Tech Insights

ジュピターショップチャンネルのECサイトで15,000件の個人情報流出の可能性、クレジットカード情報は部分的な影響に留まる

ジュピターショップチャンネルのECサイトで15,000件の個人情報流出の可能性、クレジットカー...

ジュピターショップチャンネルのECサイトで不正ログインによる個人情報流出の可能性が明らかとなった。約15,000件のアカウントで氏名や住所などの個人情報が閲覧された可能性があり、クレジットカードは下4桁と有効期限のみが影響を受けた。同社は不正ログインアカウントのパスワードリセットを実施し、監視体制を強化している。

ジュピターショップチャンネルのECサイトで15,000件の個人情報流出の可能性、クレジットカー...

ジュピターショップチャンネルのECサイトで不正ログインによる個人情報流出の可能性が明らかとなった。約15,000件のアカウントで氏名や住所などの個人情報が閲覧された可能性があり、クレジットカードは下4桁と有効期限のみが影響を受けた。同社は不正ログインアカウントのパスワードリセットを実施し、監視体制を強化している。

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENETにDoS脆弱性、Ethernet通信への攻撃リスクが判明

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENET...

三菱電機のMELSEC iQ-F Series FX5-ENETおよびFX5-ENET/IPに深刻なDoS脆弱性が発見された。CVSSスコア7.5のHigh評価となる本脆弱性は、特別に細工されたSLMPパケットによってEthernet通信に障害を引き起こす可能性がある。FX5-ENETのバージョン1.100以降およびFX5-ENET/IPのバージョン1.100から1.104が影響を受け、早急な対応が求められている。

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENET...

三菱電機のMELSEC iQ-F Series FX5-ENETおよびFX5-ENET/IPに深刻なDoS脆弱性が発見された。CVSSスコア7.5のHigh評価となる本脆弱性は、特別に細工されたSLMPパケットによってEthernet通信に障害を引き起こす可能性がある。FX5-ENETのバージョン1.100以降およびFX5-ENET/IPのバージョン1.100から1.104が影響を受け、早急な対応が求められている。

【CVE-2024-51663】Bricksable for Bricks Builder 1.6.59にXSS脆弱性、新バージョンで修正完了

【CVE-2024-51663】Bricksable for Bricks Builder 1...

WordPress用プラグインBricksable for Bricks Builderにおいて、バージョン1.6.59以前に深刻なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.9のミディアム評価であり、高い特権レベルとユーザーの関与が必要となる。開発元は直ちに対応を行い、バージョン1.6.60で修正を完了。ユーザーには最新版へのアップデートが推奨される。

【CVE-2024-51663】Bricksable for Bricks Builder 1...

WordPress用プラグインBricksable for Bricks Builderにおいて、バージョン1.6.59以前に深刻なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.9のミディアム評価であり、高い特権レベルとユーザーの関与が必要となる。開発元は直ちに対応を行い、バージョン1.6.60で修正を完了。ユーザーには最新版へのアップデートが推奨される。

【CVE-2024-51093】新たな重大な脆弱性が発見、システム全体のセキュリティに影響

【CVE-2024-51093】新たな重大な脆弱性が発見、システム全体のセキュリティに影響

セキュリティ研究者によって新たな重大な脆弱性CVE-2024-51093が発見された。この脆弱性はシステム全体に影響を及ぼす可能性があり、早急な対応が求められている。現在、セキュリティチームによる修正プログラムの開発が進められており、システム管理者には定期的なアップデートの確認と適用が強く推奨されている状況だ。

【CVE-2024-51093】新たな重大な脆弱性が発見、システム全体のセキュリティに影響

セキュリティ研究者によって新たな重大な脆弱性CVE-2024-51093が発見された。この脆弱性はシステム全体に影響を及ぼす可能性があり、早急な対応が求められている。現在、セキュリティチームによる修正プログラムの開発が進められており、システム管理者には定期的なアップデートの確認と適用が強く推奨されている状況だ。

【CVE-2024-49033】Microsoft Wordにセキュリティ機能バイパスの脆弱性が発見、複数バージョンのOffice製品に影響

【CVE-2024-49033】Microsoft Wordにセキュリティ機能バイパスの脆弱性...

Microsoftは2024年11月12日、Microsoft Wordにセキュリティ機能バイパスの脆弱性【CVE-2024-49033】を公開した。CVSSスコア7.5を記録し深刻度「HIGH」と評価されており、Office LTSC for Mac 2024やOffice 2019など複数のバージョンに影響を及ぼしている。CWE-20に分類される不適切な入力検証が原因で、早急なパッチ適用が推奨される。

【CVE-2024-49033】Microsoft Wordにセキュリティ機能バイパスの脆弱性...

Microsoftは2024年11月12日、Microsoft Wordにセキュリティ機能バイパスの脆弱性【CVE-2024-49033】を公開した。CVSSスコア7.5を記録し深刻度「HIGH」と評価されており、Office LTSC for Mac 2024やOffice 2019など複数のバージョンに影響を及ぼしている。CWE-20に分類される不適切な入力検証が原因で、早急なパッチ適用が推奨される。

【CVE-2024-49018】MicrosoftがSQL Server Native Clientの深刻な脆弱性を公開、複数バージョンのSQL Serverに影響

【CVE-2024-49018】MicrosoftがSQL Server Native Cli...

MicrosoftはSQL Server Native Clientにおけるリモートコード実行の脆弱性【CVE-2024-49018】を公開した。この脆弱性はCVSS v3.1で深刻度8.8と評価されており、SQL Server 2016 Service Pack 3からSQL Server 2019まで複数のバージョンに影響を及ぼす。攻撃者が特別に細工したペイロードを送信することで任意のコードを実行できる可能性があり、早急な対応が必要だ。

【CVE-2024-49018】MicrosoftがSQL Server Native Cli...

MicrosoftはSQL Server Native Clientにおけるリモートコード実行の脆弱性【CVE-2024-49018】を公開した。この脆弱性はCVSS v3.1で深刻度8.8と評価されており、SQL Server 2016 Service Pack 3からSQL Server 2019まで複数のバージョンに影響を及ぼす。攻撃者が特別に細工したペイロードを送信することで任意のコードを実行できる可能性があり、早急な対応が必要だ。

【CVE-2024-49012】Microsoft SQL Serverに深刻な脆弱性、リモートコード実行の可能性が判明

【CVE-2024-49012】Microsoft SQL Serverに深刻な脆弱性、リモー...

MicrosoftはSQL Server Native Clientに存在する深刻な脆弱性【CVE-2024-49012】を公開した。この脆弱性はヒープベースのバッファオーバーフローによってリモートコード実行が可能となるもので、CVSS v3.1で8.8のハイリスクと評価されている。SQL Server 2016 Service Pack 3からSQL Server 2019まで複数のバージョンに影響があり、早急なパッチ適用が推奨される。

【CVE-2024-49012】Microsoft SQL Serverに深刻な脆弱性、リモー...

MicrosoftはSQL Server Native Clientに存在する深刻な脆弱性【CVE-2024-49012】を公開した。この脆弱性はヒープベースのバッファオーバーフローによってリモートコード実行が可能となるもので、CVSS v3.1で8.8のハイリスクと評価されている。SQL Server 2016 Service Pack 3からSQL Server 2019まで複数のバージョンに影響があり、早急なパッチ適用が推奨される。

【CVE-2024-49010】Microsoft SQL Serverにリモートコードによるバッファーオーバーフローのリスクが判明、早急な対応が必要に

【CVE-2024-49010】Microsoft SQL Serverにリモートコードによる...

MicrosoftはSQL Server Native Clientに存在する重大な脆弱性【CVE-2024-49010】を公開した。この脆弱性はCVSSv3.1で8.8のハイリスクと評価され、CWE-122のヒープベースバッファオーバーフローに分類される。SQL Server 2016 Service Pack 3からSQL Server 2019までの複数バージョンが影響を受け、攻撃者によるリモートコード実行のリスクが指摘されている。

【CVE-2024-49010】Microsoft SQL Serverにリモートコードによる...

MicrosoftはSQL Server Native Clientに存在する重大な脆弱性【CVE-2024-49010】を公開した。この脆弱性はCVSSv3.1で8.8のハイリスクと評価され、CWE-122のヒープベースバッファオーバーフローに分類される。SQL Server 2016 Service Pack 3からSQL Server 2019までの複数バージョンが影響を受け、攻撃者によるリモートコード実行のリスクが指摘されている。

【CVE-2024-49003】Microsoft SQL Server Native Clientに深刻な脆弱性、複数バージョンでアップデートが必要に

【CVE-2024-49003】Microsoft SQL Server Native Cli...

MicrosoftはSQL Server Native Clientにおけるリモートコード実行の脆弱性【CVE-2024-49003】を公開した。この脆弱性はCVSSスコア8.8の高い深刻度を持ち、SQL Server 2016 Service Pack 3からSQL Server 2019までの複数バージョンに影響を与える。特権は不要だが利用者の関与が必要で、機密性・完全性・可用性のすべてに高い影響がある。各バージョンに対して具体的な更新プログラムが提供されている。

【CVE-2024-49003】Microsoft SQL Server Native Cli...

MicrosoftはSQL Server Native Clientにおけるリモートコード実行の脆弱性【CVE-2024-49003】を公開した。この脆弱性はCVSSスコア8.8の高い深刻度を持ち、SQL Server 2016 Service Pack 3からSQL Server 2019までの複数バージョンに影響を与える。特権は不要だが利用者の関与が必要で、機密性・完全性・可用性のすべてに高い影響がある。各バージョンに対して具体的な更新プログラムが提供されている。

【CVE-2024-47907】Ivanti Connect Secureにバッファオーバーフローの脆弱性が発見、サービス拒否攻撃のリスクに警戒

【CVE-2024-47907】Ivanti Connect Secureにバッファオーバーフ...

Ivantiは2024年11月12日、VPN製品Ivanti Connect Secureのバージョン22.7R2.3より前のバージョンにおいて、IPsecのスタックベースのバッファオーバーフローの脆弱性を公開した。CVSSスコア7.5の深刻な脆弱性として分類され、認証不要で遠隔からの攻撃が可能とされている。この脆弱性はサービス拒否攻撃を引き起こす可能性があり、早急な対応が求められている。

【CVE-2024-47907】Ivanti Connect Secureにバッファオーバーフ...

Ivantiは2024年11月12日、VPN製品Ivanti Connect Secureのバージョン22.7R2.3より前のバージョンにおいて、IPsecのスタックベースのバッファオーバーフローの脆弱性を公開した。CVSSスコア7.5の深刻な脆弱性として分類され、認証不要で遠隔からの攻撃が可能とされている。この脆弱性はサービス拒否攻撃を引き起こす可能性があり、早急な対応が求められている。

【CVE-2024-45088】IBM Maximo Asset Management 7.6.1.3でXSS脆弱性が発見、認証情報漏洩のリスクに警戒

【CVE-2024-45088】IBM Maximo Asset Management 7.6...

IBMは2024年11月11日、IBM Maximo Asset Management 7.6.1.3においてクロスサイトスクリプティング(XSS)の脆弱性を公開した。認証済みユーザーによってWeb UIに悪意のあるJavaScriptコードが埋め込まれ、本来の機能が改変される可能性がある。CVSSスコア6.4(中)と評価され、信頼済みセッション内での認証情報漏洩のリスクが存在する。

【CVE-2024-45088】IBM Maximo Asset Management 7.6...

IBMは2024年11月11日、IBM Maximo Asset Management 7.6.1.3においてクロスサイトスクリプティング(XSS)の脆弱性を公開した。認証済みユーザーによってWeb UIに悪意のあるJavaScriptコードが埋め込まれ、本来の機能が改変される可能性がある。CVSSスコア6.4(中)と評価され、信頼済みセッション内での認証情報漏洩のリスクが存在する。

【CVE-2024-11073】SourceCodester Hospital Management System 1.0に認可の脆弱性、患者アカウントの不正削除が可能に

【CVE-2024-11073】SourceCodester Hospital Managem...

医療システムベンダーSourceCodesterのHospital Management System 1.0において、delete-account.phpファイルに関する重大な認可の脆弱性が発見された。CVE-2024-11073として識別されたこの脆弱性により、攻撃者は任意の患者アカウントを不正に削除することが可能となる。CVSS 4.0スコアは5.3(MEDIUM)で、リモートからの攻撃が可能な点が特に懸念される。

【CVE-2024-11073】SourceCodester Hospital Managem...

医療システムベンダーSourceCodesterのHospital Management System 1.0において、delete-account.phpファイルに関する重大な認可の脆弱性が発見された。CVE-2024-11073として識別されたこの脆弱性により、攻撃者は任意の患者アカウントを不正に削除することが可能となる。CVSS 4.0スコアは5.3(MEDIUM)で、リモートからの攻撃が可能な点が特に懸念される。

【CVE-2024-11021】Grand Vice Info WebopacでStored XSS脆弱性を発見、複数のバージョンで影響

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting(XSS)の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4(Medium)で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting(XSS)の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4(Medium)で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性、未認証の攻撃者による不正コード実行の危険性

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。

【CVE-2024-10994】Codezips Online Institute Management System 1.0に深刻な脆弱性、無制限アップロードの問題で早急な対応が必要に

【CVE-2024-10994】Codezips Online Institute Manag...

VulDBが2024年11月8日、Codezips Online Institute Management System 1.0のedit_user.phpファイルに無制限アップロードの脆弱性が存在することを公開した。CVSSスコアは4.0で5.3(MEDIUM)、3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能で既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-10994】Codezips Online Institute Manag...

VulDBが2024年11月8日、Codezips Online Institute Management System 1.0のedit_user.phpファイルに無制限アップロードの脆弱性が存在することを公開した。CVSSスコアは4.0で5.3(MEDIUM)、3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能で既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-10529】Kognetiks Chatbot for WordPressに権限チェックの欠落、アシスタント削除機能に脆弱性が発覚

【CVE-2024-10529】Kognetiks Chatbot for WordPress...

Kognetiks Chatbot for WordPressのバージョン2.1.7以前において、delete_assistant()関数の権限チェック不備が発見され、CVE-2024-10529として報告された。この脆弱性により、認証済みユーザー(Subscriber以上)がアシスタントを不正に削除できる状態となっている。CVSSスコアは5.3(MEDIUM)で評価され、早急な対策が求められている。

【CVE-2024-10529】Kognetiks Chatbot for WordPress...

Kognetiks Chatbot for WordPressのバージョン2.1.7以前において、delete_assistant()関数の権限チェック不備が発見され、CVE-2024-10529として報告された。この脆弱性により、認証済みユーザー(Subscriber以上)がアシスタントを不正に削除できる状態となっている。CVSSスコアは5.3(MEDIUM)で評価され、早急な対策が求められている。

セキュアヴェイルがLogStare Collector 2.4をリリース、BoxとGoogle Workspaceのログ収集機能を追加しクラウドサービス管理を強化

セキュアヴェイルがLogStare Collector 2.4をリリース、BoxとGoogle...

セキュアヴェイルの子会社LogStareが、セキュリティ運用ソフトウェア「LogStare Collector 2.4」を2024年11月15日にリリースした。新バージョンではBoxとGoogle Workspaceのログ収集に対応し、Microsoft 365やAWS、Azureなど主要クラウドサービスのログを自動収集・管理できる。ハイブリッド・マルチクラウド環境下での運用効率化を実現する。

セキュアヴェイルがLogStare Collector 2.4をリリース、BoxとGoogle...

セキュアヴェイルの子会社LogStareが、セキュリティ運用ソフトウェア「LogStare Collector 2.4」を2024年11月15日にリリースした。新バージョンではBoxとGoogle Workspaceのログ収集に対応し、Microsoft 365やAWS、Azureなど主要クラウドサービスのログを自動収集・管理できる。ハイブリッド・マルチクラウド環境下での運用効率化を実現する。

プレジデント社が超人口減少社会に向けたDXイベントPRESIDENT祭2025を開催、経営改革の具体策を豪華講師陣が伝授

プレジデント社が超人口減少社会に向けたDXイベントPRESIDENT祭2025を開催、経営改革...

プレジデント社は2024年11月28日、東京・霞ケ関のイイノホールでPRESIDENT祭2025を開催する。JTB山北社長と楠木建氏による観光DX対談、安野貴博氏による生成AI活用、野村泰一氏のデジタル人材育成、元ネスレ日本CEO高岡浩三氏のDX視点など、人口減少社会における企業価値向上と持続的成長への具体的な施策が提示される。

プレジデント社が超人口減少社会に向けたDXイベントPRESIDENT祭2025を開催、経営改革...

プレジデント社は2024年11月28日、東京・霞ケ関のイイノホールでPRESIDENT祭2025を開催する。JTB山北社長と楠木建氏による観光DX対談、安野貴博氏による生成AI活用、野村泰一氏のデジタル人材育成、元ネスレ日本CEO高岡浩三氏のDX視点など、人口減少社会における企業価値向上と持続的成長への具体的な施策が提示される。

ソフトクリエイトがSCSmart クラウド設定監査サービスを提供開始、月額7万5000円でクラウド環境のセキュリティを強化

ソフトクリエイトがSCSmart クラウド設定監査サービスを提供開始、月額7万5000円でクラ...

株式会社ソフトクリエイトが、パブリッククラウドのセキュリティ設定を定期的に調査し問題点の検出と改善アドバイスを実施する「SCSmart クラウド設定監査サービス」を提供開始した。SBテクノロジー株式会社が開発した「クラウドパトロール」とSOC環境およびナレッジを組み合わせ、設定ミスによるインシデントや意図しない公開設定などのリスクを検知する。月額7万5000円で利用可能。

ソフトクリエイトがSCSmart クラウド設定監査サービスを提供開始、月額7万5000円でクラ...

株式会社ソフトクリエイトが、パブリッククラウドのセキュリティ設定を定期的に調査し問題点の検出と改善アドバイスを実施する「SCSmart クラウド設定監査サービス」を提供開始した。SBテクノロジー株式会社が開発した「クラウドパトロール」とSOC環境およびナレッジを組み合わせ、設定ミスによるインシデントや意図しない公開設定などのリスクを検知する。月額7万5000円で利用可能。

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネル名が漏洩する問題が発覚

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネ...

Mattermost社が自社製品の重要な脆弱性を公開した。Mattermost 10.0.0および9.11.0-9.11.2において、Elasticsearch v8が有効化されている環境下でチャンネルスイッチャーを使用した際、ユーザーがメンバーではないプライベートチャンネルの名前が漏洩する問題が発見された。CVSSスコアは4.3を記録し、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネ...

Mattermost社が自社製品の重要な脆弱性を公開した。Mattermost 10.0.0および9.11.0-9.11.2において、Elasticsearch v8が有効化されている環境下でチャンネルスイッチャーを使用した際、ユーザーがメンバーではないプライベートチャンネルの名前が漏洩する問題が発見された。CVSSスコアは4.3を記録し、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-46892】SINEC INS V1.0 SP2 Update 3未満にセッション管理の脆弱性、アカウント無効化後も不正アクセスの可能性

【CVE-2024-46892】SINEC INS V1.0 SP2 Update 3未満にセ...

Siemens社はSINEC INS V1.0 SP2 Update 3未満のバージョンにおいて、ユーザーアカウントの削除や無効化、権限変更後もセッションが適切に無効化されない脆弱性を公開した。CVSSスコアは3.1で4.9、4.0で6.9と評価され、認証済み攻撃者による不正操作の継続が可能な状態となっている。セキュリティ強化のため、V1.0 SP2 Update 3へのアップデートを提供している。

【CVE-2024-46892】SINEC INS V1.0 SP2 Update 3未満にセ...

Siemens社はSINEC INS V1.0 SP2 Update 3未満のバージョンにおいて、ユーザーアカウントの削除や無効化、権限変更後もセッションが適切に無効化されない脆弱性を公開した。CVSSスコアは3.1で4.9、4.0で6.9と評価され、認証済み攻撃者による不正操作の継続が可能な状態となっている。セキュリティ強化のため、V1.0 SP2 Update 3へのアップデートを提供している。

【CVE-2024-45099】IBM Security ReaQta 3.12に深刻なクロスサイトスクリプティングの脆弱性が発見、特権ユーザーによる攻撃のリスクに

【CVE-2024-45099】IBM Security ReaQta 3.12に深刻なクロス...

IBMは2024年11月14日、IBM Security ReaQta 3.12においてクロスサイトスクリプティングの脆弱性を発見したことを公開した。CVE-2024-45099として識別されるこの脆弱性は、特権ユーザーによる任意のJavaScriptコードの埋め込みを可能にし、Web UIの機能改変や認証情報の漏洩につながる可能性がある。CVSSスコアは3.1(Low)と評価されているものの、早急な対応が推奨される。

【CVE-2024-45099】IBM Security ReaQta 3.12に深刻なクロス...

IBMは2024年11月14日、IBM Security ReaQta 3.12においてクロスサイトスクリプティングの脆弱性を発見したことを公開した。CVE-2024-45099として識別されるこの脆弱性は、特権ユーザーによる任意のJavaScriptコードの埋め込みを可能にし、Web UIの機能改変や認証情報の漏洩につながる可能性がある。CVSSスコアは3.1(Low)と評価されているものの、早急な対応が推奨される。

【CVE-2024-11065】D-Link DSL6740Cモデムに重大な脆弱性、管理者権限でのコマンド実行が可能に

【CVE-2024-11065】D-Link DSL6740Cモデムに重大な脆弱性、管理者権限...

D-Link DSL6740CモデムにおいてOSコマンドインジェクションの脆弱性が発見された。CVE-2024-11065として識別されるこの脆弱性は、管理者権限を持つ攻撃者がSSHとTelnetを介して任意のシステムコマンドを実行可能。CVSSスコア7.2の高リスク脆弱性として評価され、早急な対策が必要とされている。影響範囲は機密性・完全性・可用性に及ぶ可能性がある。

【CVE-2024-11065】D-Link DSL6740Cモデムに重大な脆弱性、管理者権限...

D-Link DSL6740CモデムにおいてOSコマンドインジェクションの脆弱性が発見された。CVE-2024-11065として識別されるこの脆弱性は、管理者権限を持つ攻撃者がSSHとTelnetを介して任意のシステムコマンドを実行可能。CVSSスコア7.2の高リスク脆弱性として評価され、早急な対策が必要とされている。影響範囲は機密性・完全性・可用性に及ぶ可能性がある。

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度化を実現へ

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度...

NTTコミュニケーションズが開発したAI Advisorは、NTTの大規模言語モデルtsuzumiを活用し、セキュリティ運用を支援するソリューションだ。2025年1月からの提供開始を予定しており、セキュリティアラートを95%削減可能。顧客独自の情報をもとにチューニングされ、NTTの独自ノウハウやIoC情報も学習することで、より高度な回答を生成する。

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度...

NTTコミュニケーションズが開発したAI Advisorは、NTTの大規模言語モデルtsuzumiを活用し、セキュリティ運用を支援するソリューションだ。2025年1月からの提供開始を予定しており、セキュリティアラートを95%削減可能。顧客独自の情報をもとにチューニングされ、NTTの独自ノウハウやIoC情報も学習することで、より高度な回答を生成する。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェクション脆弱性、データベース改ざんのリスクで緊急アップデートを推奨

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。

IDホールディングスとブロードバンドセキュリティが資本業務提携、サイバーセキュリティ事業の強化へ向け総合的なサービス提供を開始

IDホールディングスとブロードバンドセキュリティが資本業務提携、サイバーセキュリティ事業の強化...

IDホールディングスはブロードバンドセキュリティと資本業務提携契約を締結し、サイバーセキュリティ分野での協業を本格化する。IDホールディングスのCSIRT支援やOTセキュリティの知見と、BBSecのセキュリティ監査・脆弱性診断の専門性を組み合わせ、高度な総合セキュリティサービスを提供。DX推進やAI普及に伴う企業のセキュリティニーズに対応し、技術者交流や共同営業体制の構築も進める。

IDホールディングスとブロードバンドセキュリティが資本業務提携、サイバーセキュリティ事業の強化...

IDホールディングスはブロードバンドセキュリティと資本業務提携契約を締結し、サイバーセキュリティ分野での協業を本格化する。IDホールディングスのCSIRT支援やOTセキュリティの知見と、BBSecのセキュリティ監査・脆弱性診断の専門性を組み合わせ、高度な総合セキュリティサービスを提供。DX推進やAI普及に伴う企業のセキュリティニーズに対応し、技術者交流や共同営業体制の構築も進める。

ソフトクリエイトがSCSmartクラウド設定監査サービスを開始、クラウド環境のセキュリティ監視と改善提案が可能に

ソフトクリエイトがSCSmartクラウド設定監査サービスを開始、クラウド環境のセキュリティ監視...

ソフトクリエイトは2024年11月15日、パブリッククラウドのセキュリティ設定を定期的に調査し問題点の検出と改善アドバイスを実施するSCSmart クラウド設定監査サービスを開始した。SBテクノロジーのクラウドパトロールとSOC環境を組み合わせることで、クラウド環境を取り巻くあらゆるリスクを検知し、改善方法を含めた報告書を作成する。月額75,000円の一律価格で提供されるため、コストを抑えながらセキュリティ対策を実施できる。

ソフトクリエイトがSCSmartクラウド設定監査サービスを開始、クラウド環境のセキュリティ監視...

ソフトクリエイトは2024年11月15日、パブリッククラウドのセキュリティ設定を定期的に調査し問題点の検出と改善アドバイスを実施するSCSmart クラウド設定監査サービスを開始した。SBテクノロジーのクラウドパトロールとSOC環境を組み合わせることで、クラウド環境を取り巻くあらゆるリスクを検知し、改善方法を含めた報告書を作成する。月額75,000円の一律価格で提供されるため、コストを抑えながらセキュリティ対策を実施できる。

【CVE-2024-37179】SAP BusinessObjects BIプラットフォームに深刻な脆弱性、認証済みユーザーによる不正アクセスのリスクが浮上

【CVE-2024-37179】SAP BusinessObjects BIプラットフォームに...

SAPは2024年10月8日、SAP BusinessObjects Business Intelligence Platform(Web Intelligence)において重大な脆弱性を公開した。認証済みユーザーが特別に細工されたリクエストを送信することで、サービスをホストしているマシンから任意のファイルをダウンロードできる問題が発見され、CVSS v3.1で7.7(High)と評価された。影響を受けるバージョンはENTERPRISE 420、430、2025、およびENTERPRISECLIENTTOOLS 420。

【CVE-2024-37179】SAP BusinessObjects BIプラットフォームに...

SAPは2024年10月8日、SAP BusinessObjects Business Intelligence Platform(Web Intelligence)において重大な脆弱性を公開した。認証済みユーザーが特別に細工されたリクエストを送信することで、サービスをホストしているマシンから任意のファイルをダウンロードできる問題が発見され、CVSS v3.1で7.7(High)と評価された。影響を受けるバージョンはENTERPRISE 420、430、2025、およびENTERPRISECLIENTTOOLS 420。

【CVE-2024-46888】SINEC INSにパストラバーサルの脆弱性、認証済み攻撃者による任意のコード実行が可能に

【CVE-2024-46888】SINEC INSにパストラバーサルの脆弱性、認証済み攻撃者に...

Siemens社のSINEC INSにおいて、SFTPベースのファイルアップロードおよびダウンロードに関するパストラバーサル脆弱性が発見された。V1.0 SP2 Update 3未満の全バージョンが影響を受け、認証済みのリモート攻撃者による任意のコード実行が可能となる。CVSS v3.1で9.9、CVSS v4.0で9.4のCriticalレベルに分類されており、早急な対応が求められている。

【CVE-2024-46888】SINEC INSにパストラバーサルの脆弱性、認証済み攻撃者に...

Siemens社のSINEC INSにおいて、SFTPベースのファイルアップロードおよびダウンロードに関するパストラバーサル脆弱性が発見された。V1.0 SP2 Update 3未満の全バージョンが影響を受け、認証済みのリモート攻撃者による任意のコード実行が可能となる。CVSS v3.1で9.9、CVSS v4.0で9.4のCriticalレベルに分類されており、早急な対応が求められている。