Tech Insights

【CVE-2024-24117】Ruijie RG-NBS2009G-P RGOSに権限昇格の脆弱性、ログインチェックコンポーネントに深刻な問題

【CVE-2024-24117】Ruijie RG-NBS2009G-P RGOSに権限昇格の...

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release (9736)にログインチェック状態コンポーネントを介した権限昇格の脆弱性が存在することを公開した。この脆弱性は【CVE-2024-24117】として識別され、リモート攻撃者による権限取得が可能となる。CISAの評価では技術的影響が部分的で自動化された攻撃が可能とされており、早急な対応が必要とされている。

【CVE-2024-24117】Ruijie RG-NBS2009G-P RGOSに権限昇格の...

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release (9736)にログインチェック状態コンポーネントを介した権限昇格の脆弱性が存在することを公開した。この脆弱性は【CVE-2024-24117】として識別され、リモート攻撃者による権限取得が可能となる。CISAの評価では技術的影響が部分的で自動化された攻撃が可能とされており、早急な対応が必要とされている。

【CVE-2024-36250】Mattermost 9.11.xと9.5.xでMFAコードのリプレイ攻撃による脆弱性が発見、迅速な対応でセキュリティ強化へ

【CVE-2024-36250】Mattermost 9.11.xと9.5.xでMFAコードの...

Mattermost社が9.11.xおよび9.5.xシリーズにおいて、MFAコードの再利用を可能とする脆弱性【CVE-2024-36250】を公開。約30秒以内のMFAコードリプレイ攻撃が可能な状態であることが判明。CWE-303に分類され、CVSSスコアは3.1(Low)。Mattermost 10.1.0、9.11.3、9.5.11で修正済み。DoyenSecにより発見された本脆弱性に対し、迅速なセキュリティアップデートを実施。

【CVE-2024-36250】Mattermost 9.11.xと9.5.xでMFAコードの...

Mattermost社が9.11.xおよび9.5.xシリーズにおいて、MFAコードの再利用を可能とする脆弱性【CVE-2024-36250】を公開。約30秒以内のMFAコードリプレイ攻撃が可能な状態であることが判明。CWE-303に分類され、CVSSスコアは3.1(Low)。Mattermost 10.1.0、9.11.3、9.5.11で修正済み。DoyenSecにより発見された本脆弱性に対し、迅速なセキュリティアップデートを実施。

【CVE-2024-11076】code-projects Job Recruitment 1.0にSQL injection脆弱性、リモートからの攻撃が可能に

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-11076】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のactivation.phpファイルにSQL injection脆弱性が発見され、【CVE-2024-11076】として公開された。この脆弱性はe_hashパラメータの処理に関連しており、リモートから攻撃可能で認証されたユーザーによって悪用される可能性がある。CVSS v4.0で5.3(MEDIUM)と評価されており、既にexploit codeも公開されているため、早急な対応が必要とされている。

【CVE-2024-11058】CodeAstro Real Estate Management System 1.0でSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートからの攻撃リスクで早急な対応が必要に

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-50971】Construction Management System 1.0にSQLインジェクションの脆弱性、リモートからの任意コード実行が可能に

【CVE-2024-50971】Construction Management System ...

ItsourcecodeのConstruction Management System 1.0において重大なSQLインジェクションの脆弱性が発見された。print.phpのmap_idパラメータを通じて任意のSQLコマンドが実行可能となっており、データベースの改ざんや情報漏洩などのリスクが指摘されている。MITREは本脆弱性を【CVE-2024-50971】として公開し、早急な対策が求められている。

【CVE-2024-50971】Construction Management System ...

ItsourcecodeのConstruction Management System 1.0において重大なSQLインジェクションの脆弱性が発見された。print.phpのmap_idパラメータを通じて任意のSQLコマンドが実行可能となっており、データベースの改ざんや情報漏洩などのリスクが指摘されている。MITREは本脆弱性を【CVE-2024-50971】として公開し、早急な対策が求められている。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確認、管理者権限の悪用リスクに対応急ぐ

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-47768】Lif Authentication Serverにパスワード更新の認証バイパスの脆弱性、アカウント乗っ取りのリスクに直面

【CVE-2024-47768】Lif Authentication Serverにパスワード...

Lif Authentication Serverのアカウント復旧システムに重大な脆弱性が発見された。バージョン1.7.3未満では、メールアドレスを知っているだけでパスワードリセットが可能な状態であり、アカウント乗っ取りのリスクが存在。CVSSスコアは6.9(MEDIUM)で、攻撃条件の複雑さは低く特権も不要。バージョン1.7.3で適切な認証チェックが実装され、脆弱性は修正された。

【CVE-2024-47768】Lif Authentication Serverにパスワード...

Lif Authentication Serverのアカウント復旧システムに重大な脆弱性が発見された。バージョン1.7.3未満では、メールアドレスを知っているだけでパスワードリセットが可能な状態であり、アカウント乗っ取りのリスクが存在。CVSSスコアは6.9(MEDIUM)で、攻撃条件の複雑さは低く特権も不要。バージョン1.7.3で適切な認証チェックが実装され、脆弱性は修正された。

カスペルスキーがサイバーセキュリティ専門家向けxTrainingをパートナー経由で提供開始、企業や組織での導入がより柔軟に

カスペルスキーがサイバーセキュリティ専門家向けxTrainingをパートナー経由で提供開始、企...

株式会社カスペルスキーは、サイバーセキュリティ専門家向けオンライントレーニング「Kaspersky Expert Training」のパートナー経由での提供を開始した。SOCやCSIRTなどのセキュリティ対応組織向けに、脅威ハンティングやインシデントレスポンス、リバースエンジニアリングなど11種類のコースを提供。GReATやGERTの知見を活かした実践的なプログラムで、既に約50カ国から3,000人以上が受講している。

カスペルスキーがサイバーセキュリティ専門家向けxTrainingをパートナー経由で提供開始、企...

株式会社カスペルスキーは、サイバーセキュリティ専門家向けオンライントレーニング「Kaspersky Expert Training」のパートナー経由での提供を開始した。SOCやCSIRTなどのセキュリティ対応組織向けに、脅威ハンティングやインシデントレスポンス、リバースエンジニアリングなど11種類のコースを提供。GReATやGERTの知見を活かした実践的なプログラムで、既に約50カ国から3,000人以上が受講している。

サイバーリーズンとトラストウェーブが戦略的合併を発表、世界最高水準のMDRサービス提供へ向け体制を強化

サイバーリーズンとトラストウェーブが戦略的合併を発表、世界最高水準のMDRサービス提供へ向け体...

サイバーリーズンとトラストウェーブが2024年11月14日に正式な合併契約を発表した。ソフトバンクが主要投資家となり、MDR、EDR、オフェンシブセキュリティなど市場をリードするソリューションを統合。両社は独立企業として運営しながら戦略的に連携し、グローバルな市場でのプレゼンス拡大を目指す。AIを活用した脅威検知の強化やMicrosoft Securityの統合最適化など、新たな価値提供も実現へ。

サイバーリーズンとトラストウェーブが戦略的合併を発表、世界最高水準のMDRサービス提供へ向け体...

サイバーリーズンとトラストウェーブが2024年11月14日に正式な合併契約を発表した。ソフトバンクが主要投資家となり、MDR、EDR、オフェンシブセキュリティなど市場をリードするソリューションを統合。両社は独立企業として運営しながら戦略的に連携し、グローバルな市場でのプレゼンス拡大を目指す。AIを活用した脅威検知の強化やMicrosoft Securityの統合最適化など、新たな価値提供も実現へ。

高千穂交易がOTシステム向けにCyber recovery Unitを販売開始、30秒での復旧とセキュアなバックアップを実現

高千穂交易がOTシステム向けにCyber recovery Unitを販売開始、30秒での復旧...

高千穂交易株式会社は、OTシステム向けにSalvador Technologies社製のCyber recovery Unit(サイバーリカバリーユニット)の販売を開始した。エアギャップ技術によって3枚のディスクを保護し、サイバー攻撃やシステム障害発生時に30秒での復旧を実現する。製造業や重要インフラにおけるOTセキュリティの強化に貢献することが期待される。

高千穂交易がOTシステム向けにCyber recovery Unitを販売開始、30秒での復旧...

高千穂交易株式会社は、OTシステム向けにSalvador Technologies社製のCyber recovery Unit(サイバーリカバリーユニット)の販売を開始した。エアギャップ技術によって3枚のディスクを保護し、サイバー攻撃やシステム障害発生時に30秒での復旧を実現する。製造業や重要インフラにおけるOTセキュリティの強化に貢献することが期待される。

【CVE-2024-10428】WAVLINKのWiFiルーターに重大な脆弱性、コマンドインジェクション攻撃のリスクが発覚

【CVE-2024-10428】WAVLINKのWiFiルーターに重大な脆弱性、コマンドインジ...

WAVLINKのWiFiルーターモデルWN530H4、WN530HG4、WN572HG3において、firewall.cgiファイルのset_ipv6関数に深刻なコマンドインジェクションの脆弱性が発見された。CVE-2024-10428として特定されたこの脆弱性は、CVSS 4.0で8.6のハイリスクと評価されており、機密性・完全性・可用性のすべてに高い影響がある。現在までベンダーからの対応は得られていない状況が続いている。

【CVE-2024-10428】WAVLINKのWiFiルーターに重大な脆弱性、コマンドインジ...

WAVLINKのWiFiルーターモデルWN530H4、WN530HG4、WN572HG3において、firewall.cgiファイルのset_ipv6関数に深刻なコマンドインジェクションの脆弱性が発見された。CVE-2024-10428として特定されたこの脆弱性は、CVSS 4.0で8.6のハイリスクと評価されており、機密性・完全性・可用性のすべてに高い影響がある。現在までベンダーからの対応は得られていない状況が続いている。

【CVE-2024-10429】WAVLINKルーターに深刻な脆弱性、コマンドインジェクションの危険性が明らかに

【CVE-2024-10429】WAVLINKルーターに深刻な脆弱性、コマンドインジェクション...

WAVLINKのWN530H4、WN530HG4、WN572HG3において重大な脆弱性が発見され、IPv6関連機能でコマンドインジェクションが可能となっている。CVSSスコアは8.6と高評価で、遠隔からの攻撃が可能な状態だ。特に企業の対応の遅れが問題視されており、IoT機器のセキュリティ管理における課題が浮き彫りとなっている。

【CVE-2024-10429】WAVLINKルーターに深刻な脆弱性、コマンドインジェクション...

WAVLINKのWN530H4、WN530HG4、WN572HG3において重大な脆弱性が発見され、IPv6関連機能でコマンドインジェクションが可能となっている。CVSSスコアは8.6と高評価で、遠隔からの攻撃が可能な状態だ。特に企業の対応の遅れが問題視されており、IoT機器のセキュリティ管理における課題が浮き彫りとなっている。

New RelicがGartnerのDigital Experience Monitoringでリーダーポジションとビジョンの最上位を獲得、統合型DEMソリューションの強化で顧客体験向上へ

New RelicがGartnerのDigital Experience Monitoring...

New RelicがGartnerのDigital Experience Monitoring Magic Quadrantでリーダーの1社として評価され、ビジョンの最上位に位置付けられた。Session ReplayやMobile Logs、Mobile User Journeysなどの革新的な機能を備えた統合型DEMソリューションを提供し、顧客体験の向上とパフォーマンス最適化を実現。アプリケーションスタック全体の可視化とリアルタイムモニタリングで、デジタルビジネスの成長を支援する。

New RelicがGartnerのDigital Experience Monitoring...

New RelicがGartnerのDigital Experience Monitoring Magic Quadrantでリーダーの1社として評価され、ビジョンの最上位に位置付けられた。Session ReplayやMobile Logs、Mobile User Journeysなどの革新的な機能を備えた統合型DEMソリューションを提供し、顧客体験の向上とパフォーマンス最適化を実現。アプリケーションスタック全体の可視化とリアルタイムモニタリングで、デジタルビジネスの成長を支援する。

mog株式会社のECサイトで個人情報流出、3484件の個人情報と2153件のクレジットカード情報が漏えいの可能性

mog株式会社のECサイトで個人情報流出、3484件の個人情報と2153件のクレジットカード情...

mog株式会社が運営する「こども栄養バランスmog オンラインストア」で第三者による不正アクセスが発生し、2021年3月から2024年5月までの期間に3484件の個人情報と2153件のクレジットカード情報が漏えいした可能性が判明した。委託先カートシステム運営会社のサーバーが攻撃を受け、システムの一部が改ざんされたことが原因である。

mog株式会社のECサイトで個人情報流出、3484件の個人情報と2153件のクレジットカード情...

mog株式会社が運営する「こども栄養バランスmog オンラインストア」で第三者による不正アクセスが発生し、2021年3月から2024年5月までの期間に3484件の個人情報と2153件のクレジットカード情報が漏えいした可能性が判明した。委託先カートシステム運営会社のサーバーが攻撃を受け、システムの一部が改ざんされたことが原因である。

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の脆弱性、最新バージョンへの更新で対応完了

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...

Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...

Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。

【CVE-2024-47302】WordPress用プラグインFluent Support 1.8.0にアクセス制御の脆弱性が発見、修正版の適用が必要に

【CVE-2024-47302】WordPress用プラグインFluent Support 1...

WPManageNinja LLCのWordPressプラグインFluent Support 1.8.0以前のバージョンにおいて、認可機能の不備による重大な脆弱性が発見された。CVE-2024-47302として識別されたこの脆弱性は、CVSSスコア5.3(MEDIUM)と評価され、アクセス制御の設定不備によりセキュリティリスクが確認されている。開発元は迅速な対応を行い、バージョン1.8.1で修正を完了している。

【CVE-2024-47302】WordPress用プラグインFluent Support 1...

WPManageNinja LLCのWordPressプラグインFluent Support 1.8.0以前のバージョンにおいて、認可機能の不備による重大な脆弱性が発見された。CVE-2024-47302として識別されたこの脆弱性は、CVSSスコア5.3(MEDIUM)と評価され、アクセス制御の設定不備によりセキュリティリスクが確認されている。開発元は迅速な対応を行い、バージョン1.8.1で修正を完了している。

データクレシスとアクトが販売代理店契約を締結、EDRとSOCを活用した情報漏洩対策ソリューションの提供を開始

データクレシスとアクトが販売代理店契約を締結、EDRとSOCを活用した情報漏洩対策ソリューショ...

データクレシスとアクトが販売代理店契約を締結し、EDRとSOCを組み合わせた新しい情報漏洩対策ソリューションの提供を開始する。両社は契約締結を記念して2024年11月14日にウェビナーを開催し、ランサムウェア攻撃対策としてのEDR+SOCの活用方法とIRMソリューションによるファイル暗号化技術について詳しく解説する予定だ。

データクレシスとアクトが販売代理店契約を締結、EDRとSOCを活用した情報漏洩対策ソリューショ...

データクレシスとアクトが販売代理店契約を締結し、EDRとSOCを組み合わせた新しい情報漏洩対策ソリューションの提供を開始する。両社は契約締結を記念して2024年11月14日にウェビナーを開催し、ランサムウェア攻撃対策としてのEDR+SOCの活用方法とIRMソリューションによるファイル暗号化技術について詳しく解説する予定だ。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御の脆弱性、バージョン1.0.10以前のユーザーに影響

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト(ACL)による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト(ACL)による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-10006】ConsulとConsul Enterpriseで重大な脆弱性を発見、L7トラフィックインテンションのセキュリティに懸念

【CVE-2024-10006】ConsulとConsul Enterpriseで重大な脆弱性...

HashiCorp社は2024年10月30日、ConsulおよびConsul Enterpriseに存在するL7トラフィックインテンションのヘッダーバイパス脆弱性を公開した。CVE-2024-10006として識別されるこの脆弱性は、HTTPヘッダーベースのアクセスルールをバイパスできる問題を引き起こす。CVSSスコア8.3と高い深刻度を示しており、バージョン1.9.0から1.20.1までが影響を受ける。

【CVE-2024-10006】ConsulとConsul Enterpriseで重大な脆弱性...

HashiCorp社は2024年10月30日、ConsulおよびConsul Enterpriseに存在するL7トラフィックインテンションのヘッダーバイパス脆弱性を公開した。CVE-2024-10006として識別されるこの脆弱性は、HTTPヘッダーベースのアクセスルールをバイパスできる問題を引き起こす。CVSSスコア8.3と高い深刻度を示しており、バージョン1.9.0から1.20.1までが影響を受ける。

【CVE-2024-10086】ConsulとConsul Enterpriseで反射型XSSの脆弱性を発見、Content-Type HTTP headerの不適切な設定が原因に

【CVE-2024-10086】ConsulとConsul Enterpriseで反射型XSS...

HashiCorp社は2024年10月30日、ConsulとConsul Enterpriseにおいて反射型XSSの脆弱性を発見したと発表した。本脆弱性はContent-Type HTTP headerが明示的に設定されていないことに起因し、バージョン1.4.1から1.20.0未満が影響を受ける。CVSS v3.1での深刻度は中程度の6.1を記録しており、修正版として1.19.3、1.18.5、1.15.15がリリースされている。

【CVE-2024-10086】ConsulとConsul Enterpriseで反射型XSS...

HashiCorp社は2024年10月30日、ConsulとConsul Enterpriseにおいて反射型XSSの脆弱性を発見したと発表した。本脆弱性はContent-Type HTTP headerが明示的に設定されていないことに起因し、バージョン1.4.1から1.20.0未満が影響を受ける。CVSS v3.1での深刻度は中程度の6.1を記録しており、修正版として1.19.3、1.18.5、1.15.15がリリースされている。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃のリスクに警戒

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱性、画像最適化機能の悪用でCPU過剰消費のリスク

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱...

Next.jsの画像最適化機能にDoS脆弱性が発見され、バージョン10.x~14.xの14.2.7未満が影響を受ける可能性がある。CVSSスコアは5.9でMediumと評価されており、攻撃者による悪用でCPUの過剰消費を引き起こす恐れがある。Vercelでホストされているアプリケーションや特定の設定では影響を受けず、Next.js 14.2.7へのアップデートで対策可能だ。

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱...

Next.jsの画像最適化機能にDoS脆弱性が発見され、バージョン10.x~14.xの14.2.7未満が影響を受ける可能性がある。CVSSスコアは5.9でMediumと評価されており、攻撃者による悪用でCPUの過剰消費を引き起こす恐れがある。Vercelでホストされているアプリケーションや特定の設定では影響を受けず、Next.js 14.2.7へのアップデートで対策可能だ。

【CVE-2024-8924】ServiceNow Now PlatformにブラインドSQL注入の脆弱性、認証不要で不正アクセスの危険性

【CVE-2024-8924】ServiceNow Now PlatformにブラインドSQL...

ServiceNowは2024年10月29日、Now PlatformにおけるブラインドSQL注入の脆弱性【CVE-2024-8924】を公開した。この脆弱性は認証されていないユーザーが不正な情報を抽出できる状態であり、CVSS v4.0で8.7(High)のスコアが付けられている。Utah、Vancouver、Washington DC、Xanaduの各バージョンが影響を受け、早急なパッチ適用が推奨される。

【CVE-2024-8924】ServiceNow Now PlatformにブラインドSQL...

ServiceNowは2024年10月29日、Now PlatformにおけるブラインドSQL注入の脆弱性【CVE-2024-8924】を公開した。この脆弱性は認証されていないユーザーが不正な情報を抽出できる状態であり、CVSS v4.0で8.7(High)のスコアが付けられている。Utah、Vancouver、Washington DC、Xanaduの各バージョンが影響を受け、早急なパッチ適用が推奨される。

【CVE-2024-8923】ServiceNow Now Platformに重大な脆弱性、サンドボックスエスケープによるリモートコード実行のリスクに対応完了

【CVE-2024-8923】ServiceNow Now Platformに重大な脆弱性、サ...

ServiceNowのNow Platformにおいて未認証ユーザーによるリモートコード実行が可能なサンドボックスエスケープの脆弱性が発見された。CVSS v4.0で9.3、v3.1で9.8と極めて高い深刻度が評価されており、Vancouver、Washington DC、Xanadu各バージョンが影響を受ける。T-Mobileの研究者により発見され、現在はパッチとホットフィックスで修正完了している。

【CVE-2024-8923】ServiceNow Now Platformに重大な脆弱性、サ...

ServiceNowのNow Platformにおいて未認証ユーザーによるリモートコード実行が可能なサンドボックスエスケープの脆弱性が発見された。CVSS v4.0で9.3、v3.1で9.8と極めて高い深刻度が評価されており、Vancouver、Washington DC、Xanadu各バージョンが影響を受ける。T-Mobileの研究者により発見され、現在はパッチとホットフィックスで修正完了している。

【CVE-2024-8627】Ultimate TinyMCE 5.7以前にXSS脆弱性が発見、Contributor以上で任意スクリプト実行が可能に

【CVE-2024-8627】Ultimate TinyMCE 5.7以前にXSS脆弱性が発見...

Wordfenceは2024年10月30日、WordPressプラグインのUltimate TinyMCEにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。バージョン5.7以前のfieldショートコードで入力検証が不十分であり、Contributorレベル以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能。CVSS v3.1で6.4(Medium)と評価され、該当ページにアクセスしたユーザーに影響を及ぼす可能性がある。

【CVE-2024-8627】Ultimate TinyMCE 5.7以前にXSS脆弱性が発見...

Wordfenceは2024年10月30日、WordPressプラグインのUltimate TinyMCEにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。バージョン5.7以前のfieldショートコードで入力検証が不十分であり、Contributorレベル以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能。CVSS v3.1で6.4(Medium)と評価され、該当ページにアクセスしたユーザーに影響を及ぼす可能性がある。

【CVE-2024-47254】2N Access Commander 3.1.1.2に特権昇格の脆弱性、システムのroot権限取得のリスクが発覚

【CVE-2024-47254】2N Access Commander 3.1.1.2に特権昇...

2Nは2024年11月5日、Access Commander 3.1.1.2以前のバージョンにおいて、データの真正性検証が不十分な脆弱性【CVE-2024-47254】を公開した。この脆弱性により攻撃者が特権を昇格させてシステムのroot権限を取得できる可能性があり、CVSSスコアは6.3(Medium)に設定された。2Nはセキュリティアドバイザリを公開し、影響を受けるユーザーに対して早急な対応を促している。

【CVE-2024-47254】2N Access Commander 3.1.1.2に特権昇...

2Nは2024年11月5日、Access Commander 3.1.1.2以前のバージョンにおいて、データの真正性検証が不十分な脆弱性【CVE-2024-47254】を公開した。この脆弱性により攻撃者が特権を昇格させてシステムのroot権限を取得できる可能性があり、CVSSスコアは6.3(Medium)に設定された。2Nはセキュリティアドバイザリを公開し、影響を受けるユーザーに対して早急な対応を促している。

【CVE-2024-47253】2N Access Commander 3.1.1.2にパストラバーサルの脆弱性、管理者権限で任意のコード実行の可能性

【CVE-2024-47253】2N Access Commander 3.1.1.2にパスト...

Axis Communications ABは2N Access Commander 3.1.1.2以前のバージョンにパストラバーサル脆弱性が存在することを公開した。CVSSスコア7.2(High)と評価され、管理者権限を持つ攻撃者がファイルシステム上にファイルを書き込み、任意のリモートコード実行を引き起こす可能性がある。低権限ユーザーでは脆弱性を悪用できないため、管理者アカウントの適切な管理が重要となる。

【CVE-2024-47253】2N Access Commander 3.1.1.2にパスト...

Axis Communications ABは2N Access Commander 3.1.1.2以前のバージョンにパストラバーサル脆弱性が存在することを公開した。CVSSスコア7.2(High)と評価され、管理者権限を持つ攻撃者がファイルシステム上にファイルを書き込み、任意のリモートコード実行を引き起こす可能性がある。低権限ユーザーでは脆弱性を悪用できないため、管理者アカウントの適切な管理が重要となる。

フューチャーとディアイティがCODE BLUE 2024に出展、サイバーセキュリティ対策の最新知見を共有へ

フューチャーとディアイティがCODE BLUE 2024に出展、サイバーセキュリティ対策の最新...

フューチャー株式会社とディアイティは、国際セキュリティカンファレンス「CODE BLUE 2024」に共同出展する。両社は30年以上のセキュリティコンサルティング実績を持ち、脆弱性管理システム「FutureVuls」やインシデント対応支援など、包括的なセキュリティサービスを提供。11月14日には、サイバー攻撃・ランサムウェア対策をテーマとした講演も予定している。

フューチャーとディアイティがCODE BLUE 2024に出展、サイバーセキュリティ対策の最新...

フューチャー株式会社とディアイティは、国際セキュリティカンファレンス「CODE BLUE 2024」に共同出展する。両社は30年以上のセキュリティコンサルティング実績を持ち、脆弱性管理システム「FutureVuls」やインシデント対応支援など、包括的なセキュリティサービスを提供。11月14日には、サイバー攻撃・ランサムウェア対策をテーマとした講演も予定している。

【CVE-2024-51683】Custom post type templates for Elementorに格納型XSS脆弱性、バージョン1.10.1以前のユーザーに影響

【CVE-2024-51683】Custom post type templates for ...

WordPressプラグイン「Custom post type templates for Elementor」にセキュリティ脆弱性が発見された。Patchstack OÜの発表によると、バージョン1.10.1以前に格納型XSS脆弱性が存在し、CVSSスコア6.5でMedium評価とされている。開発者のMichael Gangolf氏は既にバージョン1.1.12で修正を実施済みで、影響を受けるユーザーには早急なアップデートが推奨されている。

【CVE-2024-51683】Custom post type templates for ...

WordPressプラグイン「Custom post type templates for Elementor」にセキュリティ脆弱性が発見された。Patchstack OÜの発表によると、バージョン1.10.1以前に格納型XSS脆弱性が存在し、CVSSスコア6.5でMedium評価とされている。開発者のMichael Gangolf氏は既にバージョン1.1.12で修正を実施済みで、影響を受けるユーザーには早急なアップデートが推奨されている。