Tech Insights

楽天がテクノロジー・エクセレンスアワード2024を発表、GMOサイバーセキュリティなど3社がAIとセキュリティ分野で受賞

楽天がテクノロジー・エクセレンスアワード2024を発表、GMOサイバーセキュリティなど3社がA...

楽天グループは「AI-nization 4.all」をテーマにした楽天テクノロジー・エクセレンスアワード2024の受賞者を発表した。GMOサイバーセキュリティ byイエラエ、Preferred Networks、LlamaIndexの3社がエクセレンス賞を受賞。各社のAI技術やセキュリティ分野での革新的な取り組みが評価され、11月16日の楽天テクノロジーカンファレンス2024で表彰式が行われる。

楽天がテクノロジー・エクセレンスアワード2024を発表、GMOサイバーセキュリティなど3社がA...

楽天グループは「AI-nization 4.all」をテーマにした楽天テクノロジー・エクセレンスアワード2024の受賞者を発表した。GMOサイバーセキュリティ byイエラエ、Preferred Networks、LlamaIndexの3社がエクセレンス賞を受賞。各社のAI技術やセキュリティ分野での革新的な取り組みが評価され、11月16日の楽天テクノロジーカンファレンス2024で表彰式が行われる。

VAST Data PlatformがNVIDIA Partner Networkの認証を取得、大規模AIインフラのデータ管理基盤として機能強化

VAST Data PlatformがNVIDIA Partner Networkの認証を取得...

VAST Data PlatformがNVIDIA Partner Networkのクラウドパートナー向け高性能ストレージソリューションとして認定を取得。99.9999%の可用性とマルチテナント対応により、大規模AIインフラのデータ管理基盤として機能を強化。100億から1兆パラメータ以上のAIモデルに対応し、高速チェックポイントやエッジデータ管理などの包括的な機能を提供する。

VAST Data PlatformがNVIDIA Partner Networkの認証を取得...

VAST Data PlatformがNVIDIA Partner Networkのクラウドパートナー向け高性能ストレージソリューションとして認定を取得。99.9999%の可用性とマルチテナント対応により、大規模AIインフラのデータ管理基盤として機能を強化。100億から1兆パラメータ以上のAIモデルに対応し、高速チェックポイントやエッジデータ管理などの包括的な機能を提供する。

INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万円でRustが最高額を記録

INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万...

INSTANTROOM株式会社が運営するフリーランスボードが2024年11月の市場動向を発表。17万件以上の案件を分析した結果、フリーランスエンジニアの月額平均単価は72.1万円で、最高単価は320万円を記録。開発言語別ではRustが82.9万円で最高額となり、フレームワークではRSpecが86.4万円を記録。リモートワーク比率は87.3%に達し、柔軟な働き方が浸透している。

INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万...

INSTANTROOM株式会社が運営するフリーランスボードが2024年11月の市場動向を発表。17万件以上の案件を分析した結果、フリーランスエンジニアの月額平均単価は72.1万円で、最高単価は320万円を記録。開発言語別ではRustが82.9万円で最高額となり、フレームワークではRSpecが86.4万円を記録。リモートワーク比率は87.3%に達し、柔軟な働き方が浸透している。

【CVE-2024-0134】NVIDIA Container Toolkitに深刻な脆弱性、データ改ざんのリスクが浮上

【CVE-2024-0134】NVIDIA Container Toolkitに深刻な脆弱性、...

NVIDIA Container ToolkitとGPU OperatorのLinux版において、UNIX脆弱性が発見された。特別に作成されたコンテナイメージにより、ホスト上に不正なファイルが作成される可能性があり、データ改ざんのリスクが指摘されている。影響を受けるバージョンはContainer Toolkit v1.16.2以前とGPU Operator 24.6.2以前で、CVSSスコアは4.1(MEDIUM)に分類されている。

【CVE-2024-0134】NVIDIA Container Toolkitに深刻な脆弱性、...

NVIDIA Container ToolkitとGPU OperatorのLinux版において、UNIX脆弱性が発見された。特別に作成されたコンテナイメージにより、ホスト上に不正なファイルが作成される可能性があり、データ改ざんのリスクが指摘されている。影響を受けるバージョンはContainer Toolkit v1.16.2以前とGPU Operator 24.6.2以前で、CVSSスコアは4.1(MEDIUM)に分類されている。

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタクラッシュの脆弱性を修正、複数バージョンでアップデートが必要に

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタ...

LinuxカーネルのLoongArchアーキテクチャにおいて、vDSOがマッピングされていないタスクでstack_top()関数を呼び出した際にシステムがクラッシュする重大な脆弱性が発見された。この問題は特にkthreadなどで発生し、バージョン5.19から6.11の間で影響を受ける。開発チームは6.1.115以降などの複数バージョンで修正パッチをリリースしており、早急なアップデートが推奨される。

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタ...

LinuxカーネルのLoongArchアーキテクチャにおいて、vDSOがマッピングされていないタスクでstack_top()関数を呼び出した際にシステムがクラッシュする重大な脆弱性が発見された。この問題は特にkthreadなどで発生し、バージョン5.19から6.11の間で影響を受ける。開発チームは6.1.115以降などの複数バージョンで修正パッチをリリースしており、早急なアップデートが推奨される。

ホーチキがWevoxを全社導入、組織力向上プラットフォームでエンゲージメント向上を目指す

ホーチキがWevoxを全社導入、組織力向上プラットフォームでエンゲージメント向上を目指す

株式会社アトラエの組織力向上プラットフォーム「Wevox」をホーチキが全社導入。中長期経営計画「GLOBAL VISION 2030」の実現に向け、従業員と会社の信頼関係強化を図る。組織の強みと弱みの可視化により、具体的なアクションプランの策定と実行が可能に。2024年8月時点で3,390以上の組織に導入され、累計2億8,350万件を超える回答データを保有するサービスとなっている。

ホーチキがWevoxを全社導入、組織力向上プラットフォームでエンゲージメント向上を目指す

株式会社アトラエの組織力向上プラットフォーム「Wevox」をホーチキが全社導入。中長期経営計画「GLOBAL VISION 2030」の実現に向け、従業員と会社の信頼関係強化を図る。組織の強みと弱みの可視化により、具体的なアクションプランの策定と実行が可能に。2024年8月時点で3,390以上の組織に導入され、累計2億8,350万件を超える回答データを保有するサービスとなっている。

BlackBerry QNXが現代モービスの次世代デジタルコックピットプラットフォームに採用、車載システムの安全性と信頼性が向上

BlackBerry QNXが現代モービスの次世代デジタルコックピットプラットフォームに採用、...

BlackBerry LimitedはQNX HypervisorとQAVFを活用し、現代モービスの次世代デジタルコックピットプラットフォームに採用された。ISO 26262 ASIL Dを取得した安全性とセキュリティに優れたソフトウェア基盤により、デジタルクラスターやインフォテインメントシステムを含む複数の画面やコンポーネントの統合を実現。トヨタやBMWなど世界の主要自動車メーカーでの採用が期待される。

BlackBerry QNXが現代モービスの次世代デジタルコックピットプラットフォームに採用、...

BlackBerry LimitedはQNX HypervisorとQAVFを活用し、現代モービスの次世代デジタルコックピットプラットフォームに採用された。ISO 26262 ASIL Dを取得した安全性とセキュリティに優れたソフトウェア基盤により、デジタルクラスターやインフォテインメントシステムを含む複数の画面やコンポーネントの統合を実現。トヨタやBMWなど世界の主要自動車メーカーでの採用が期待される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証の脆弱性、アクセス制御の設定ミスによるセキュリティリスクが発生

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-0129】NVIDIAのNeMoにパストラバーサルの脆弱性が発見、コード実行とデータ改ざんのリスクに警戒

【CVE-2024-0129】NVIDIAのNeMoにパストラバーサルの脆弱性が発見、コード実...

NVIDIAの機械学習フレームワークNeMoにおいて、SaveRestoreConnectorのパストラバーサル脆弱性が発見された。この脆弱性により、不正な.tarファイルの抽出を介して攻撃者がコード実行やデータ改ざんを引き起こす可能性がある。CVSSスコアは6.3でミディアムレベルの深刻度に分類されており、Windows、MacOS、Linuxの全プラットフォームのr2.0.0rc0より前のバージョンが影響を受ける。

【CVE-2024-0129】NVIDIAのNeMoにパストラバーサルの脆弱性が発見、コード実...

NVIDIAの機械学習フレームワークNeMoにおいて、SaveRestoreConnectorのパストラバーサル脆弱性が発見された。この脆弱性により、不正な.tarファイルの抽出を介して攻撃者がコード実行やデータ改ざんを引き起こす可能性がある。CVSSスコアは6.3でミディアムレベルの深刻度に分類されており、Windows、MacOS、Linuxの全プラットフォームのr2.0.0rc0より前のバージョンが影響を受ける。

aiESGがAIを活用した製品単位のESG評価サービスaiESG Flowを開始、サプライチェーン全体の可視化を実現

aiESGがAIを活用した製品単位のESG評価サービスaiESG Flowを開始、サプライチェ...

aiESGは製品ごとのESG指標を評価する新サービスaiESG Flowのβ版を11月1日より提供開始する。AIとビッグデータを活用してサプライチェーン上流までのESGスコアを算出し、社会的リスクやネイチャーポジティブ指標を含めた包括的な分析が可能。九州大学の研究チームが開発した信頼性の高いデータベースを基盤とし、TNFDレポートなどの開示情報としても活用できる。

aiESGがAIを活用した製品単位のESG評価サービスaiESG Flowを開始、サプライチェ...

aiESGは製品ごとのESG指標を評価する新サービスaiESG Flowのβ版を11月1日より提供開始する。AIとビッグデータを活用してサプライチェーン上流までのESGスコアを算出し、社会的リスクやネイチャーポジティブ指標を含めた包括的な分析が可能。九州大学の研究チームが開発した信頼性の高いデータベースを基盤とし、TNFDレポートなどの開示情報としても活用できる。

【CVE-2024-9443】Basticom Framework 1.5.0にXSS脆弱性が発見、SVGファイルを介した攻撃の可能性が浮上

【CVE-2024-9443】Basticom Framework 1.5.0にXSS脆弱性が...

WordPressプラグインBasticom Framework 1.5.0以前のバージョンに、SVGファイルアップロードを介した格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4のMEDIUMレベルと評価され、Author以上の権限を持つユーザーによる悪用の可能性がある。入力サニタイズと出力エスケープの不備が原因で、アップロードされたSVGファイルを通じて不正なスクリプトが実行される危険性がある。

【CVE-2024-9443】Basticom Framework 1.5.0にXSS脆弱性が...

WordPressプラグインBasticom Framework 1.5.0以前のバージョンに、SVGファイルアップロードを介した格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4のMEDIUMレベルと評価され、Author以上の権限を持つユーザーによる悪用の可能性がある。入力サニタイズと出力エスケープの不備が原因で、アップロードされたSVGファイルを通じて不正なスクリプトが実行される危険性がある。

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱性を確認、サービスの機密性への影響に懸念

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱...

HuaweiはHarmonyOS 5.0.0のクリップボードモジュールにおける権限制御の脆弱性【CVE-2024-51525】を公開した。CVSSスコア6.2(Medium)で評価され、特にサービスの機密性への影響が懸念される。CWE-264として分類されるこの脆弱性は、適切な権限管理とアクセス制御の実装が求められる重要な問題である。

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱...

HuaweiはHarmonyOS 5.0.0のクリップボードモジュールにおける権限制御の脆弱性【CVE-2024-51525】を公開した。CVSSスコア6.2(Medium)で評価され、特にサービスの機密性への影響が懸念される。CWE-264として分類されるこの脆弱性は、適切な権限管理とアクセス制御の実装が求められる重要な問題である。

【CVE-2024-30122】HCL Sametime 12.0.2以前のHTTPヘッダー設定不備、セキュリティ強化が必要に

【CVE-2024-30122】HCL Sametime 12.0.2以前のHTTPヘッダー設...

HCL SoftwareがHCL Sametimeのセキュリティ関連HTTPヘッダー設定の不備を公開。CVE-2024-30122として識別されるこの脆弱性は、CVSSスコア5.8の中程度の深刻度を持ち、バージョン12.0.2以前に影響。Webサービスレスポンスにおける一部HTTPヘッダーの欠落により、ブラウザのセキュリティポリシーが適切に機能しない状態となっている。

【CVE-2024-30122】HCL Sametime 12.0.2以前のHTTPヘッダー設...

HCL SoftwareがHCL Sametimeのセキュリティ関連HTTPヘッダー設定の不備を公開。CVE-2024-30122として識別されるこの脆弱性は、CVSSスコア5.8の中程度の深刻度を持ち、バージョン12.0.2以前に影響。Webサービスレスポンスにおける一部HTTPヘッダーの欠落により、ブラウザのセキュリティポリシーが適切に機能しない状態となっている。

【CVE-2024-10842】WEB-Sekolah 1.0でクロスサイトスクリプティングの脆弱性、Backend機能に深刻な影響

【CVE-2024-10842】WEB-Sekolah 1.0でクロスサイトスクリプティングの...

romadebrian社のWEB-Sekolah 1.0において、Backendコンポーネントの/Admin/Proses_Edit_Akun.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSv4で5.1のMedium評価とされ、高い特権レベルを必要とするものの、リモートからの攻撃実行が可能。Username_Baru/Passwordパラメータの操作による攻撃手法が公開されており、早急な対応が求められる。

【CVE-2024-10842】WEB-Sekolah 1.0でクロスサイトスクリプティングの...

romadebrian社のWEB-Sekolah 1.0において、Backendコンポーネントの/Admin/Proses_Edit_Akun.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSv4で5.1のMedium評価とされ、高い特権レベルを必要とするものの、リモートからの攻撃実行が可能。Username_Baru/Passwordパラメータの操作による攻撃手法が公開されており、早急な対応が求められる。

DMPが次世代AIアクセラレータIP「ZIA A3000 V2」を発表、エッジAIの性能と効率性が大幅に向上

DMPが次世代AIアクセラレータIP「ZIA A3000 V2」を発表、エッジAIの性能と効率...

株式会社ディジタルメディアプロフェッショナルが2024年11月より提供開始する次世代NPU IP「ZIA A3000 V2」は、最大40TOPS以上の推論処理能力と同クラス製品比50%以上の面積削減を実現。PyTorchやTensorFlowなど主要なAIフレームワークをサポートし、エッジAIデバイスの進化を加速する包括的な開発環境を提供している。

DMPが次世代AIアクセラレータIP「ZIA A3000 V2」を発表、エッジAIの性能と効率...

株式会社ディジタルメディアプロフェッショナルが2024年11月より提供開始する次世代NPU IP「ZIA A3000 V2」は、最大40TOPS以上の推論処理能力と同クラス製品比50%以上の面積削減を実現。PyTorchやTensorFlowなど主要なAIフレームワークをサポートし、エッジAIデバイスの進化を加速する包括的な開発環境を提供している。

ナレッジコミュニケーションがAIガバナンス協会に加盟、AI社会の健全な発展とリスク管理の強化へ

ナレッジコミュニケーションがAIガバナンス協会に加盟、AI社会の健全な発展とリスク管理の強化へ

ナレッジコミュニケーションが2024年10月にAIガバナンス協会に加盟し、AI技術の健全な発展とリスク管理の強化を目指す。同社はResponsible AI with Azure分野でのMicrosoft MVPアワード受賞実績を持ち、生成AI導入コンサルティングやAIシステム開発サービスを通じて、顧客企業のプライバシーとセキュリティリスクの可視化と対応を支援している。

ナレッジコミュニケーションがAIガバナンス協会に加盟、AI社会の健全な発展とリスク管理の強化へ

ナレッジコミュニケーションが2024年10月にAIガバナンス協会に加盟し、AI技術の健全な発展とリスク管理の強化を目指す。同社はResponsible AI with Azure分野でのMicrosoft MVPアワード受賞実績を持ち、生成AI導入コンサルティングやAIシステム開発サービスを通じて、顧客企業のプライバシーとセキュリティリスクの可視化と対応を支援している。

【CVE-2024-51530】HarmonyOSにLaunchAnywhere脆弱性、アカウントモジュールのサービス機密性に影響

【CVE-2024-51530】HarmonyOSにLaunchAnywhere脆弱性、アカウ...

HarmonyOS 2.0.0から4.2.0のアカウントモジュールにLaunchAnywhere脆弱性が発見された。CVSSスコア6.6で中程度の深刻度とされ、ローカルからの攻撃で権限昇格などの悪用が可能。SSVCの評価では自動化された攻撃は確認されていないが、技術的な影響が部分的に及ぶ可能性が指摘されている。セキュリティパッチの適用が推奨される。

【CVE-2024-51530】HarmonyOSにLaunchAnywhere脆弱性、アカウ...

HarmonyOS 2.0.0から4.2.0のアカウントモジュールにLaunchAnywhere脆弱性が発見された。CVSSスコア6.6で中程度の深刻度とされ、ローカルからの攻撃で権限昇格などの悪用が可能。SSVCの評価では自動化された攻撃は確認されていないが、技術的な影響が部分的に及ぶ可能性が指摘されている。セキュリティパッチの適用が推奨される。

【CVE-2024-49955】Linux kernelのバッテリーフック脆弱性、システムクラッシュの可能性に対する修正パッチをリリース

【CVE-2024-49955】Linux kernelのバッテリーフック脆弱性、システムクラ...

Linux kernelの開発チームが、ACPIバッテリーフックに関する重要な脆弱性【CVE-2024-49955】の修正パッチをリリースした。この脆弱性は、バッテリーフック追加時のエラーによる自動登録解除と、その後のbattery_hook_unregister()呼び出しによるシステムクラッシュの可能性を含んでいる。リスト構造を活用した修正により、登録解除済みフックの適切な識別が可能になった。

【CVE-2024-49955】Linux kernelのバッテリーフック脆弱性、システムクラ...

Linux kernelの開発チームが、ACPIバッテリーフックに関する重要な脆弱性【CVE-2024-49955】の修正パッチをリリースした。この脆弱性は、バッテリーフック追加時のエラーによる自動登録解除と、その後のbattery_hook_unregister()呼び出しによるシステムクラッシュの可能性を含んでいる。リスト構造を活用した修正により、登録解除済みフックの適切な識別が可能になった。

【CVE-2024-10491】Expressのresponse.links関数に重大な脆弱性、Link headerの不適切な処理によりリソース挿入が可能に

【CVE-2024-10491】Expressのresponse.links関数に重大な脆弱性...

HeroDevsがExpressのresponse.links関数における重大な脆弱性【CVE-2024-10491】を公開した。Express 3.0.0-alpha1から3.21.2に影響を与えるこの脆弱性は、Link headerの値における特殊文字の不適切な処理が原因で、悪意のあるリソースの挿入を可能にする。CVSSスコアは4.0(MEDIUM)と評価され、特権レベルは不要だが攻撃条件の複雑さは高いとされている。

【CVE-2024-10491】Expressのresponse.links関数に重大な脆弱性...

HeroDevsがExpressのresponse.links関数における重大な脆弱性【CVE-2024-10491】を公開した。Express 3.0.0-alpha1から3.21.2に影響を与えるこの脆弱性は、Link headerの値における特殊文字の不適切な処理が原因で、悪意のあるリソースの挿入を可能にする。CVSSスコアは4.0(MEDIUM)と評価され、特権レベルは不要だが攻撃条件の複雑さは高いとされている。

【CVE-2024-51136】openimaj v1.3.10のDmoz2CSVでXXE脆弱性が発見、情報漏洩のリスクに警鐘

【CVE-2024-51136】openimaj v1.3.10のDmoz2CSVでXXE脆弱...

MITREは2024年11月4日、openimaj v1.3.10のDmoz2CSVコンポーネントにXXE脆弱性が存在することを公開した。CVE-2024-51136として識別されるこの脆弱性は、CVSSスコア9.8のCRITICALに分類され、攻撃者が特権レベルやユーザーの操作なしで機密情報にアクセスできる可能性がある。CWE-91(XMLインジェクション)に分類され、早急な対策が必要とされている。

【CVE-2024-51136】openimaj v1.3.10のDmoz2CSVでXXE脆弱...

MITREは2024年11月4日、openimaj v1.3.10のDmoz2CSVコンポーネントにXXE脆弱性が存在することを公開した。CVE-2024-51136として識別されるこの脆弱性は、CVSSスコア9.8のCRITICALに分類され、攻撃者が特権レベルやユーザーの操作なしで機密情報にアクセスできる可能性がある。CWE-91(XMLインジェクション)に分類され、早急な対策が必要とされている。

【CVE-2024-49229】WordPress用プラグインBetter Author Bio 2.7.10.11以前にCSRF to XSS脆弱性が発見、早急な対応が必要に

【CVE-2024-49229】WordPress用プラグインBetter Author Bi...

Patchstack OÜは2024年10月17日、WordPress用プラグインBetter Author Bio 2.7.10.11以前にCSRF to XSS脆弱性が存在することを公開した。この脆弱性はCVE-2024-49229として識別され、CVSSスコアは7.1とHIGHの深刻度に分類されている。攻撃者は悪意のあるスクリプトを実行できる可能性があり、早急な対応が求められる。

【CVE-2024-49229】WordPress用プラグインBetter Author Bi...

Patchstack OÜは2024年10月17日、WordPress用プラグインBetter Author Bio 2.7.10.11以前にCSRF to XSS脆弱性が存在することを公開した。この脆弱性はCVE-2024-49229として識別され、CVSSスコアは7.1とHIGHの深刻度に分類されている。攻撃者は悪意のあるスクリプトを実行できる可能性があり、早急な対応が求められる。

【CVE-2024-47797】OpenHarmony v4.1.0のLiteos_aに重大な脆弱性、権限昇格のリスクが明らかに

【CVE-2024-47797】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンで、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47797として識別されるこの脆弱性は、ローカル攻撃者による権限昇格と機密情報漏洩のリスクをもたらす。CVSSスコア8.4のHigh評価で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要とされる。

【CVE-2024-47797】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンで、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47797として識別されるこの脆弱性は、ローカル攻撃者による権限昇格と機密情報漏洩のリスクをもたらす。CVSSスコア8.4のHigh評価で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要とされる。

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性、早急なアップデートが必要に

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性...

Webベースのサービス管理ツールCombodo iTopにおいて、CSVインポートのシミュレーション機能にCSRF脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、バージョン3.1.2および3.2.0で修正が実施された。現時点で回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性...

Webベースのサービス管理ツールCombodo iTopにおいて、CSVインポートのシミュレーション機能にCSRF脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、バージョン3.1.2および3.2.0で修正が実施された。現時点で回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アップロード機能での入力値検証に課題

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アッ...

オープンソースCMSのInstantCMSにおいて、フォトアルバムページの写真アップロード機能にXSS脆弱性が発見された。CVE-2024-50348として識別されるこの脆弱性は、CVSS 3.1で5.4のミディアムスコアを記録。バージョン2.16.3未満が影響を受け、入力値の検証が不十分なことで攻撃者によるXSSペイロードの実行が可能な状態となっていた。開発チームは2024年10月29日に修正版をリリースし、対策を完了した。

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アッ...

オープンソースCMSのInstantCMSにおいて、フォトアルバムページの写真アップロード機能にXSS脆弱性が発見された。CVE-2024-50348として識別されるこの脆弱性は、CVSS 3.1で5.4のミディアムスコアを記録。バージョン2.16.3未満が影響を受け、入力値の検証が不十分なことで攻撃者によるXSSペイロードの実行が可能な状態となっていた。開発チームは2024年10月29日に修正版をリリースし、対策を完了した。

【CVE-2024-10753】PHPGurukul Online Shopping Portal 2.0にクロスサイトスクリプティングの脆弱性、管理画面での情報漏洩のリスクに警戒

【CVE-2024-10753】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理者用ファイルdom_data_two_headers.phpにクロスサイトスクリプティングの脆弱性が発見された。VulDBによって【CVE-2024-10753】として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)に分類され、リモートからの攻撃が可能な状態であることが判明。既にエクスプロイトが公開されており、早急な対応が求められている。

【CVE-2024-10753】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理者用ファイルdom_data_two_headers.phpにクロスサイトスクリプティングの脆弱性が発見された。VulDBによって【CVE-2024-10753】として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)に分類され、リモートからの攻撃が可能な状態であることが判明。既にエクスプロイトが公開されており、早急な対応が求められている。

【CVE-2024-10751】Codezips ISP Management System 1.0にSQL injection脆弱性、認証済みユーザーによる遠隔攻撃が可能な状態に

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。

【CVE-2024-10748】Cosmote Greece What's Up App 4.47.3のRealm Databaseに暗号化キーの脆弱性が発見、影響は限定的と評価

【CVE-2024-10748】Cosmote Greece What's Up App 4....

Cosmote GreeceのWhat's Up App 4.47.3において、Realm Databaseコンポーネントにデフォルトの暗号化キーを使用する脆弱性が発見された。CVE-2024-10748として識別されたこの問題は、ローカルアクセスと特権が必要とされ、攻撃の複雑さも高いため影響は限定的と評価されている。しかし、ベンダーからの対応は現時点でなく、セキュリティ専門家からは適切な暗号化実装の必要性が指摘されている。

【CVE-2024-10748】Cosmote Greece What's Up App 4....

Cosmote GreeceのWhat's Up App 4.47.3において、Realm Databaseコンポーネントにデフォルトの暗号化キーを使用する脆弱性が発見された。CVE-2024-10748として識別されたこの問題は、ローカルアクセスと特権が必要とされ、攻撃の複雑さも高いため影響は限定的と評価されている。しかし、ベンダーからの対応は現時点でなく、セキュリティ専門家からは適切な暗号化実装の必要性が指摘されている。

GoogleがAndroidの11月セキュリティアップデートを公開、深刻な脆弱性に対処しセキュリティを強化

GoogleがAndroidの11月セキュリティアップデートを公開、深刻な脆弱性に対処しセキュ...

GoogleはAndroid OSの月例セキュリティ情報を2024年11月4日に公開し、Systemコンポーネントにおけるリモートコード実行の脆弱性など、複数の重要な問題への対策を実施した。特にQualcommコンポーネントの脆弱性CVE-2024-43047は既に攻撃の対象となっており、アップデートの早期適用が推奨される。

GoogleがAndroidの11月セキュリティアップデートを公開、深刻な脆弱性に対処しセキュ...

GoogleはAndroid OSの月例セキュリティ情報を2024年11月4日に公開し、Systemコンポーネントにおけるリモートコード実行の脆弱性など、複数の重要な問題への対策を実施した。特にQualcommコンポーネントの脆弱性CVE-2024-43047は既に攻撃の対象となっており、アップデートの早期適用が推奨される。

GitHubがXcode向けAIコード補完機能GitHub Copilot for Xcodeのパブリックプレビューを発表、iOS開発の効率化が加速

GitHubがXcode向けAIコード補完機能GitHub Copilot for Xcode...

GitHubは2024年10月29日、AppleのXcode向けにAIによるコード補完機能を提供するGitHub Copilot for Xcodeのパブリックプレビューを発表した。SwiftやObjective-Cに対応し、シングルラインおよびマルチラインのコード提案機能を搭載。不適切なコードのフィルタリングや公開コードとの重複防止機能も実装され、Copilotライセンス保有者が利用可能だ。

GitHubがXcode向けAIコード補完機能GitHub Copilot for Xcode...

GitHubは2024年10月29日、AppleのXcode向けにAIによるコード補完機能を提供するGitHub Copilot for Xcodeのパブリックプレビューを発表した。SwiftやObjective-Cに対応し、シングルラインおよびマルチラインのコード提案機能を搭載。不適切なコードのフィルタリングや公開コードとの重複防止機能も実装され、Copilotライセンス保有者が利用可能だ。

Ridgelinezがアジャイル組織の成熟度診断サービスを開始、独自フレームワークと生成AIを活用した高精度な分析が可能に

Ridgelinezがアジャイル組織の成熟度診断サービスを開始、独自フレームワークと生成AIを...

Ridgelinezは2024年11月6日より、企業のアジャイル成熟度を診断するサービスの提供を開始した。本サービスでは、無償のWeb診断と有償のインタビューアセスメントを提供し、独自のアジャイルフレームワークと生成AIプラットフォームを活用することで、企業のアジャイル成熟度を高精度に分析することが可能となっている。SAFeやScrum@scaleなどのグローバルベストプラクティスを基に開発された診断フレームワークにより、企業の中長期的な成長を支援する。

Ridgelinezがアジャイル組織の成熟度診断サービスを開始、独自フレームワークと生成AIを...

Ridgelinezは2024年11月6日より、企業のアジャイル成熟度を診断するサービスの提供を開始した。本サービスでは、無償のWeb診断と有償のインタビューアセスメントを提供し、独自のアジャイルフレームワークと生成AIプラットフォームを活用することで、企業のアジャイル成熟度を高精度に分析することが可能となっている。SAFeやScrum@scaleなどのグローバルベストプラクティスを基に開発された診断フレームワークにより、企業の中長期的な成長を支援する。