9988】WordPress用プラグインCrypto 2.15に認証バイパ...

WordPressプラグインCryptoのバージョン2.15以前に重大な認証バイパスの脆弱性が発見された。'crypto_connect_ajax_process::register'関数におけるユーザー検証の不備により、攻撃者はユーザー名を把握するだけで管理者を含む任意のアカウントに不正アクセスが可能となる。CVSSスコア9.8の最重要度と評価されており、早急な対応が必要。

【CVE-2024-9988】WordPress用プラグインCrypto 2.15に認証バイパ...

WordPressプラグインCryptoのバージョン2.15以前に重大な認証バイパスの脆弱性が発見された。'crypto_connect_ajax_process::register'関数におけるユーザー検証の不備により、攻撃者はユーザー名を把握するだけで管理者を含む任意のアカウントに不正アクセスが可能となる。CVSSスコア9.8の最重要度と評価されており、早急な対応が必要。

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱性を確認、サービスの機密性への影響に懸念

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱...

HuaweiはHarmonyOS 5.0.0のクリップボードモジュールにおける権限制御の脆弱性【CVE-2024-51525】を公開した。CVSSスコア6.2(Medium)で評価され、特にサービスの機密性への影響が懸念される。CWE-264として分類されるこの脆弱性は、適切な権限管理とアクセス制御の実装が求められる重要な問題である。

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱...

HuaweiはHarmonyOS 5.0.0のクリップボードモジュールにおける権限制御の脆弱性【CVE-2024-51525】を公開した。CVSSスコア6.2(Medium)で評価され、特にサービスの機密性への影響が懸念される。CWE-264として分類されるこの脆弱性は、適切な権限管理とアクセス制御の実装が求められる重要な問題である。

【CVE-2024-51523】HarmonyOS 5.0.0のGalleryモジュールに情報管理の脆弱性、サービスの機密性に影響のおそれ

【CVE-2024-51523】HarmonyOS 5.0.0のGalleryモジュールに情報...

Huawei TechnologiesはHarmonyOS 5.0.0のGalleryモジュールにおける情報管理の脆弱性を公開した。CVE-2024-51523として識別されるこの脆弱性は、CWE-840のビジネスロジックエラーに分類され、CVSSスコア7.1のHigh評価となっている。攻撃には特権レベルは不要だがユーザーの関与が必要で、サービスの機密性と完全性に影響を及ぼす可能性があるため、ユーザーには迅速な対応が求められている。

【CVE-2024-51523】HarmonyOS 5.0.0のGalleryモジュールに情報...

Huawei TechnologiesはHarmonyOS 5.0.0のGalleryモジュールにおける情報管理の脆弱性を公開した。CVE-2024-51523として識別されるこの脆弱性は、CWE-840のビジネスロジックエラーに分類され、CVSSスコア7.1のHigh評価となっている。攻撃には特権レベルは不要だがユーザーの関与が必要で、サービスの機密性と完全性に影響を及ぼす可能性があるため、ユーザーには迅速な対応が求められている。

【CVE-2024-50466】WordPressプラグインDarkMySiteにCSRF脆弱性、バージョン1.2.8以前のユーザーに影響

【CVE-2024-50466】WordPressプラグインDarkMySiteにCSRF脆弱...

WordPressプラグインDarkMySite - Advanced Dark Mode Plugin for WordPressのバージョン1.2.8以前にCross-Site Request Forgery(CSRF)の脆弱性が発見された。CVSSv3.1での評価は4.3でMedium、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低いとされている。特権レベルは不要だがユーザーの関与が必須であり、影響範囲は限定的。早急なバージョンアップデートが推奨される。

【CVE-2024-50466】WordPressプラグインDarkMySiteにCSRF脆弱...

WordPressプラグインDarkMySite - Advanced Dark Mode Plugin for WordPressのバージョン1.2.8以前にCross-Site Request Forgery(CSRF)の脆弱性が発見された。CVSSv3.1での評価は4.3でMedium、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低いとされている。特権レベルは不要だがユーザーの関与が必須であり、影響範囲は限定的。早急なバージョンアップデートが推奨される。

【CVE-2024-50459】WordPress Stripe Donation and Payment Pluginの脆弱性が発見、アクセス制御の不備により情報漏洩のリスクが浮上

【CVE-2024-50459】WordPress Stripe Donation and P...

WordPress用プラグインWordPress Stripe Donation and Payment Pluginのバージョン3.2.3以前において、重大なアクセス制御の脆弱性が発見された。CVE-2024-50459として識別されたこの問題は、CVSS 3.1で5.3のミディアムレベルと評価され、認証なしでのネットワーク経由攻撃が可能な状態にある。開発元のHM Pluginは対策版となるバージョン3.2.4を提供している。

【CVE-2024-50459】WordPress Stripe Donation and P...

WordPress用プラグインWordPress Stripe Donation and Payment Pluginのバージョン3.2.3以前において、重大なアクセス制御の脆弱性が発見された。CVE-2024-50459として識別されたこの問題は、CVSS 3.1で5.3のミディアムレベルと評価され、認証なしでのネットワーク経由攻撃が可能な状態にある。開発元のHM Pluginは対策版となるバージョン3.2.4を提供している。

【CVE-2024-50411】WordPress WP Abstracts 2.7.1にXSS脆弱性、アップデートで修正完了へ

【CVE-2024-50411】WordPress WP Abstracts 2.7.1にXS...

WordPress用プラグインWP Abstractsにおいて、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。【CVE-2024-50411】として識別されるこの脆弱性は、バージョン2.7.1以前に影響を与え、CVSSスコア5.9のMEDIUMレベルと評価されている。高い特権レベルと利用者の操作を必要とするものの、機密性・完全性・可用性に影響を与える可能性があり、早急なアップデートが推奨される。

【CVE-2024-50411】WordPress WP Abstracts 2.7.1にXS...

WordPress用プラグインWP Abstractsにおいて、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。【CVE-2024-50411】として識別されるこの脆弱性は、バージョン2.7.1以前に影響を与え、CVSSスコア5.9のMEDIUMレベルと評価されている。高い特権レベルと利用者の操作を必要とするものの、機密性・完全性・可用性に影響を与える可能性があり、早急なアップデートが推奨される。

【CVE-2024-50409】Namaste! LMS 2.6.2にXSS脆弱性が発見、教育プラットフォームのセキュリティ強化が急務に

【CVE-2024-50409】Namaste! LMS 2.6.2にXSS脆弱性が発見、教育...

WordPressプラグインのNamaste! LMSにおいて、バージョン2.6.2以前に深刻なXSS脆弱性が発見された。CVSSスコア6.5(Medium)と評価されるこの脆弱性は、Webページ生成時の入力値の無害化処理が不適切であることに起因する。攻撃者は低い権限で遠隔からの攻撃が可能であり、教育プラットフォームのセキュリティ強化が求められている。バージョン2.6.3で修正済み。

【CVE-2024-50409】Namaste! LMS 2.6.2にXSS脆弱性が発見、教育...

WordPressプラグインのNamaste! LMSにおいて、バージョン2.6.2以前に深刻なXSS脆弱性が発見された。CVSSスコア6.5(Medium)と評価されるこの脆弱性は、Webページ生成時の入力値の無害化処理が不適切であることに起因する。攻撃者は低い権限で遠隔からの攻撃が可能であり、教育プラットフォームのセキュリティ強化が求められている。バージョン2.6.3で修正済み。

【CVE-2024-38423】QualcommがSnapdragonの重大な脆弱性を公開、GPUページテーブル切り替えにメモリ破損の問題

【CVE-2024-38423】QualcommがSnapdragonの重大な脆弱性を公開、G...

Qualcommは2024年11月4日、Snapdragonプラットフォームにおいて重大な脆弱性【CVE-2024-38423】を公開した。この脆弱性はGPUページテーブルの切り替え処理時にメモリ破損を引き起こすもので、CVSS v3.1で7.8(High)と評価されている。Snapdragon Mobile、Compute、Auto、XRなど広範なプラットフォームに影響を及ぼすため、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-38423】QualcommがSnapdragonの重大な脆弱性を公開、G...

Qualcommは2024年11月4日、Snapdragonプラットフォームにおいて重大な脆弱性【CVE-2024-38423】を公開した。この脆弱性はGPUページテーブルの切り替え処理時にメモリ破損を引き起こすもので、CVSS v3.1で7.8(High)と評価されている。Snapdragon Mobile、Compute、Auto、XRなど広範なプラットフォームに影響を及ぼすため、早急なセキュリティアップデートの適用が推奨される。