Tech Insights

【CVE-2024-47452】Adobe Illustrator 28.7.1に深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-47452】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに影響を与える深刻な脆弱性【CVE-2024-47452】を公開した。境界外書き込みの問題により、攻撃者が細工したファイルを開かせることで任意のコード実行が可能となる。CVSSスコアは7.8と高い値を示しており、早急な対応が求められている。

【CVE-2024-47452】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに影響を与える深刻な脆弱性【CVE-2024-47452】を公開した。境界外書き込みの問題により、攻撃者が細工したファイルを開かせることで任意のコード実行が可能となる。CVSSスコアは7.8と高い値を示しており、早急な対応が求められている。

【CVE-2024-47453】Adobe Illustrator 28.7.1以前にメモリ脆弱性、ASLRの保護機能回避のリスクが発生

【CVE-2024-47453】Adobe Illustrator 28.7.1以前にメモリ脆...

Adobe IllustratorのバージョンK28.7.1以前に範囲外読み取りの脆弱性が発見された。この脆弱性により機密性の高いメモリ情報が漏洩する可能性があり、攻撃者がASLRなどの保護機能を回避するために悪用するリスクが指摘されている。CVSSスコアは5.5(Medium)で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの関与が必須となる。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-47453】Adobe Illustrator 28.7.1以前にメモリ脆...

Adobe IllustratorのバージョンK28.7.1以前に範囲外読み取りの脆弱性が発見された。この脆弱性により機密性の高いメモリ情報が漏洩する可能性があり、攻撃者がASLRなどの保護機能を回避するために悪用するリスクが指摘されている。CVSSスコアは5.5(Medium)で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの関与が必須となる。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-45147】Adobe Bridge 13.0.9、14.1.2以前に範囲外読み取りの脆弱性、ASLRバイパスのリスクに注意

【CVE-2024-45147】Adobe Bridge 13.0.9、14.1.2以前に範囲...

Adobe Bridgeの13.0.9、14.1.2以前のバージョンに範囲外読み取りの脆弱性が発見された。この脆弱性は機密メモリの漏洩を引き起こす可能性があり、攻撃者がASLRなどの保護機能をバイパスするために利用される危険性がある。CVSSスコアは5.5で中程度の深刻度とされ、攻撃には被害者が悪意のあるファイルを開く必要がある。セキュリティ対策の強化が求められる。

【CVE-2024-45147】Adobe Bridge 13.0.9、14.1.2以前に範囲...

Adobe Bridgeの13.0.9、14.1.2以前のバージョンに範囲外読み取りの脆弱性が発見された。この脆弱性は機密メモリの漏洩を引き起こす可能性があり、攻撃者がASLRなどの保護機能をバイパスするために利用される危険性がある。CVSSスコアは5.5で中程度の深刻度とされ、攻撃には被害者が悪意のあるファイルを開く必要がある。セキュリティ対策の強化が求められる。

【CVE-2024-45114】Adobe Illustrator 28.7.1以前に範囲外書き込みの脆弱性、任意のコード実行のリスクが発生

【CVE-2024-45114】Adobe Illustrator 28.7.1以前に範囲外書...

Adobe社がIllustrator 28.7.1以前のバージョンに存在する範囲外書き込みの脆弱性(CVE-2024-45114)を公開した。この脆弱性は悪意のあるファイルを開くことで攻撃を受ける可能性があり、現在のユーザーコンテキストで任意のコードを実行されるリスクがある。CVSSスコアは7.8と高く、早急な対応が推奨されている。

【CVE-2024-45114】Adobe Illustrator 28.7.1以前に範囲外書...

Adobe社がIllustrator 28.7.1以前のバージョンに存在する範囲外書き込みの脆弱性(CVE-2024-45114)を公開した。この脆弱性は悪意のあるファイルを開くことで攻撃を受ける可能性があり、現在のユーザーコンテキストで任意のコードを実行されるリスクがある。CVSSスコアは7.8と高く、早急な対応が推奨されている。

【CVE-2024-46888】SINEC INSにパストラバーサルの脆弱性、認証済み攻撃者による任意のコード実行が可能に

【CVE-2024-46888】SINEC INSにパストラバーサルの脆弱性、認証済み攻撃者に...

Siemens社のSINEC INSにおいて、SFTPベースのファイルアップロードおよびダウンロードに関するパストラバーサル脆弱性が発見された。V1.0 SP2 Update 3未満の全バージョンが影響を受け、認証済みのリモート攻撃者による任意のコード実行が可能となる。CVSS v3.1で9.9、CVSS v4.0で9.4のCriticalレベルに分類されており、早急な対応が求められている。

【CVE-2024-46888】SINEC INSにパストラバーサルの脆弱性、認証済み攻撃者に...

Siemens社のSINEC INSにおいて、SFTPベースのファイルアップロードおよびダウンロードに関するパストラバーサル脆弱性が発見された。V1.0 SP2 Update 3未満の全バージョンが影響を受け、認証済みのリモート攻撃者による任意のコード実行が可能となる。CVSS v3.1で9.9、CVSS v4.0で9.4のCriticalレベルに分類されており、早急な対応が求められている。

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースのバッファオーバーフロー脆弱性が発見、リモート攻撃のリスクに警鐘

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースの...

TendaのAC10 16.03.10.13において、/goform/fast_setting_wifi_setファイルのFUN_0044db3c関数に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11061】として識別され、timeZoneパラメータの操作によってスタックベースのバッファオーバーフローが発生する可能性がある。CVSS 4.0で8.7というハイレベルの深刻度が付与されており、リモートからの攻撃が可能な状態となっている。

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースの...

TendaのAC10 16.03.10.13において、/goform/fast_setting_wifi_setファイルのFUN_0044db3c関数に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11061】として識別され、timeZoneパラメータの操作によってスタックベースのバッファオーバーフローが発生する可能性がある。CVSS 4.0で8.7というハイレベルの深刻度が付与されており、リモートからの攻撃が可能な状態となっている。

【CVE-2024-10672】Multiple Page Generator Plugin – MPGに認証済みディレクトリトラバーサルの脆弱性、早急な更新が必要に

【CVE-2024-10672】Multiple Page Generator Plugin ...

WordfenceはWordPress用プラグインMultiple Page Generator Plugin – MPGにおいて、バージョン4.0.2以前に認証済みディレクトリトラバーサルによる任意のファイル削除の脆弱性が存在することを公開した。エディターレベル以上の権限を持つ攻撃者がサーバー上の特定のファイルを削除できる可能性があり、早急な対応が必要となっている。

【CVE-2024-10672】Multiple Page Generator Plugin ...

WordfenceはWordPress用プラグインMultiple Page Generator Plugin – MPGにおいて、バージョン4.0.2以前に認証済みディレクトリトラバーサルによる任意のファイル削除の脆弱性が存在することを公開した。エディターレベル以上の権限を持つ攻撃者がサーバー上の特定のファイルを削除できる可能性があり、早急な対応が必要となっている。

【CVE-2024-29211】Ivanti Secure Access Client 22.7R4未満にレース条件の脆弱性、設定ファイル改変のリスクに対処へ

【CVE-2024-29211】Ivanti Secure Access Client 22....

Ivantiは同社のSecure Access Clientにおいて、バージョン22.7R4未満の製品に設定ファイルの改変が可能となる脆弱性【CVE-2024-29211】を確認した。CVSSスコア7.1のHigh評価で、ローカルの認証済み攻撃者による設定ファイルの改変が可能となる。影響を受ける可能性のあるユーザーには、バージョン22.7R4への速やかなアップデートが推奨されている。

【CVE-2024-29211】Ivanti Secure Access Client 22....

Ivantiは同社のSecure Access Clientにおいて、バージョン22.7R4未満の製品に設定ファイルの改変が可能となる脆弱性【CVE-2024-29211】を確認した。CVSSスコア7.1のHigh評価で、ローカルの認証済み攻撃者による設定ファイルの改変が可能となる。影響を受ける可能性のあるユーザーには、バージョン22.7R4への速やかなアップデートが推奨されている。

【CVE-2024-25431】wasm-micro-runtimeに特権昇格の脆弱性、深刻度8.8のリスクで早急な対応が必要に

【CVE-2024-25431】wasm-micro-runtimeに特権昇格の脆弱性、深刻度...

bytecodealliance wasm-micro-runtimeのv.b3f728c以前のバージョンに特権昇格の脆弱性が発見された。check_was_abi_compatibility関数に対する細工されたファイルを通じて攻撃が可能で、CVSS評価は8.8(High)と高い深刻度が付与されている。CWE-125として分類され、自動化された攻撃の可能性も指摘されており、早急な対応が推奨される。

【CVE-2024-25431】wasm-micro-runtimeに特権昇格の脆弱性、深刻度...

bytecodealliance wasm-micro-runtimeのv.b3f728c以前のバージョンに特権昇格の脆弱性が発見された。check_was_abi_compatibility関数に対する細工されたファイルを通じて攻撃が可能で、CVSS評価は8.8(High)と高い深刻度が付与されている。CWE-125として分類され、自動化された攻撃の可能性も指摘されており、早急な対応が推奨される。

【CVE-2024-46955】Ghostscriptに境界外読み取りの脆弱性、バージョン10.04.0で修正パッチを提供

【CVE-2024-46955】Ghostscriptに境界外読み取りの脆弱性、バージョン10...

Artifex GhostscriptのIndexedカラースペース処理において境界外読み取りの脆弱性が発見された。CVSSスコア5.5(MEDIUM)と評価されるこの脆弱性は、psi/zcolor.cファイル内で発生し、システムの可用性に影響を与える可能性がある。Artifexは対策としてバージョン10.04.0でセキュリティパッチを提供しており、ユーザーに更新を推奨している。

【CVE-2024-46955】Ghostscriptに境界外読み取りの脆弱性、バージョン10...

Artifex GhostscriptのIndexedカラースペース処理において境界外読み取りの脆弱性が発見された。CVSSスコア5.5(MEDIUM)と評価されるこの脆弱性は、psi/zcolor.cファイル内で発生し、システムの可用性に影響を与える可能性がある。Artifexは対策としてバージョン10.04.0でセキュリティパッチを提供しており、ユーザーに更新を推奨している。

【CVE-2024-46951】Artifex Ghostscript 10.04.0未満に脆弱性、任意コード実行の危険性が浮上

【CVE-2024-46951】Artifex Ghostscript 10.04.0未満に脆...

Artifex GhostscriptのPattern色空間における実装ポインタの未チェックに起因する脆弱性が発見された。CVE-2024-46951として識別されるこの脆弱性は、psi/zcolor.cファイル内に存在し、任意のコード実行を許可してしまう可能性がある。CVSSスコアは7.8(HIGH)で、機密性・完全性・可用性すべてに高い影響を及ぼす可能性があるため、早急な対応が必要とされている。

【CVE-2024-46951】Artifex Ghostscript 10.04.0未満に脆...

Artifex GhostscriptのPattern色空間における実装ポインタの未チェックに起因する脆弱性が発見された。CVE-2024-46951として識別されるこの脆弱性は、psi/zcolor.cファイル内に存在し、任意のコード実行を許可してしまう可能性がある。CVSSスコアは7.8(HIGH)で、機密性・完全性・可用性すべてに高い影響を及ぼす可能性があるため、早急な対応が必要とされている。

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザーによる情報漏洩のリスクに警戒

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザ...

GitサーバーとCI/CD機能を提供するOneDevにおいて、バージョン11.0.9未満に深刻な認証回避の脆弱性が発見された。未認証ユーザーによる任意のファイル読み取りが可能となる問題が確認されており、CVSSスコア8.7(HIGH)と高い危険性が指摘されている。開発チームは直ちにバージョン11.0.9で修正を実施したが、早急なアップデートの適用が推奨される。

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザ...

GitサーバーとCI/CD機能を提供するOneDevにおいて、バージョン11.0.9未満に深刻な認証回避の脆弱性が発見された。未認証ユーザーによる任意のファイル読み取りが可能となる問題が確認されており、CVSSスコア8.7(HIGH)と高い危険性が指摘されている。開発チームは直ちにバージョン11.0.9で修正を実施したが、早急なアップデートの適用が推奨される。

【CVE-2024-5982】gaizhenbiao/chuanhuchatgptのパストラバーサル脆弱性、リモートコード実行のリスクに注意

【CVE-2024-5982】gaizhenbiao/chuanhuchatgptのパストラバ...

gaizhenbiao/chuanhuchatgptの最新バージョンにおいて、ユーザーアップロードやディレクトリ作成機能に深刻なパストラバーサルの脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、load_chat_history関数での任意のファイルアップロード、get_history_names関数での任意のディレクトリ作成、load_template関数でのCSVファイル漏洩の可能性など、複数の重要機能に影響を及ぼす。

【CVE-2024-5982】gaizhenbiao/chuanhuchatgptのパストラバ...

gaizhenbiao/chuanhuchatgptの最新バージョンにおいて、ユーザーアップロードやディレクトリ作成機能に深刻なパストラバーサルの脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、load_chat_history関数での任意のファイルアップロード、get_history_names関数での任意のディレクトリ作成、load_template関数でのCSVファイル漏洩の可能性など、複数の重要機能に影響を及ぼす。

【CVE-2024-51576】WordPress AMP Img Shortcode 1.0.1に格納型XSSの脆弱性、CVSSスコア6.5で中程度の深刻度

【CVE-2024-51576】WordPress AMP Img Shortcode 1.0...

WordPress用プラグインAMP Img Shortcode 1.0.1以前において格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-51576として識別されるこの脆弱性は、CVSS 3.1で6.5点と評価され中程度の深刻度。攻撃者は限定された特権でネットワークを介して攻撃を実行でき、ユーザーの関与が必要となるものの、スコープの変更を伴う可能性がある。

【CVE-2024-51576】WordPress AMP Img Shortcode 1.0...

WordPress用プラグインAMP Img Shortcode 1.0.1以前において格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-51576として識別されるこの脆弱性は、CVSS 3.1で6.5点と評価され中程度の深刻度。攻撃者は限定された特権でネットワークを介して攻撃を実行でき、ユーザーの関与が必要となるものの、スコープの変更を伴う可能性がある。

【CVE-2024-51484】Ampache 7.0.1未満でCSRF脆弱性を発見、管理者機能の不正操作の危険性

【CVE-2024-51484】Ampache 7.0.1未満でCSRF脆弱性を発見、管理者機...

Ampacheの音声・動画ストリーミングアプリケーションにおいて、コントローラーの有効化・無効化機能にCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価され、管理者権限での認証は必要だがユーザーの関与なく攻撃が可能とされている。開発チームは7.0.1へのアップグレードを推奨しており、現時点で他の回避策は存在しない。

【CVE-2024-51484】Ampache 7.0.1未満でCSRF脆弱性を発見、管理者機...

Ampacheの音声・動画ストリーミングアプリケーションにおいて、コントローラーの有効化・無効化機能にCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価され、管理者権限での認証は必要だがユーザーの関与なく攻撃が可能とされている。開発チームは7.0.1へのアップグレードを推奨しており、現時点で他の回避策は存在しない。

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPHPオブジェクトインジェクションの脆弱性発見、認証済みユーザーによる攻撃に注意

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPH...

WordPressテーマEmpowermentのバージョン1.0.2以前に、PHPオブジェクトインジェクションの脆弱性が発見された。Contributor以上の権限を持つ認証済みユーザーが悪用可能で、CVSSスコアは8.8と高く評価されている。追加のプラグインやテーマがインストールされている環境では、任意のファイルの削除や機密データの取得、コードの実行などの攻撃が可能になる可能性がある。

【CVE-2024-7433】WordPressテーマEmpowerment 1.0.2にPH...

WordPressテーマEmpowermentのバージョン1.0.2以前に、PHPオブジェクトインジェクションの脆弱性が発見された。Contributor以上の権限を持つ認証済みユーザーが悪用可能で、CVSSスコアは8.8と高く評価されている。追加のプラグインやテーマがインストールされている環境では、任意のファイルの削除や機密データの取得、コードの実行などの攻撃が可能になる可能性がある。

【CVE-2024-47942】SiemensがSolid Edge SE2024のDLLハイジャック脆弱性を公開、早急なアップデートが必要に

【CVE-2024-47942】SiemensがSolid Edge SE2024のDLLハイ...

Siemens社は3D CADソフトウェアSolid Edge SE2024において、DLLハイジャックの脆弱性【CVE-2024-47942】を公開した。V224.0 Update 9より前のバージョンが影響を受け、攻撃者が細工されたDLLファイルをシステムに配置することで任意のコード実行が可能になる。CVSSスコアはv3.1で7.3、v4.0で7.0と高い危険度を示しており、早急なアップデートが推奨されている。

【CVE-2024-47942】SiemensがSolid Edge SE2024のDLLハイ...

Siemens社は3D CADソフトウェアSolid Edge SE2024において、DLLハイジャックの脆弱性【CVE-2024-47942】を公開した。V224.0 Update 9より前のバージョンが影響を受け、攻撃者が細工されたDLLファイルをシステムに配置することで任意のコード実行が可能になる。CVSSスコアはv3.1で7.3、v4.0で7.0と高い危険度を示しており、早急なアップデートが推奨されている。

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Injection脆弱性、認証済みユーザーによる攻撃の可能性

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Inj...

WordPressテーマUnseen Blog 1.0.0以前にPHP Object Injectionの脆弱性が発見された。CVE-2024-7432として識別されるこの脆弱性は、投稿者以上の権限を持つ認証済みユーザーが任意のPHPオブジェクトを注入可能。POP chainが存在する環境では、任意のファイル削除や機密データの取得、コード実行などの深刻な影響が懸念される。CVSSスコアは8.8(HIGH)と評価されており、早急な対応が推奨される。

【CVE-2024-7432】Unseen Blog 1.0.0にPHP Object Inj...

WordPressテーマUnseen Blog 1.0.0以前にPHP Object Injectionの脆弱性が発見された。CVE-2024-7432として識別されるこの脆弱性は、投稿者以上の権限を持つ認証済みユーザーが任意のPHPオブジェクトを注入可能。POP chainが存在する環境では、任意のファイル削除や機密データの取得、コード実行などの深刻な影響が懸念される。CVSSスコアは8.8(HIGH)と評価されており、早急な対応が推奨される。

【CVE-2024-11099】code-projects Job Recruitment 1.0にSQLインジェクションの脆弱性が発見、即時の対応が必要に

【CVE-2024-11099】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のlogin.phpファイルにおいて、emailパラメータに対するSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特権も必要としないため、早急な対応が求められる。既に攻撃コードが公開されており、データベースへの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2024-11099】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のlogin.phpファイルにおいて、emailパラメータに対するSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特権も必要としないため、早急な対応が求められる。既に攻撃コードが公開されており、データベースへの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2024-11076】code-projects Job Recruitment 1.0にSQL injection脆弱性、リモートからの攻撃が可能に

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-11058】CodeAstro Real Estate Management System 1.0でSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-11054】Simple Music Cloud Community System 1.0に深刻な脆弱性、リモートからの攻撃が可能な状態に

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-47458】Adobe Bridge 14.1.2にNULLポインタ参照の脆弱性、サービス拒否の可能性が浮上

【CVE-2024-47458】Adobe Bridge 14.1.2にNULLポインタ参照の...

Adobe Bridgeバージョン13.0.9および14.1.2以前に、NULLポインタ参照の脆弱性が発見された。CVSSスコアは5.5(中程度)で、悪意のあるファイルを開くことでアプリケーションがクラッシュし、サービス拒否状態を引き起こす可能性がある。攻撃には特権は不要だが、ユーザーの操作が必要。SSVCの評価では自動化された攻撃は確認されていないものの、技術的な影響は部分的とされている。

【CVE-2024-47458】Adobe Bridge 14.1.2にNULLポインタ参照の...

Adobe Bridgeバージョン13.0.9および14.1.2以前に、NULLポインタ参照の脆弱性が発見された。CVSSスコアは5.5(中程度)で、悪意のあるファイルを開くことでアプリケーションがクラッシュし、サービス拒否状態を引き起こす可能性がある。攻撃には特権は不要だが、ユーザーの操作が必要。SSVCの評価では自動化された攻撃は確認されていないものの、技術的な影響は部分的とされている。

【CVE-2024-47455】Adobe Illustrator 28.7.1以前に脆弱性、メモリ情報漏洩のリスクが浮上

【CVE-2024-47455】Adobe Illustrator 28.7.1以前に脆弱性、...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに範囲外読み取りの脆弱性が存在することを公表した。CVE-2024-47455として識別されるこの脆弱性は、悪意のあるファイルを開くことでメモリの機密情報が漏洩し、ASLRなどの保護機能を回避される可能性がある。CVSSスコアは5.5であり、早急な対応が求められている。

【CVE-2024-47455】Adobe Illustrator 28.7.1以前に脆弱性、...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに範囲外読み取りの脆弱性が存在することを公表した。CVE-2024-47455として識別されるこの脆弱性は、悪意のあるファイルを開くことでメモリの機密情報が漏洩し、ASLRなどの保護機能を回避される可能性がある。CVSSスコアは5.5であり、早急な対応が求められている。

【CVE-2024-47451】Adobe Illustrator 28.7.1に深刻な脆弱性、任意のコード実行の危険性が発覚

【CVE-2024-47451】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンにOut-of-Bounds Write脆弱性が存在することを公開した。この脆弱性はCVE-2024-47451として識別され、CVSSスコア7.8と高い深刻度が報告されている。悪意のあるファイルを開くことで任意のコード実行が可能となり、機密性、整合性、可用性のすべてに影響を与える可能性がある重大な問題として注目されている。

【CVE-2024-47451】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンにOut-of-Bounds Write脆弱性が存在することを公開した。この脆弱性はCVE-2024-47451として識別され、CVSSスコア7.8と高い深刻度が報告されている。悪意のあるファイルを開くことで任意のコード実行が可能となり、機密性、整合性、可用性のすべてに影響を与える可能性がある重大な問題として注目されている。

【CVE-2024-47441】After Effects 24.6.2以前のバージョンに深刻な脆弱性、任意のコード実行のリスクが浮上

【CVE-2024-47441】After Effects 24.6.2以前のバージョンに深刻...

Adobeは2024年11月12日、After Effectsのバージョン23.6.9および24.6.2以前に存在する深刻な脆弱性を公開した。Out-of-bounds Write(CWE-787)として分類されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、ユーザーが悪意のあるファイルを開くことで任意のコード実行が可能となる危険性がある。

【CVE-2024-47441】After Effects 24.6.2以前のバージョンに深刻...

Adobeは2024年11月12日、After Effectsのバージョン23.6.9および24.6.2以前に存在する深刻な脆弱性を公開した。Out-of-bounds Write(CWE-787)として分類されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、ユーザーが悪意のあるファイルを開くことで任意のコード実行が可能となる危険性がある。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆弱性、リモートコード実行のリスクが発生

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に修正パッチリリース予定

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に...

Netadmin Software社のNetAdmin IAM 3.5以前のバージョンにおいて、HTTP POSTリクエストハンドラーの実装に関する重大な脆弱性が発見された。この脆弱性はCVE-2024-9513として識別され、CVSS v4.0で6.3のミディアムスコアが付与されている。攻撃難易度は高いものの、リモートからの攻撃が可能であり、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に...

Netadmin Software社のNetAdmin IAM 3.5以前のバージョンにおいて、HTTP POSTリクエストハンドラーの実装に関する重大な脆弱性が発見された。この脆弱性はCVE-2024-9513として識別され、CVSS v4.0で6.3のミディアムスコアが付与されている。攻撃難易度は高いものの、リモートからの攻撃が可能であり、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-7434】UltraPress 1.2.1のPHPオブジェクトインジェクション脆弱性、認証済みユーザーによる重大な攻撃のリスクに警鐘

【CVE-2024-7434】UltraPress 1.2.1のPHPオブジェクトインジェクシ...

WordPressテーマのUltraPressにおいて、バージョン1.2.1以前に深刻な脆弱性が発見された。CVE-2024-7434として識別されるこの脆弱性は、Contributor以上の権限を持つ認証済みユーザーによるPHPオブジェクトインジェクションを可能にする。追加プラグインやテーマが存在する環境では、POPチェーンを介した任意のファイル削除やコード実行などの重大な被害につながる可能性がある。

【CVE-2024-7434】UltraPress 1.2.1のPHPオブジェクトインジェクシ...

WordPressテーマのUltraPressにおいて、バージョン1.2.1以前に深刻な脆弱性が発見された。CVE-2024-7434として識別されるこの脆弱性は、Contributor以上の権限を持つ認証済みユーザーによるPHPオブジェクトインジェクションを可能にする。追加プラグインやテーマが存在する環境では、POPチェーンを介した任意のファイル削除やコード実行などの重大な被害につながる可能性がある。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確認、管理者権限の悪用リスクに対応急ぐ

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。