Tech Insights
EGセキュアソリューションズがSiteGuardシリーズの新ライセンスを発表、WAFの運用負荷...
EGセキュアソリューションズ株式会社は、WAF製品群「SiteGuardシリーズ」の新製品として「SiteGuard Server Editionマネージドライセンス」を2024年11月より提供開始した。専門エンジニアによるWAFルールの設定代行とクラウド上での集中管理機能を備え、24時間365日の稼働監視体制を確立している。高度なセキュリティ環境の構築と運用負荷の軽減を実現する新サービスとなる。
EGセキュアソリューションズがSiteGuardシリーズの新ライセンスを発表、WAFの運用負荷...
EGセキュアソリューションズ株式会社は、WAF製品群「SiteGuardシリーズ」の新製品として「SiteGuard Server Editionマネージドライセンス」を2024年11月より提供開始した。専門エンジニアによるWAFルールの設定代行とクラウド上での集中管理機能を備え、24時間365日の稼働監視体制を確立している。高度なセキュリティ環境の構築と運用負荷の軽減を実現する新サービスとなる。
MicrosoftがEntra External IDのCustom URL Domainsを...
MicrosoftはEntra External IDのCustom URL Domains機能の一般提供を開始した。この機能により組織は認証エンドポイントに独自ドメインを使用可能となり、ブランドアイデンティティの強化とセキュリティの向上を実現。Azure Front Doorとの統合でWAFルールの追加も可能となり、より包括的なセキュリティソリューションを提供する。
MicrosoftがEntra External IDのCustom URL Domainsを...
MicrosoftはEntra External IDのCustom URL Domains機能の一般提供を開始した。この機能により組織は認証エンドポイントに独自ドメインを使用可能となり、ブランドアイデンティティの強化とセキュリティの向上を実現。Azure Front Doorとの統合でWAFルールの追加も可能となり、より包括的なセキュリティソリューションを提供する。
CTC GlobalマレーシアがSOCを開設、ASEAN諸国のセキュリティ監視体制が強化へ
CTC Global Sdn. Bhd.がマレーシアにセキュリティ・オペレーション・センター「CTC Global SOC」を開設。24時間365日体制でセキュリティ機器を監視し、日系企業や現地法人のシステムセキュリティを強化する。日本のCTC-SOCと連携してサイバー攻撃のトレンドを分析し、最新の防御策を提供。ASEAN地域でのセキュリティサービスのグローバル展開を加速させる。
CTC GlobalマレーシアがSOCを開設、ASEAN諸国のセキュリティ監視体制が強化へ
CTC Global Sdn. Bhd.がマレーシアにセキュリティ・オペレーション・センター「CTC Global SOC」を開設。24時間365日体制でセキュリティ機器を監視し、日系企業や現地法人のシステムセキュリティを強化する。日本のCTC-SOCと連携してサイバー攻撃のトレンドを分析し、最新の防御策を提供。ASEAN地域でのセキュリティサービスのグローバル展開を加速させる。
オイシックス・ラ・大地のECサイトでパスワードリスト型攻撃による大規模な個人情報流出の可能性が...
オイシックス・ラ・大地が運営する食品宅配ECサービス「Oisix.com」において、パスワードリスト型攻撃による不正ログインが発生し、9万7533件の個人情報が閲覧された可能性があることが判明した。WAFを導入済みだったものの攻撃を防げず、今後のセキュリティ対策強化が急務となっている。クレジットカード情報は決済代行会社で保持しているため流出の可能性はないという。
オイシックス・ラ・大地のECサイトでパスワードリスト型攻撃による大規模な個人情報流出の可能性が...
オイシックス・ラ・大地が運営する食品宅配ECサービス「Oisix.com」において、パスワードリスト型攻撃による不正ログインが発生し、9万7533件の個人情報が閲覧された可能性があることが判明した。WAFを導入済みだったものの攻撃を防げず、今後のセキュリティ対策強化が急務となっている。クレジットカード情報は決済代行会社で保持しているため流出の可能性はないという。
【CVE-2024-9410】Ada.cxのSentry設定でSSRF脆弱性が発見、データスク...
Tenable Network SecurityはAda.cxのSentry設定において、データスクレイピングエンドポイントを介したブラインドサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見した。CVE-2024-9410として識別されたこの脆弱性は、2024年10月1日以前のバージョンに影響を与え、CVSS v3.1で5.3(中程度)と評価されている。特権レベルや利用者の関与が不要で、ネットワークを介した攻撃が可能な状態となっている。
【CVE-2024-9410】Ada.cxのSentry設定でSSRF脆弱性が発見、データスク...
Tenable Network SecurityはAda.cxのSentry設定において、データスクレイピングエンドポイントを介したブラインドサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見した。CVE-2024-9410として識別されたこの脆弱性は、2024年10月1日以前のバージョンに影響を与え、CVSS v3.1で5.3(中程度)と評価されている。特権レベルや利用者の関与が不要で、ネットワークを介した攻撃が可能な状態となっている。
【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...
115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。
【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...
115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。
【CVE-2024-7016】Smart DoctorでストアドXSS脆弱性が発見、医療システ...
TR-CERTは、Smarttek InformaticsのSmart Doctorにストアド型XSSの脆弱性(CVE-2024-7016)を発見したと報告した。CVSSスコア7.5(High)と評価され、2024年11月21日までのすべてのバージョンが影響を受けている。ベンダーへの早期連絡にも関わらず応答が得られておらず、医療システムのセキュリティリスクが懸念されている。
【CVE-2024-7016】Smart DoctorでストアドXSS脆弱性が発見、医療システ...
TR-CERTは、Smarttek InformaticsのSmart Doctorにストアド型XSSの脆弱性(CVE-2024-7016)を発見したと報告した。CVSSスコア7.5(High)と評価され、2024年11月21日までのすべてのバージョンが影響を受けている。ベンダーへの早期連絡にも関わらず応答が得られておらず、医療システムのセキュリティリスクが懸念されている。
【CVE-2024-11590】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。
【CVE-2024-11590】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。
【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...
Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。
【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...
Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。
【CVE-2024-9474】Palo Alto NetworksのPAN-OSに特権昇格の脆...
Palo Alto NetworksのPAN-OSソフトウェアの管理Webインターフェースに特権昇格の脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーがルート権限で操作を実行できる状態となっており、PAN-OS 10.1.0から11.2.4未満のバージョンが影響を受ける。Cloud NGFWとPrisma Accessは影響を受けないことが確認されており、各バージョン向けのホットフィックスが提供されている。
【CVE-2024-9474】Palo Alto NetworksのPAN-OSに特権昇格の脆...
Palo Alto NetworksのPAN-OSソフトウェアの管理Webインターフェースに特権昇格の脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーがルート権限で操作を実行できる状態となっており、PAN-OS 10.1.0から11.2.4未満のバージョンが影響を受ける。Cloud NGFWとPrisma Accessは影響を受けないことが確認されており、各バージョン向けのホットフィックスが提供されている。
【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...
Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。
【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...
Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。
【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...
TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。
【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...
TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。
【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...
IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。
【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...
IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。
【CVE-2024-50831】kashipara E-learning Management...
MITREは2024年11月14日、kashipara E-learning Management System 1.0の管理者用ページにSQLインジェクションの脆弱性が存在することを報告した。CVE-2024-50831として識別されるこの脆弱性は、usernameとpasswordパラメータを経由して攻撃が可能であり、CVSS v3.1で3.5(低)と評価されている。認証機能のバイパスや機密情報の漏洩が懸念される。
【CVE-2024-50831】kashipara E-learning Management...
MITREは2024年11月14日、kashipara E-learning Management System 1.0の管理者用ページにSQLインジェクションの脆弱性が存在することを報告した。CVE-2024-50831として識別されるこの脆弱性は、usernameとpasswordパラメータを経由して攻撃が可能であり、CVSS v3.1で3.5(低)と評価されている。認証機能のバイパスや機密情報の漏洩が懸念される。
【CVE-2024-50826】kashipara E-learning Management...
kashipara E-learning Management System Project 1.0の管理者用ページにSQLインジェクションの脆弱性が発見された。CVE-2024-50826として識別されたこの脆弱性は、titleとcontentパラメータを介して攻撃が可能。CVSSスコアは3.5(Low)だが、教育システムの特性上、個人情報漏洩のリスクが高く、早急な対策が求められている。
【CVE-2024-50826】kashipara E-learning Management...
kashipara E-learning Management System Project 1.0の管理者用ページにSQLインジェクションの脆弱性が発見された。CVE-2024-50826として識別されたこの脆弱性は、titleとcontentパラメータを介して攻撃が可能。CVSSスコアは3.5(Low)だが、教育システムの特性上、個人情報漏洩のリスクが高く、早急な対策が求められている。
【CVE-2024-49521】Adobe Commerce 3.2.5にSSRF脆弱性が発見...
Adobe Systems Incorporatedは2024年11月12日、Adobe Commerce 3.2.5以前のバージョンにおいてServer-Side Request Forgery(SSRF)の脆弱性が確認されたことを発表した。CVE-2024-49521として識別されるこの脆弱性は、低権限の攻撃者が内部システムに不正なリクエストを送信できる状態を引き起こしており、セキュリティ機能のバイパスにつながる可能性がある。
【CVE-2024-49521】Adobe Commerce 3.2.5にSSRF脆弱性が発見...
Adobe Systems Incorporatedは2024年11月12日、Adobe Commerce 3.2.5以前のバージョンにおいてServer-Side Request Forgery(SSRF)の脆弱性が確認されたことを発表した。CVE-2024-49521として識別されるこの脆弱性は、低権限の攻撃者が内部システムに不正なリクエストを送信できる状態を引き起こしており、セキュリティ機能のバイパスにつながる可能性がある。
【CVE-2024-11127】code-projects Job Recruitment 1...
code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。
【CVE-2024-11127】code-projects Job Recruitment 1...
code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。
ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とイン...
クラウドセキュリティ企業のZscalerが、拠点や工場、データセンター、パブリッククラウドとの安全な接続を実現するゼロトラストセグメンテーションソリューションを発表。ランサムウェアの拡散防止とインフラコストの50%削減を実現し、IoTデバイスやOTシステムも数時間以内に安全にセグメント化が可能。AWSとAzureに対応し、2025年2月にはGCPにも対応予定。
ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とイン...
クラウドセキュリティ企業のZscalerが、拠点や工場、データセンター、パブリッククラウドとの安全な接続を実現するゼロトラストセグメンテーションソリューションを発表。ランサムウェアの拡散防止とインフラコストの50%削減を実現し、IoTデバイスやOTシステムも数時間以内に安全にセグメント化が可能。AWSとAzureに対応し、2025年2月にはGCPにも対応予定。
【CVE-2024-10997】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のbook_list.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10997として識別されるこの脆弱性は、idパラメータの不適切な処理に起因しており、CVSSスコアは5.3-6.5と中程度の深刻度と評価されている。既に公開されており早急な対応が必要とされる状況だ。攻撃者はリモートから低い特権レベルで攻撃を実行できる可能性がある。
【CVE-2024-10997】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のbook_list.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10997として識別されるこの脆弱性は、idパラメータの不適切な処理に起因しており、CVSSスコアは5.3-6.5と中程度の深刻度と評価されている。既に公開されており早急な対応が必要とされる状況だ。攻撃者はリモートから低い特権レベルで攻撃を実行できる可能性がある。
【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...
Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。
【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...
Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。
【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...
Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。
【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...
Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。
【CVE-2024-10915】D-Link NASデバイスに深刻な脆弱性、コマンドインジェク...
D-LinkのNASデバイス(DNS-320、DNS-320LW、DNS-325、DNS-340L)において、OSコマンドインジェクションの重大な脆弱性が発見された。account_mgr.cgiのcgi_user_add機能でgroupパラメータを操作することで、認証なしでリモートからの攻撃が可能となる。CVSSスコア9.2のクリティカルな脆弱性として報告され、早急な対策が必要とされている。
【CVE-2024-10915】D-Link NASデバイスに深刻な脆弱性、コマンドインジェク...
D-LinkのNASデバイス(DNS-320、DNS-320LW、DNS-325、DNS-340L)において、OSコマンドインジェクションの重大な脆弱性が発見された。account_mgr.cgiのcgi_user_add機能でgroupパラメータを操作することで、認証なしでリモートからの攻撃が可能となる。CVSSスコア9.2のクリティカルな脆弱性として報告され、早急な対策が必要とされている。
【CVE-2024-51408】AppSmith Community 1.8.3でSSRF脆弱...
MITREが2024年11月4日にAppSmith Community 1.8.3においてSSRF脆弱性を確認し、CVE-2024-51408として公開した。この脆弱性により、攻撃者は特権レベルが低い状態でもAWSメタデータの認証情報を不正に取得することが可能になる。CVSS 3.1で8.5(High)と評価された深刻な脆弱性であり、AppSmith Community 1.46でようやく修正された。CISAは自動化された攻撃の可能性も指摘しており、早急な対応が求められている。
【CVE-2024-51408】AppSmith Community 1.8.3でSSRF脆弱...
MITREが2024年11月4日にAppSmith Community 1.8.3においてSSRF脆弱性を確認し、CVE-2024-51408として公開した。この脆弱性により、攻撃者は特権レベルが低い状態でもAWSメタデータの認証情報を不正に取得することが可能になる。CVSS 3.1で8.5(High)と評価された深刻な脆弱性であり、AppSmith Community 1.46でようやく修正された。CISAは自動化された攻撃の可能性も指摘しており、早急な対応が求められている。
【CVE-2024-51682】WordPress用プラグインHT Builder 1.3.0...
HasThemes社のWordPress用プラグイン「HT Builder – WordPress Theme Builder for Elementor」にXSS脆弱性が発見された。CVE-2024-51682として識別されるこの脆弱性は、バージョン1.3.0以前に影響し、CVSSスコア6.5と評価されている。攻撃には特権ユーザーでのログインが必要だが、HasThemes社はバージョン1.3.1で修正を完了している。格納型XSSとして分類されるため、早急なアップデートが推奨される。
【CVE-2024-51682】WordPress用プラグインHT Builder 1.3.0...
HasThemes社のWordPress用プラグイン「HT Builder – WordPress Theme Builder for Elementor」にXSS脆弱性が発見された。CVE-2024-51682として識別されるこの脆弱性は、バージョン1.3.0以前に影響し、CVSSスコア6.5と評価されている。攻撃には特権ユーザーでのログインが必要だが、HasThemes社はバージョン1.3.1で修正を完了している。格納型XSSとして分類されるため、早急なアップデートが推奨される。
【CVE-2024-10807】PHPGurukul Hospital Management ...
PHPGurukul社のHospital Management System 4.0にCross Site Scriptingの脆弱性が発見された。search.phpファイル内のsearchdataパラメータに存在する脆弱性は、リモートからの攻撃が可能で、CVSSスコア5.1を記録。既に攻撃コードが公開されており、医療情報システムのセキュリティ対策の重要性が改めて浮き彫りとなっている。
【CVE-2024-10807】PHPGurukul Hospital Management ...
PHPGurukul社のHospital Management System 4.0にCross Site Scriptingの脆弱性が発見された。search.phpファイル内のsearchdataパラメータに存在する脆弱性は、リモートからの攻撃が可能で、CVSSスコア5.1を記録。既に攻撃コードが公開されており、医療情報システムのセキュリティ対策の重要性が改めて浮き彫りとなっている。
【CVE-2024-10597】ESAFENET CDG 5にSQL injection脆弱性...
VulDBはESAFENET CDG 5のdelPolicyAction機能に重大な脆弱性を発見し、2024年10月31日に公開した。この脆弱性はSQL injectionを可能とし、リモートからの攻撃が可能。CVSSスコアは3.1と3.0で6.3(Medium)、4.0で5.3(Medium)と評価されており、confidentiality、integrity、availabilityへの影響は全てLowとされている。ベンダーからの応答はなく、早急な対応が必要な状況となっている。
【CVE-2024-10597】ESAFENET CDG 5にSQL injection脆弱性...
VulDBはESAFENET CDG 5のdelPolicyAction機能に重大な脆弱性を発見し、2024年10月31日に公開した。この脆弱性はSQL injectionを可能とし、リモートからの攻撃が可能。CVSSスコアは3.1と3.0で6.3(Medium)、4.0で5.3(Medium)と評価されており、confidentiality、integrity、availabilityへの影響は全てLowとされている。ベンダーからの応答はなく、早急な対応が必要な状況となっている。
【CVE-2024-10733】Restaurant Order System 1.0にSQL...
code-projects Restaurant Order System 1.0のlogin.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10733として識別されたこの脆弱性は、uidパラメータの操作によって引き起こされ、CVSS 3.1で7.3のHighスコアが付けられている。認証なしでリモートから攻撃可能で、既に攻撃コードが公開されているため、早急な対策が必要とされている。
【CVE-2024-10733】Restaurant Order System 1.0にSQL...
code-projects Restaurant Order System 1.0のlogin.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10733として識別されたこの脆弱性は、uidパラメータの操作によって引き起こされ、CVSS 3.1で7.3のHighスコアが付けられている。認証なしでリモートから攻撃可能で、既に攻撃コードが公開されているため、早急な対策が必要とされている。
【CVE-2024-10611】ESAFENET CDG 5にSQL injection脆弱性...
ESAFENET CDG 5のPrintScreenListService.javaにおいて、delProtocol関数にSQL injection脆弱性が発見された。CVE-2024-10611として識別されるこの脆弱性は、引数idの操作によって発生し、遠隔からの攻撃が可能となっている。CVSS 4.0のスコアは5.3、CVSS 3.1のスコアは6.3と評価され、攻撃条件の複雑さは低いとされている。ベンダーへの通知は行われたが、現時点で対応は行われていない。
【CVE-2024-10611】ESAFENET CDG 5にSQL injection脆弱性...
ESAFENET CDG 5のPrintScreenListService.javaにおいて、delProtocol関数にSQL injection脆弱性が発見された。CVE-2024-10611として識別されるこの脆弱性は、引数idの操作によって発生し、遠隔からの攻撃が可能となっている。CVSS 4.0のスコアは5.3、CVSS 3.1のスコアは6.3と評価され、攻撃条件の複雑さは低いとされている。ベンダーへの通知は行われたが、現時点で対応は行われていない。
【CVE-2024-20526】Cisco ASAソフトウェアにDoS脆弱性、複数バージョンで...
シスコシステムズのCisco Adaptive Security Appliance(ASA)ソフトウェアに、リソースの制限が適切に実装されていない脆弱性が発見された。CVSSスコア5.3の警告レベルで、攻撃者はネットワーク経由で特権なしに攻撃を実行可能。影響を受けるバージョンは9.16.4.67、9.16.4.70、9.18.4.40、9.20.3で、DoS状態を引き起こす可能性があり、早急な対策が求められる。
【CVE-2024-20526】Cisco ASAソフトウェアにDoS脆弱性、複数バージョンで...
シスコシステムズのCisco Adaptive Security Appliance(ASA)ソフトウェアに、リソースの制限が適切に実装されていない脆弱性が発見された。CVSSスコア5.3の警告レベルで、攻撃者はネットワーク経由で特権なしに攻撃を実行可能。影響を受けるバージョンは9.16.4.67、9.16.4.70、9.18.4.40、9.20.3で、DoS状態を引き起こす可能性があり、早急な対策が求められる。
【CVE-2024-10378】ESAFENETのcdg 5にSQLインジェクションの脆弱性、...
ESAFENETのcdg 5にSQLインジェクションの脆弱性が発見され、CVE-2024-10378として識別された。CVSSスコアv3は9.8と緊急レベルで、攻撃に特別な権限や条件が不要なため、システムの情報漏洩やサービス停止など重大な影響をもたらす可能性が高い。システム管理者は早急にセキュリティアップデートの適用を検討する必要がある。
【CVE-2024-10378】ESAFENETのcdg 5にSQLインジェクションの脆弱性、...
ESAFENETのcdg 5にSQLインジェクションの脆弱性が発見され、CVE-2024-10378として識別された。CVSSスコアv3は9.8と緊急レベルで、攻撃に特別な権限や条件が不要なため、システムの情報漏洩やサービス停止など重大な影響をもたらす可能性が高い。システム管理者は早急にセキュリティアップデートの適用を検討する必要がある。