Tech Insights

【CVE-2024-10810】E-Health Care System 1.0にSQLインジェクションの脆弱性、医療情報セキュリティに警鐘

【CVE-2024-10810】E-Health Care System 1.0にSQLインジ...

code-projectsが開発したE-Health Care System 1.0において、Doctor/app_request.phpファイルのapp_idパラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-10810として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。既に攻撃コードが公開されており、医療情報セキュリティの観点から早急な対応が必要とされている。

【CVE-2024-10810】E-Health Care System 1.0にSQLインジ...

code-projectsが開発したE-Health Care System 1.0において、Doctor/app_request.phpファイルのapp_idパラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-10810として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。既に攻撃コードが公開されており、医療情報セキュリティの観点から早急な対応が必要とされている。

【CVE-2024-10809】E-Health Care System 1.0のチャット機能にSQL injection脆弱性、リモート攻撃のリスクに警戒

【CVE-2024-10809】E-Health Care System 1.0のチャット機能...

code-projectsのE-Health Care System 1.0において、/Doctor/chat.phpファイルに重大な脆弱性が発見された。nameとmessageパラメータに対するSQL injectionが可能で、リモートからの攻撃リスクが存在する。CVSSスコアは最新のバージョン4.0で5.3を記録し、医療データの安全性に影響を与える可能性のある深刻な問題として認識されている。

【CVE-2024-10809】E-Health Care System 1.0のチャット機能...

code-projectsのE-Health Care System 1.0において、/Doctor/chat.phpファイルに重大な脆弱性が発見された。nameとmessageパラメータに対するSQL injectionが可能で、リモートからの攻撃リスクが存在する。CVSSスコアは最新のバージョン4.0で5.3を記録し、医療データの安全性に影響を与える可能性のある深刻な問題として認識されている。

【CVE-2024-50530】Stars SMTP Mailer 1.7以前に危険なファイルアップロードの脆弱性、早急な対応が必要に

【CVE-2024-50530】Stars SMTP Mailer 1.7以前に危険なファイル...

WordPressプラグインのStars SMTP Mailerにおいて、バージョン1.7以前に危険なファイルタイプの無制限アップロードを許可する脆弱性が発見された。CVE-2024-50530として識別されるこの脆弱性は、CVSSスコア9.9のクリティカルな問題として評価されており、Webシェルのアップロードを可能にしてしまう危険性が指摘されている。早急なバージョンアップデートによる対応が推奨される。

【CVE-2024-50530】Stars SMTP Mailer 1.7以前に危険なファイル...

WordPressプラグインのStars SMTP Mailerにおいて、バージョン1.7以前に危険なファイルタイプの無制限アップロードを許可する脆弱性が発見された。CVE-2024-50530として識別されるこの脆弱性は、CVSSスコア9.9のクリティカルな問題として評価されており、Webシェルのアップロードを可能にしてしまう危険性が指摘されている。早急なバージョンアップデートによる対応が推奨される。

【CVE-2024-50529】WordPress Training Coursesプラグインに深刻な脆弱性、Webシェル攻撃のリスクで早急な対応が必要

【CVE-2024-50529】WordPress Training Coursesプラグイン...

WordPressプラグインTraining Courses 2.0.1以前のバージョンに危険なファイルアップロードの脆弱性が発見された。CVE-2024-50529として識別されるこの脆弱性は、攻撃者によるWebシェルのアップロードを可能にし、サーバーの遠隔操作やデータの改ざんのリスクがある。CVSSスコア9.9のクリティカルな脆弱性として評価され、早急なアップデートが推奨されている。

【CVE-2024-50529】WordPress Training Coursesプラグイン...

WordPressプラグインTraining Courses 2.0.1以前のバージョンに危険なファイルアップロードの脆弱性が発見された。CVE-2024-50529として識別されるこの脆弱性は、攻撃者によるWebシェルのアップロードを可能にし、サーバーの遠隔操作やデータの改ざんのリスクがある。CVSSスコア9.9のクリティカルな脆弱性として評価され、早急なアップデートが推奨されている。

【CVE-2024-50527】WordPress用Stacks Mobile App Builder 5.2.3に深刻な脆弱性、Webシェルのアップロードが可能に

【CVE-2024-50527】WordPress用Stacks Mobile App Bui...

WordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに危険なファイルのアップロードを許可する脆弱性が発見された。CVE-2024-50527として識別されるこの脆弱性は、CVSSスコア10.0の最も深刻なレベルで、攻撃者が認証なしでWebシェルをサーバーにアップロードすることが可能となる。早急なバージョンアップデートによる対策が必要だ。

【CVE-2024-50527】WordPress用Stacks Mobile App Bui...

WordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに危険なファイルのアップロードを許可する脆弱性が発見された。CVE-2024-50527として識別されるこの脆弱性は、CVSSスコア10.0の最も深刻なレベルで、攻撃者が認証なしでWebシェルをサーバーにアップロードすることが可能となる。早急なバージョンアップデートによる対策が必要だ。

【CVE-2024-50526】Multi Purpose Mail Form 1.0.2に危険な脆弱性、Web Shellアップロードの可能性が発覚

【CVE-2024-50526】Multi Purpose Mail Form 1.0.2に危...

WordPressプラグインMulti Purpose Mail Form 1.0.2以前のバージョンで、Web Shellをサーバーにアップロード可能な重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルで、認証不要でネットワーク経由の攻撃が可能。機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、早急な対応が必要となっている。

【CVE-2024-50526】Multi Purpose Mail Form 1.0.2に危...

WordPressプラグインMulti Purpose Mail Form 1.0.2以前のバージョンで、Web Shellをサーバーにアップロード可能な重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルで、認証不要でネットワーク経由の攻撃が可能。機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、早急な対応が必要となっている。

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱性、Webシェルによる無制限な攻撃が可能に

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱...

PatchstackはWordPress用プラグインHelloprintにおいて、危険な任意のファイルアップロードを可能にする脆弱性【CVE-2024-50525】を報告した。バージョン2.0.2以前のすべてのバージョンが影響を受け、攻撃者によるWebシェルのアップロードを許可する可能性がある。CVSSスコア10.0の最も深刻なレベルとされ、早急な対応が必要である。

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱...

PatchstackはWordPress用プラグインHelloprintにおいて、危険な任意のファイルアップロードを可能にする脆弱性【CVE-2024-50525】を報告した。バージョン2.0.2以前のすべてのバージョンが影響を受け、攻撃者によるWebシェルのアップロードを許可する可能性がある。CVSSスコア10.0の最も深刻なレベルとされ、早急な対応が必要である。

【CVE-2024-50523】WordPress All Post Contact Form 1.7.3に致命的な脆弱性、Webシェルアップロードによる重大な影響の恐れ

【CVE-2024-50523】WordPress All Post Contact Form...

RainbowLink社のWordPressプラグインAll Post Contact Form 1.7.3以前のバージョンに、危険なファイルタイプのアップロードを制限できない重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルと評価され、Webシェルのアップロードによってサーバーが危険にさらされる可能性がある。特権やユーザー操作を必要としない点から、早急な対策が求められている。

【CVE-2024-50523】WordPress All Post Contact Form...

RainbowLink社のWordPressプラグインAll Post Contact Form 1.7.3以前のバージョンに、危険なファイルタイプのアップロードを制限できない重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルと評価され、Webシェルのアップロードによってサーバーが危険にさらされる可能性がある。特権やユーザー操作を必要としない点から、早急な対策が求められている。

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アップロード機能での入力値検証に課題

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アッ...

オープンソースCMSのInstantCMSにおいて、フォトアルバムページの写真アップロード機能にXSS脆弱性が発見された。CVE-2024-50348として識別されるこの脆弱性は、CVSS 3.1で5.4のミディアムスコアを記録。バージョン2.16.3未満が影響を受け、入力値の検証が不十分なことで攻撃者によるXSSペイロードの実行が可能な状態となっていた。開発チームは2024年10月29日に修正版をリリースし、対策を完了した。

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アッ...

オープンソースCMSのInstantCMSにおいて、フォトアルバムページの写真アップロード機能にXSS脆弱性が発見された。CVE-2024-50348として識別されるこの脆弱性は、CVSS 3.1で5.4のミディアムスコアを記録。バージョン2.16.3未満が影響を受け、入力値の検証が不十分なことで攻撃者によるXSSペイロードの実行が可能な状態となっていた。開発チームは2024年10月29日に修正版をリリースし、対策を完了した。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、ファイルシステムへの不正アクセスが可能に

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1(High)と評価されており、早急な対応が推奨される。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1(High)と評価されており、早急な対応が推奨される。

【CVE-2024-49750】Snowflake Connector for Python 3.12.3未満で機密情報がログに漏洩する脆弱性を修正

【CVE-2024-49750】Snowflake Connector for Python ...

Snowflake Connector for Pythonにおいて、バージョン3.12.3未満でDuoパスコードやAzure SASトークンなどの機密情報がログに漏洩する脆弱性が発見された。SecretDetectorログフォーマッターの不具合によりJWTトークンと特定の秘密鍵フォーマットの保護が不完全となっており、CVSS v3.1で5.5(MEDIUM)と評価されている。

【CVE-2024-49750】Snowflake Connector for Python ...

Snowflake Connector for Pythonにおいて、バージョン3.12.3未満でDuoパスコードやAzure SASトークンなどの機密情報がログに漏洩する脆弱性が発見された。SecretDetectorログフォーマッターの不具合によりJWTトークンと特定の秘密鍵フォーマットの保護が不完全となっており、CVSS v3.1で5.5(MEDIUM)と評価されている。

【CVE-2024-10808】E-Health Care System 1.0にSQL injection脆弱性、患者データ漏洩のリスクに警戒

【CVE-2024-10808】E-Health Care System 1.0にSQL in...

code-projectsのE-Health Care System 1.0のAdmin/req_detail.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは最大6.5で中程度の深刻度と評価されている。リモートからの攻撃が可能で既に手法が公開されており、患者の個人情報や医療記録の漏洩リスクが懸念される。システム管理者は早急な対策が必要だ。

【CVE-2024-10808】E-Health Care System 1.0にSQL in...

code-projectsのE-Health Care System 1.0のAdmin/req_detail.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは最大6.5で中程度の深刻度と評価されている。リモートからの攻撃が可能で既に手法が公開されており、患者の個人情報や医療記録の漏洩リスクが懸念される。システム管理者は早急な対策が必要だ。

【CVE-2024-10807】PHPGurukul Hospital Management System 4.0でXSS脆弱性が発見、医療情報システムのセキュリティに警鐘

【CVE-2024-10807】PHPGurukul Hospital Management ...

PHPGurukul社のHospital Management System 4.0にCross Site Scriptingの脆弱性が発見された。search.phpファイル内のsearchdataパラメータに存在する脆弱性は、リモートからの攻撃が可能で、CVSSスコア5.1を記録。既に攻撃コードが公開されており、医療情報システムのセキュリティ対策の重要性が改めて浮き彫りとなっている。

【CVE-2024-10807】PHPGurukul Hospital Management ...

PHPGurukul社のHospital Management System 4.0にCross Site Scriptingの脆弱性が発見された。search.phpファイル内のsearchdataパラメータに存在する脆弱性は、リモートからの攻撃が可能で、CVSSスコア5.1を記録。既に攻撃コードが公開されており、医療情報システムのセキュリティ対策の重要性が改めて浮き彫りとなっている。

【CVE-2024-10806】PHPGurukul Hospital Management System 4.0にXSS脆弱性が発見、医療データのセキュリティに懸念

【CVE-2024-10806】PHPGurukul Hospital Management ...

PHPGurukul Hospital Management System 4.0のbetweendates-detailsreports.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、fromdateとtodateパラメータの不適切な処理に起因し、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、医療機関のデータセキュリティに対する早急な対応が必要となっている。

【CVE-2024-10806】PHPGurukul Hospital Management ...

PHPGurukul Hospital Management System 4.0のbetweendates-detailsreports.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、fromdateとtodateパラメータの不適切な処理に起因し、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、医療機関のデータセキュリティに対する早急な対応が必要となっている。

【CVE-2024-10791】Hospital Appointment System 1.0にSQL injection脆弱性、医療システムのセキュリティに警鐘

【CVE-2024-10791】Hospital Appointment System 1.0...

CodezipsのHospital Appointment System 1.0においてSQL injectionの重大な脆弱性が発見された。doctorAction.phpファイルのName引数に対する入力値の無効化が不十分であり、リモートからの攻撃が可能な状態となっている。CVSSスコアは最大7.3を記録しており、早急な対応が必要とされている。医療システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2024-10791】Hospital Appointment System 1.0...

CodezipsのHospital Appointment System 1.0においてSQL injectionの重大な脆弱性が発見された。doctorAction.phpファイルのName引数に対する入力値の無効化が不十分であり、リモートからの攻撃が可能な状態となっている。CVSSスコアは最大7.3を記録しており、早急な対応が必要とされている。医療システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2024-10768】PHPGurukul Online Shopping Portal 2.0にXSS脆弱性、リモート攻撃のリスクが深刻化

【CVE-2024-10768】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理画面に存在するtwo_tables.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性は、リモートからの攻撃が可能で既に公開されている。スクリプト引数の操作により、攻撃者は任意のスクリプトを実行可能な状態となっている。

【CVE-2024-10768】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理画面に存在するtwo_tables.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性は、リモートからの攻撃が可能で既に公開されている。スクリプト引数の操作により、攻撃者は任意のスクリプトを実行可能な状態となっている。

【CVE-2024-10766】Free Exam Hall Seating Management System 1.0に脆弱性、制限のないアップロードの問題でリモート攻撃が可能に

【CVE-2024-10766】Free Exam Hall Seating Manageme...

Codezips社のFree Exam Hall Seating Management System 1.0において深刻な脆弱性が発見された。save_user.php機能における制限のないアップロード処理の問題が【CVE-2024-10766】として報告され、リモートからの攻撃が可能な状態となっている。CVSS 4.0で5.3(MEDIUM)と評価され、機密性と完全性、可用性に影響を及ぼす可能性が指摘されており、早急な対策が求められる。

【CVE-2024-10766】Free Exam Hall Seating Manageme...

Codezips社のFree Exam Hall Seating Management System 1.0において深刻な脆弱性が発見された。save_user.php機能における制限のないアップロード処理の問題が【CVE-2024-10766】として報告され、リモートからの攻撃が可能な状態となっている。CVSS 4.0で5.3(MEDIUM)と評価され、機密性と完全性、可用性に影響を及ぼす可能性が指摘されており、早急な対策が求められる。

【CVE-2024-10765】Codezips Online Institute Management System 1.0に深刻な脆弱性、遠隔からの攻撃実行が可能に

【CVE-2024-10765】Codezips Online Institute Manag...

Codezips Online Institute Management System 1.0のprofile.phpファイルに深刻な脆弱性が発見された。old_image引数の操作により制限のないファイルアップロードが可能となり、遠隔からの攻撃実行のリスクが指摘されている。CVSS 4.0で中程度の深刻度5.3を記録しており、既に攻撃コードも公開されているため、早急な対策が必要となっている。

【CVE-2024-10765】Codezips Online Institute Manag...

Codezips Online Institute Management System 1.0のprofile.phpファイルに深刻な脆弱性が発見された。old_image引数の操作により制限のないファイルアップロードが可能となり、遠隔からの攻撃実行のリスクが指摘されている。CVSS 4.0で中程度の深刻度5.3を記録しており、既に攻撃コードも公開されているため、早急な対策が必要となっている。

【CVE-2024-10764】Codezips Online Institute Management System 1.0に無制限アップロードの脆弱性、リモート攻撃のリスクに注意

【CVE-2024-10764】Codezips Online Institute Manag...

Codezips社のOnline Institute Management System 1.0において、画像アップロード機能に重大な脆弱性が発見された。CVE-2024-10764として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)と評価され、無制限アップロードやアクセス制御の不備など複数のセキュリティ上の問題点が指摘されている。リモートからの攻撃が可能であり、早急な対策が求められる。

【CVE-2024-10764】Codezips Online Institute Manag...

Codezips社のOnline Institute Management System 1.0において、画像アップロード機能に重大な脆弱性が発見された。CVE-2024-10764として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)と評価され、無制限アップロードやアクセス制御の不備など複数のセキュリティ上の問題点が指摘されている。リモートからの攻撃が可能であり、早急な対策が求められる。

【CVE-2024-10753】PHPGurukul Online Shopping Portal 2.0にクロスサイトスクリプティングの脆弱性、管理画面での情報漏洩のリスクに警戒

【CVE-2024-10753】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理者用ファイルdom_data_two_headers.phpにクロスサイトスクリプティングの脆弱性が発見された。VulDBによって【CVE-2024-10753】として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)に分類され、リモートからの攻撃が可能な状態であることが判明。既にエクスプロイトが公開されており、早急な対応が求められている。

【CVE-2024-10753】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理者用ファイルdom_data_two_headers.phpにクロスサイトスクリプティングの脆弱性が発見された。VulDBによって【CVE-2024-10753】として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)に分類され、リモートからの攻撃が可能な状態であることが判明。既にエクスプロイトが公開されており、早急な対応が求められている。

【CVE-2024-10751】Codezips ISP Management System 1.0にSQL injection脆弱性、認証済みユーザーによる遠隔攻撃が可能な状態に

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。

【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱性、リモート攻撃の可能性で対応急ぐ

【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱...

ThinkAdmin 6.1.67以前のバージョンで重大な脆弱性が発見された。/app/admin/controller/api/Plugs.phpファイル内のscript関数におけるuptokenの引数操作によってデシリアリゼーション攻撃が可能となる。リモートからの攻撃が可能で、機密性・整合性・可用性に影響を及ぼす可能性があり、早急な対応が必要な状況だ。ベンダーへの早期情報開示も行われたが、現時点で対応は行われていない。

【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱...

ThinkAdmin 6.1.67以前のバージョンで重大な脆弱性が発見された。/app/admin/controller/api/Plugs.phpファイル内のscript関数におけるuptokenの引数操作によってデシリアリゼーション攻撃が可能となる。リモートからの攻撃が可能で、機密性・整合性・可用性に影響を及ぼす可能性があり、早急な対応が必要な状況だ。ベンダーへの早期情報開示も行われたが、現時点で対応は行われていない。

【CVE-2024-10748】Cosmote Greece What's Up App 4.47.3のRealm Databaseに暗号化キーの脆弱性が発見、影響は限定的と評価

【CVE-2024-10748】Cosmote Greece What's Up App 4....

Cosmote GreeceのWhat's Up App 4.47.3において、Realm Databaseコンポーネントにデフォルトの暗号化キーを使用する脆弱性が発見された。CVE-2024-10748として識別されたこの問題は、ローカルアクセスと特権が必要とされ、攻撃の複雑さも高いため影響は限定的と評価されている。しかし、ベンダーからの対応は現時点でなく、セキュリティ専門家からは適切な暗号化実装の必要性が指摘されている。

【CVE-2024-10748】Cosmote Greece What's Up App 4....

Cosmote GreeceのWhat's Up App 4.47.3において、Realm Databaseコンポーネントにデフォルトの暗号化キーを使用する脆弱性が発見された。CVE-2024-10748として識別されたこの問題は、ローカルアクセスと特権が必要とされ、攻撃の複雑さも高いため影響は限定的と評価されている。しかし、ベンダーからの対応は現時点でなく、セキュリティ専門家からは適切な暗号化実装の必要性が指摘されている。

【CVE-2024-10597】ESAFENET CDG 5にSQL injection脆弱性が発見、リモートからの攻撃が可能に

【CVE-2024-10597】ESAFENET CDG 5にSQL injection脆弱性...

VulDBはESAFENET CDG 5のdelPolicyAction機能に重大な脆弱性を発見し、2024年10月31日に公開した。この脆弱性はSQL injectionを可能とし、リモートからの攻撃が可能。CVSSスコアは3.1と3.0で6.3(Medium)、4.0で5.3(Medium)と評価されており、confidentiality、integrity、availabilityへの影響は全てLowとされている。ベンダーからの応答はなく、早急な対応が必要な状況となっている。

【CVE-2024-10597】ESAFENET CDG 5にSQL injection脆弱性...

VulDBはESAFENET CDG 5のdelPolicyAction機能に重大な脆弱性を発見し、2024年10月31日に公開した。この脆弱性はSQL injectionを可能とし、リモートからの攻撃が可能。CVSSスコアは3.1と3.0で6.3(Medium)、4.0で5.3(Medium)と評価されており、confidentiality、integrity、availabilityへの影響は全てLowとされている。ベンダーからの応答はなく、早急な対応が必要な状況となっている。

【CVE-2024-10505】wuzhicms 4.1.0にコード実行の脆弱性、リモート攻撃のリスクが深刻に

【CVE-2024-10505】wuzhicms 4.1.0にコード実行の脆弱性、リモート攻撃...

VulDBは2024年10月30日、wuzhicms 4.1.0のblock.phpファイルにおけるコード実行の脆弱性を公開した。CVE-2024-10505として識別されるこの脆弱性は、add/edit機能に影響を与えるコード注入の問題であり、リモートからの攻撃が可能な深刻な脆弱性となっている。CVSS 4.0では5.3(MEDIUM)と評価され、認証された攻撃者によって悪用される可能性が指摘されている。

【CVE-2024-10505】wuzhicms 4.1.0にコード実行の脆弱性、リモート攻撃...

VulDBは2024年10月30日、wuzhicms 4.1.0のblock.phpファイルにおけるコード実行の脆弱性を公開した。CVE-2024-10505として識別されるこの脆弱性は、add/edit機能に影響を与えるコード注入の問題であり、リモートからの攻撃が可能な深刻な脆弱性となっている。CVSS 4.0では5.3(MEDIUM)と評価され、認証された攻撃者によって悪用される可能性が指摘されている。

【CVE-2024-10501】ESAFENET CDG 5にSQL injectionの脆弱性が発見、早急な対策が必要な状況に

【CVE-2024-10501】ESAFENET CDG 5にSQL injectionの脆弱...

ESAFENET CDG 5のExamCDGDocService.javaファイルのfindById関数にSQL injection脆弱性が発見された。CVSSスコア6.3のミディアムに分類される重大な脆弱性で、リモートからの攻撃が可能。既にエクスプロイトコードが公開されており、早急な対策が必要とされている。ベンダーへの通知も行われているが、現時点で対応は行われていない状況だ。

【CVE-2024-10501】ESAFENET CDG 5にSQL injectionの脆弱...

ESAFENET CDG 5のExamCDGDocService.javaファイルのfindById関数にSQL injection脆弱性が発見された。CVSSスコア6.3のミディアムに分類される重大な脆弱性で、リモートからの攻撃が可能。既にエクスプロイトコードが公開されており、早急な対策が必要とされている。ベンダーへの通知も行われているが、現時点で対応は行われていない状況だ。

【CVE-2024-10372】chidiwilliams buzz 1.1.0に一時ファイル処理の脆弱性、ベンダー未対応で脆弱性情報が公開される状態に

【CVE-2024-10372】chidiwilliams buzz 1.1.0に一時ファイル...

セキュリティ研究者によりchidiwilliams buzz 1.1.0のモデルローダー機能に安全でない一時ファイル処理の脆弱性が発見された。buzz/model_loader.pyファイル内のdownload_model関数に存在するこの脆弱性は、CVSS 4.0で2.0(低)、CVSS 3.1で4.5(中)と評価されている。ローカルホストでの攻撃実行が必要で複雑性は高いものの、ベンダーは通知に対して未対応の状態が続いている。

【CVE-2024-10372】chidiwilliams buzz 1.1.0に一時ファイル...

セキュリティ研究者によりchidiwilliams buzz 1.1.0のモデルローダー機能に安全でない一時ファイル処理の脆弱性が発見された。buzz/model_loader.pyファイル内のdownload_model関数に存在するこの脆弱性は、CVSS 4.0で2.0(低)、CVSS 3.1で4.5(中)と評価されている。ローカルホストでの攻撃実行が必要で複雑性は高いものの、ベンダーは通知に対して未対応の状態が続いている。

【CVE-2024-10011】BuddyPress 14.1.0にディレクトリトラバーサルの脆弱性、Windows環境で深刻な影響の可能性

【CVE-2024-10011】BuddyPress 14.1.0にディレクトリトラバーサルの...

WordPressプラグインのBuddyPressにおいて、バージョン14.1.0以前に深刻なディレクトリトラバーサル脆弱性が発見された。CVSSスコア8.1のHIGH評価を受けたこの脆弱性は、Windows環境でSubscriber以上の権限を持つユーザーによって悪用される可能性がある。既に修正版のバージョン14.2.1がリリースされており、早急なアップデートが推奨される。

【CVE-2024-10011】BuddyPress 14.1.0にディレクトリトラバーサルの...

WordPressプラグインのBuddyPressにおいて、バージョン14.1.0以前に深刻なディレクトリトラバーサル脆弱性が発見された。CVSSスコア8.1のHIGH評価を受けたこの脆弱性は、Windows環境でSubscriber以上の権限を持つユーザーによって悪用される可能性がある。既に修正版のバージョン14.2.1がリリースされており、早急なアップデートが推奨される。

PowerToysがAdvanced Paste機能を公開、クリップボード操作の効率化とAI活用で生産性向上へ

PowerToysがAdvanced Paste機能を公開、クリップボード操作の効率化とAI活...

MicrosoftはPowerToysに新機能Advanced Pasteを追加し、クリップボードの内容を様々な形式に変換してペーストできる機能を実装。プレーンテキスト、Markdown、JSON、各種ファイル形式に対応し、AI機能を活用した高度な変換処理も可能。ローカルでの画像テキスト抽出やショートカットキーのカスタマイズにも対応し、開発者やオフィスワーカーの作業効率向上に貢献する。

PowerToysがAdvanced Paste機能を公開、クリップボード操作の効率化とAI活...

MicrosoftはPowerToysに新機能Advanced Pasteを追加し、クリップボードの内容を様々な形式に変換してペーストできる機能を実装。プレーンテキスト、Markdown、JSON、各種ファイル形式に対応し、AI機能を活用した高度な変換処理も可能。ローカルでの画像テキスト抽出やショートカットキーのカスタマイズにも対応し、開発者やオフィスワーカーの作業効率向上に貢献する。

BBSecがSentinelOne Singularityベースの新MSSを提供開始、24時間365日の監視体制でセキュリティ強化を実現

BBSecがSentinelOne Singularityベースの新MSSを提供開始、24時間...

BBSecは2024年11月6日、SentinelOneのエンタープライズサイバーセキュリティプラットフォームとMSSを組み合わせた「EDR-MSS for SentinelOne Singularity」の提供を開始した。自立型AIによる高度なマルウェア検知と自動対処機能を備え、24時間365日体制の監視サービスにより、顧客企業のセキュリティ体制強化を支援する。

BBSecがSentinelOne Singularityベースの新MSSを提供開始、24時間...

BBSecは2024年11月6日、SentinelOneのエンタープライズサイバーセキュリティプラットフォームとMSSを組み合わせた「EDR-MSS for SentinelOne Singularity」の提供を開始した。自立型AIによる高度なマルウェア検知と自動対処機能を備え、24時間365日体制の監視サービスにより、顧客企業のセキュリティ体制強化を支援する。

HOT TOPICS