Tech Insights
【CVE-2024-44246】AppleのPrivate Relay機能に脆弱性、Safar...
Appleは2024年12月11日、Private Relay機能とSafari Reading List機能の相互作用によってユーザーのIPアドレスが露出する可能性のある脆弱性を修正するセキュリティアップデートを公開した。CVSSスコア4.3の中程度の深刻度と評価され、macOS、iOS、iPadOS、Safariの各最新バージョンで修正が実施された。修正パッチの適用によりSafariのリクエストルーティングが改善され、セキュリティリスクが解消されている。
【CVE-2024-44246】AppleのPrivate Relay機能に脆弱性、Safar...
Appleは2024年12月11日、Private Relay機能とSafari Reading List機能の相互作用によってユーザーのIPアドレスが露出する可能性のある脆弱性を修正するセキュリティアップデートを公開した。CVSSスコア4.3の中程度の深刻度と評価され、macOS、iOS、iPadOS、Safariの各最新バージョンで修正が実施された。修正パッチの適用によりSafariのリクエストルーティングが改善され、セキュリティリスクが解消されている。
【CVE-2024-43750】Adobe Experience Manager 6.5.21...
Adobeは2024年12月10日、Adobe Experience Manager 6.5.21以前のバージョンに格納型クロスサイトスクリプティング(XSS)の脆弱性が存在することを公表した。CVSS 3.1で深刻度5.4(中程度)と評価されたこの脆弱性では、攻撃者が脆弱性のあるフォームフィールドに悪意のあるスクリプトを注入し、ユーザーのブラウザ上で不正なJavaScriptを実行させる可能性がある。
【CVE-2024-43750】Adobe Experience Manager 6.5.21...
Adobeは2024年12月10日、Adobe Experience Manager 6.5.21以前のバージョンに格納型クロスサイトスクリプティング(XSS)の脆弱性が存在することを公表した。CVSS 3.1で深刻度5.4(中程度)と評価されたこの脆弱性では、攻撃者が脆弱性のあるフォームフィールドに悪意のあるスクリプトを注入し、ユーザーのブラウザ上で不正なJavaScriptを実行させる可能性がある。
東芝デジタルソリューションズがDNCWARE Blockchain+の新バージョンを発表、運用...
東芝デジタルソリューションズがエンタープライズ向けブロックチェーン「DNCWARE Blockchain+」の新バージョンを提供開始した。合意形成アルゴリズムの改良により最少4ノードで可用性とビザンチン障害耐性を確保。ファイアウォールで隔離されたネットワークへのノード設置やプライベートネットワーク上のサーバーの利用も可能になり、企業や自治体の共同運営がさらに容易になった。
東芝デジタルソリューションズがDNCWARE Blockchain+の新バージョンを発表、運用...
東芝デジタルソリューションズがエンタープライズ向けブロックチェーン「DNCWARE Blockchain+」の新バージョンを提供開始した。合意形成アルゴリズムの改良により最少4ノードで可用性とビザンチン障害耐性を確保。ファイアウォールで隔離されたネットワークへのノード設置やプライベートネットワーク上のサーバーの利用も可能になり、企業や自治体の共同運営がさらに容易になった。
【CVE-2024-11651】EnGenius製品に重大な脆弱性、遠隔からのコマンドインジェ...
EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が発見された。wifi_schedule_day_em_5引数の操作によるコマンドインジェクションが可能で、遠隔からの攻撃リスクが存在する。CVSSスコア5.1のMEDIUM評価だが、ベンダーの対応が遅れており、ユーザーによる独自の対策が必要となっている。
【CVE-2024-11651】EnGenius製品に重大な脆弱性、遠隔からのコマンドインジェ...
EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が発見された。wifi_schedule_day_em_5引数の操作によるコマンドインジェクションが可能で、遠隔からの攻撃リスクが存在する。CVSSスコア5.1のMEDIUM評価だが、ベンダーの対応が遅れており、ユーザーによる独自の対策が必要となっている。
【CVE-2024-48874】Ruijie Reyee OSにサーバーサイドリクエストフォー...
CISAが2024年12月6日、Ruijie Reyee OSのバージョン2.206.xから2.320.x未満において、サーバーサイドリクエストフォージェリ(SSRF)の重大な脆弱性を公開。CVSSスコア9.8のクリティカルな脆弱性として評価され、攻撃者による内部クラウドインフラストラクチャへのアクセスを許してしまう可能性がある。特別な権限や利用者の関与を必要としない点が特に深刻とされている。
【CVE-2024-48874】Ruijie Reyee OSにサーバーサイドリクエストフォー...
CISAが2024年12月6日、Ruijie Reyee OSのバージョン2.206.xから2.320.x未満において、サーバーサイドリクエストフォージェリ(SSRF)の重大な脆弱性を公開。CVSSスコア9.8のクリティカルな脆弱性として評価され、攻撃者による内部クラウドインフラストラクチャへのアクセスを許してしまう可能性がある。特別な権限や利用者の関与を必要としない点が特に深刻とされている。
Akamai Guardicore Segmentationが152%のROIを達成、3年間で...
Akamai Technologies, Inc.がAkamai Guardicore Segmentationの調査結果を発表。3年間で960万米ドルの総利益を達成し、6か月未満での投資回収を実現。インシデント管理作業が70%削減され、セキュリティ担当者数も33%削減。レガシーシステムの削減により290万米ドル以上のコスト削減効果も。マイクロセグメンテーション技術により、効果的な脅威対策とネットワークの可視性向上を実現している。
Akamai Guardicore Segmentationが152%のROIを達成、3年間で...
Akamai Technologies, Inc.がAkamai Guardicore Segmentationの調査結果を発表。3年間で960万米ドルの総利益を達成し、6か月未満での投資回収を実現。インシデント管理作業が70%削減され、セキュリティ担当者数も33%削減。レガシーシステムの削減により290万米ドル以上のコスト削減効果も。マイクロセグメンテーション技術により、効果的な脅威対策とネットワークの可視性向上を実現している。
【CVE-2024-9677】Zyxel製USG FLEX H seriesに認証トークンの脆...
Zyxel社のUSG FLEX H series uOSファームウェアV1.21以前において、CLIコマンドに関連する認証トークンの脆弱性が発見された。この脆弱性は【CVE-2024-9677】として識別され、認証済みローカル攻撃者が管理者の認証トークンを窃取することで権限昇格を実行できる可能性がある。CVSS v3.1による評価では深刻度は「Medium」でスコアは5.5とされている。
【CVE-2024-9677】Zyxel製USG FLEX H seriesに認証トークンの脆...
Zyxel社のUSG FLEX H series uOSファームウェアV1.21以前において、CLIコマンドに関連する認証トークンの脆弱性が発見された。この脆弱性は【CVE-2024-9677】として識別され、認証済みローカル攻撃者が管理者の認証トークンを窃取することで権限昇格を実行できる可能性がある。CVSS v3.1による評価では深刻度は「Medium」でスコアは5.5とされている。
【CVE-2024-11667】Zyxelの複数ファームウェアにディレクトリトラバーサルの脆弱...
Zyxel Corporationは2024年11月27日、ATP seriesやUSG FLEX seriesなど4シリーズのファームウェアにディレクトリトラバーサルの脆弱性が存在することを公表した。この脆弱性により、攻撃者は細工されたURLを使用して対象システム上のファイルを不正に操作することが可能となる。CVSSスコアは7.5と高く、早急な対策が求められている。
【CVE-2024-11667】Zyxelの複数ファームウェアにディレクトリトラバーサルの脆弱...
Zyxel Corporationは2024年11月27日、ATP seriesやUSG FLEX seriesなど4シリーズのファームウェアにディレクトリトラバーサルの脆弱性が存在することを公表した。この脆弱性により、攻撃者は細工されたURLを使用して対象システム上のファイルを不正に操作することが可能となる。CVSSスコアは7.5と高く、早急な対策が求められている。
EGセキュアソリューションズがSiteGuardシリーズの新ライセンスを発表、WAFの運用負荷...
EGセキュアソリューションズ株式会社は、WAF製品群「SiteGuardシリーズ」の新製品として「SiteGuard Server Editionマネージドライセンス」を2024年11月より提供開始した。専門エンジニアによるWAFルールの設定代行とクラウド上での集中管理機能を備え、24時間365日の稼働監視体制を確立している。高度なセキュリティ環境の構築と運用負荷の軽減を実現する新サービスとなる。
EGセキュアソリューションズがSiteGuardシリーズの新ライセンスを発表、WAFの運用負荷...
EGセキュアソリューションズ株式会社は、WAF製品群「SiteGuardシリーズ」の新製品として「SiteGuard Server Editionマネージドライセンス」を2024年11月より提供開始した。専門エンジニアによるWAFルールの設定代行とクラウド上での集中管理機能を備え、24時間365日の稼働監視体制を確立している。高度なセキュリティ環境の構築と運用負荷の軽減を実現する新サービスとなる。
MicrosoftがEntra External IDのCustom URL Domainsを...
MicrosoftはEntra External IDのCustom URL Domains機能の一般提供を開始した。この機能により組織は認証エンドポイントに独自ドメインを使用可能となり、ブランドアイデンティティの強化とセキュリティの向上を実現。Azure Front Doorとの統合でWAFルールの追加も可能となり、より包括的なセキュリティソリューションを提供する。
MicrosoftがEntra External IDのCustom URL Domainsを...
MicrosoftはEntra External IDのCustom URL Domains機能の一般提供を開始した。この機能により組織は認証エンドポイントに独自ドメインを使用可能となり、ブランドアイデンティティの強化とセキュリティの向上を実現。Azure Front Doorとの統合でWAFルールの追加も可能となり、より包括的なセキュリティソリューションを提供する。
CTC GlobalマレーシアがSOCを開設、ASEAN諸国のセキュリティ監視体制が強化へ
CTC Global Sdn. Bhd.がマレーシアにセキュリティ・オペレーション・センター「CTC Global SOC」を開設。24時間365日体制でセキュリティ機器を監視し、日系企業や現地法人のシステムセキュリティを強化する。日本のCTC-SOCと連携してサイバー攻撃のトレンドを分析し、最新の防御策を提供。ASEAN地域でのセキュリティサービスのグローバル展開を加速させる。
CTC GlobalマレーシアがSOCを開設、ASEAN諸国のセキュリティ監視体制が強化へ
CTC Global Sdn. Bhd.がマレーシアにセキュリティ・オペレーション・センター「CTC Global SOC」を開設。24時間365日体制でセキュリティ機器を監視し、日系企業や現地法人のシステムセキュリティを強化する。日本のCTC-SOCと連携してサイバー攻撃のトレンドを分析し、最新の防御策を提供。ASEAN地域でのセキュリティサービスのグローバル展開を加速させる。
オイシックス・ラ・大地のECサイトでパスワードリスト型攻撃による大規模な個人情報流出の可能性が...
オイシックス・ラ・大地が運営する食品宅配ECサービス「Oisix.com」において、パスワードリスト型攻撃による不正ログインが発生し、9万7533件の個人情報が閲覧された可能性があることが判明した。WAFを導入済みだったものの攻撃を防げず、今後のセキュリティ対策強化が急務となっている。クレジットカード情報は決済代行会社で保持しているため流出の可能性はないという。
オイシックス・ラ・大地のECサイトでパスワードリスト型攻撃による大規模な個人情報流出の可能性が...
オイシックス・ラ・大地が運営する食品宅配ECサービス「Oisix.com」において、パスワードリスト型攻撃による不正ログインが発生し、9万7533件の個人情報が閲覧された可能性があることが判明した。WAFを導入済みだったものの攻撃を防げず、今後のセキュリティ対策強化が急務となっている。クレジットカード情報は決済代行会社で保持しているため流出の可能性はないという。
【CVE-2024-9410】Ada.cxのSentry設定でSSRF脆弱性が発見、データスク...
Tenable Network SecurityはAda.cxのSentry設定において、データスクレイピングエンドポイントを介したブラインドサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見した。CVE-2024-9410として識別されたこの脆弱性は、2024年10月1日以前のバージョンに影響を与え、CVSS v3.1で5.3(中程度)と評価されている。特権レベルや利用者の関与が不要で、ネットワークを介した攻撃が可能な状態となっている。
【CVE-2024-9410】Ada.cxのSentry設定でSSRF脆弱性が発見、データスク...
Tenable Network SecurityはAda.cxのSentry設定において、データスクレイピングエンドポイントを介したブラインドサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見した。CVE-2024-9410として識別されたこの脆弱性は、2024年10月1日以前のバージョンに影響を与え、CVSS v3.1で5.3(中程度)と評価されている。特権レベルや利用者の関与が不要で、ネットワークを介した攻撃が可能な状態となっている。
【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...
115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。
【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...
115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。
【CVE-2024-7016】Smart DoctorでストアドXSS脆弱性が発見、医療システ...
TR-CERTは、Smarttek InformaticsのSmart Doctorにストアド型XSSの脆弱性(CVE-2024-7016)を発見したと報告した。CVSSスコア7.5(High)と評価され、2024年11月21日までのすべてのバージョンが影響を受けている。ベンダーへの早期連絡にも関わらず応答が得られておらず、医療システムのセキュリティリスクが懸念されている。
【CVE-2024-7016】Smart DoctorでストアドXSS脆弱性が発見、医療システ...
TR-CERTは、Smarttek InformaticsのSmart Doctorにストアド型XSSの脆弱性(CVE-2024-7016)を発見したと報告した。CVSSスコア7.5(High)と評価され、2024年11月21日までのすべてのバージョンが影響を受けている。ベンダーへの早期連絡にも関わらず応答が得られておらず、医療システムのセキュリティリスクが懸念されている。
【CVE-2024-11590】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。
【CVE-2024-11590】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。
【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...
Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。
【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...
Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。
【CVE-2024-9474】Palo Alto NetworksのPAN-OSに特権昇格の脆...
Palo Alto NetworksのPAN-OSソフトウェアの管理Webインターフェースに特権昇格の脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーがルート権限で操作を実行できる状態となっており、PAN-OS 10.1.0から11.2.4未満のバージョンが影響を受ける。Cloud NGFWとPrisma Accessは影響を受けないことが確認されており、各バージョン向けのホットフィックスが提供されている。
【CVE-2024-9474】Palo Alto NetworksのPAN-OSに特権昇格の脆...
Palo Alto NetworksのPAN-OSソフトウェアの管理Webインターフェースに特権昇格の脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーがルート権限で操作を実行できる状態となっており、PAN-OS 10.1.0から11.2.4未満のバージョンが影響を受ける。Cloud NGFWとPrisma Accessは影響を受けないことが確認されており、各バージョン向けのホットフィックスが提供されている。
【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...
Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。
【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...
Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。
【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...
TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。
【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...
TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。
【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...
IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。
【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...
IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。
【CVE-2024-50831】kashipara E-learning Management...
MITREは2024年11月14日、kashipara E-learning Management System 1.0の管理者用ページにSQLインジェクションの脆弱性が存在することを報告した。CVE-2024-50831として識別されるこの脆弱性は、usernameとpasswordパラメータを経由して攻撃が可能であり、CVSS v3.1で3.5(低)と評価されている。認証機能のバイパスや機密情報の漏洩が懸念される。
【CVE-2024-50831】kashipara E-learning Management...
MITREは2024年11月14日、kashipara E-learning Management System 1.0の管理者用ページにSQLインジェクションの脆弱性が存在することを報告した。CVE-2024-50831として識別されるこの脆弱性は、usernameとpasswordパラメータを経由して攻撃が可能であり、CVSS v3.1で3.5(低)と評価されている。認証機能のバイパスや機密情報の漏洩が懸念される。
【CVE-2024-50826】kashipara E-learning Management...
kashipara E-learning Management System Project 1.0の管理者用ページにSQLインジェクションの脆弱性が発見された。CVE-2024-50826として識別されたこの脆弱性は、titleとcontentパラメータを介して攻撃が可能。CVSSスコアは3.5(Low)だが、教育システムの特性上、個人情報漏洩のリスクが高く、早急な対策が求められている。
【CVE-2024-50826】kashipara E-learning Management...
kashipara E-learning Management System Project 1.0の管理者用ページにSQLインジェクションの脆弱性が発見された。CVE-2024-50826として識別されたこの脆弱性は、titleとcontentパラメータを介して攻撃が可能。CVSSスコアは3.5(Low)だが、教育システムの特性上、個人情報漏洩のリスクが高く、早急な対策が求められている。
【CVE-2024-49521】Adobe Commerce 3.2.5にSSRF脆弱性が発見...
Adobe Systems Incorporatedは2024年11月12日、Adobe Commerce 3.2.5以前のバージョンにおいてServer-Side Request Forgery(SSRF)の脆弱性が確認されたことを発表した。CVE-2024-49521として識別されるこの脆弱性は、低権限の攻撃者が内部システムに不正なリクエストを送信できる状態を引き起こしており、セキュリティ機能のバイパスにつながる可能性がある。
【CVE-2024-49521】Adobe Commerce 3.2.5にSSRF脆弱性が発見...
Adobe Systems Incorporatedは2024年11月12日、Adobe Commerce 3.2.5以前のバージョンにおいてServer-Side Request Forgery(SSRF)の脆弱性が確認されたことを発表した。CVE-2024-49521として識別されるこの脆弱性は、低権限の攻撃者が内部システムに不正なリクエストを送信できる状態を引き起こしており、セキュリティ機能のバイパスにつながる可能性がある。
【CVE-2024-11127】code-projects Job Recruitment 1...
code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。
【CVE-2024-11127】code-projects Job Recruitment 1...
code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。
ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とイン...
クラウドセキュリティ企業のZscalerが、拠点や工場、データセンター、パブリッククラウドとの安全な接続を実現するゼロトラストセグメンテーションソリューションを発表。ランサムウェアの拡散防止とインフラコストの50%削減を実現し、IoTデバイスやOTシステムも数時間以内に安全にセグメント化が可能。AWSとAzureに対応し、2025年2月にはGCPにも対応予定。
ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とイン...
クラウドセキュリティ企業のZscalerが、拠点や工場、データセンター、パブリッククラウドとの安全な接続を実現するゼロトラストセグメンテーションソリューションを発表。ランサムウェアの拡散防止とインフラコストの50%削減を実現し、IoTデバイスやOTシステムも数時間以内に安全にセグメント化が可能。AWSとAzureに対応し、2025年2月にはGCPにも対応予定。
【CVE-2024-10997】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のbook_list.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10997として識別されるこの脆弱性は、idパラメータの不適切な処理に起因しており、CVSSスコアは5.3-6.5と中程度の深刻度と評価されている。既に公開されており早急な対応が必要とされる状況だ。攻撃者はリモートから低い特権レベルで攻撃を実行できる可能性がある。
【CVE-2024-10997】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のbook_list.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10997として識別されるこの脆弱性は、idパラメータの不適切な処理に起因しており、CVSSスコアは5.3-6.5と中程度の深刻度と評価されている。既に公開されており早急な対応が必要とされる状況だ。攻撃者はリモートから低い特権レベルで攻撃を実行できる可能性がある。
【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...
Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。
【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...
Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。
【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...
Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。
【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...
Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。
【CVE-2024-10915】D-Link NASデバイスに深刻な脆弱性、コマンドインジェク...
D-LinkのNASデバイス(DNS-320、DNS-320LW、DNS-325、DNS-340L)において、OSコマンドインジェクションの重大な脆弱性が発見された。account_mgr.cgiのcgi_user_add機能でgroupパラメータを操作することで、認証なしでリモートからの攻撃が可能となる。CVSSスコア9.2のクリティカルな脆弱性として報告され、早急な対策が必要とされている。
【CVE-2024-10915】D-Link NASデバイスに深刻な脆弱性、コマンドインジェク...
D-LinkのNASデバイス(DNS-320、DNS-320LW、DNS-325、DNS-340L)において、OSコマンドインジェクションの重大な脆弱性が発見された。account_mgr.cgiのcgi_user_add機能でgroupパラメータを操作することで、認証なしでリモートからの攻撃が可能となる。CVSSスコア9.2のクリティカルな脆弱性として報告され、早急な対策が必要とされている。