Tech Insights

【CVE-2024-51516】HarmonyOS 5.0.0でアクセス制御の脆弱性が発見、機能異常のリスクに要注意

【CVE-2024-51516】HarmonyOS 5.0.0でアクセス制御の脆弱性が発見、機...

HuaweiはHarmonyOS 5.0.0における機能モジュールのアクセス制御に関する脆弱性【CVE-2024-51516】を公開した。CVSSスコア6.2のミディアムリスクで、攻撃の複雑さは低く特権は不要とされている。CWE-264に分類されるこの脆弱性は、直接的な情報漏洩やデータ改ざんには結びつかないものの、システムの機能異常を引き起こす可能性があり、早急な対策が求められている。

【CVE-2024-51516】HarmonyOS 5.0.0でアクセス制御の脆弱性が発見、機...

HuaweiはHarmonyOS 5.0.0における機能モジュールのアクセス制御に関する脆弱性【CVE-2024-51516】を公開した。CVSSスコア6.2のミディアムリスクで、攻撃の複雑さは低く特権は不要とされている。CWE-264に分類されるこの脆弱性は、直接的な情報漏洩やデータ改ざんには結びつかないものの、システムの機能異常を引き起こす可能性があり、早急な対策が求められている。

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta.36で修正完了し安全性が向上

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta....

Nginx UIのバージョン2.0.0-beta.36未満において、ログパス制御の脆弱性が発見された。この脆弱性は【CVE-2024-49367】として識別され、/api/configsエンドポイントでのディレクトリトラバーサル攻撃により、サーバー上のファイル内容が読み取り可能となっていた。CVSS v4.0で5.5(Medium)と評価され、早急な対応が推奨される。開発元の0xJackyは2.0.0-beta.36で修正を実施している。

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta....

Nginx UIのバージョン2.0.0-beta.36未満において、ログパス制御の脆弱性が発見された。この脆弱性は【CVE-2024-49367】として識別され、/api/configsエンドポイントでのディレクトリトラバーサル攻撃により、サーバー上のファイル内容が読み取り可能となっていた。CVSS v4.0で5.5(Medium)と評価され、早急な対応が推奨される。開発元の0xJackyは2.0.0-beta.36で修正を実施している。

【CVE-2024-38406】QualcommのSnapdragonプラットフォームにTOCTOU脆弱性、44製品に影響

【CVE-2024-38406】QualcommのSnapdragonプラットフォームにTOC...

QualcommがSnapdragonプラットフォームのJPEGエンコーダドライバにおけるTime-Of-Check Time-Of-Use(TOCTOU)レースコンディション脆弱性を公開した。FastConnect、QCA、WCDシリーズなど44製品に影響し、CVSSスコア7.8のHigh深刻度に分類される。メモリ破損を引き起こす可能性があり、早急なパッチ適用が推奨されている。

【CVE-2024-38406】QualcommのSnapdragonプラットフォームにTOC...

QualcommがSnapdragonプラットフォームのJPEGエンコーダドライバにおけるTime-Of-Check Time-Of-Use(TOCTOU)レースコンディション脆弱性を公開した。FastConnect、QCA、WCDシリーズなど44製品に影響し、CVSSスコア7.8のHigh深刻度に分類される。メモリ破損を引き起こす可能性があり、早急なパッチ適用が推奨されている。

【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、FastConnectやSnapdragonなど多数の製品に影響

【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、Fast...

Qualcommは2024年11月4日、WLANホストにおけるバッファオーバーリードの脆弱性【CVE-2024-38405】を公開した。この脆弱性はCVSSスコア7.5と評価され、FastConnect 6700/6900/7800やSnapdragon 8 Gen 2/Gen 3など多数の製品に影響を及ぼす。特権やユーザーの操作を必要とせず、ネットワーク経由で攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、Fast...

Qualcommは2024年11月4日、WLANホストにおけるバッファオーバーリードの脆弱性【CVE-2024-38405】を公開した。この脆弱性はCVSSスコア7.5と評価され、FastConnect 6700/6900/7800やSnapdragon 8 Gen 2/Gen 3など多数の製品に影響を及ぼす。特権やユーザーの操作を必要とせず、ネットワーク経由で攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-51326】Travel management System v.1.0にSQLインジェクション脆弱性、リモートからの攻撃が可能に

【CVE-2024-51326】Travel management System v.1.0に...

projectworlds社のTravel management System v.1.0において、deletesubcategory.phpのt2パラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.5(High)と評価されており、リモートからの攻撃が可能で、特権やユーザー介入も不要。CWE-89に分類されるこの脆弱性により、攻撃者による任意のコード実行が可能となっている。

【CVE-2024-51326】Travel management System v.1.0に...

projectworlds社のTravel management System v.1.0において、deletesubcategory.phpのt2パラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.5(High)と評価されており、リモートからの攻撃が可能で、特権やユーザー介入も不要。CWE-89に分類されるこの脆弱性により、攻撃者による任意のコード実行が可能となっている。

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエストによる機密データ露出の脆弱性、早急な対応が必要に

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...

Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...

Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-47137】OpenHarmony v4.1.0のLiteos_aに重大な脆弱性、権限昇格とデータ漏洩のリスクが発生

【CVE-2024-47137】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47137として識別されるこの脆弱性は、CVSSスコア8.4の高リスクに分類され、ローカル攻撃者による管理者権限への昇格や機密情報の漏洩を引き起こす可能性がある。影響を受けるバージョンはv4.0.0からv4.1.0までで、早急な対策が求められている。

【CVE-2024-47137】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47137として識別されるこの脆弱性は、CVSSスコア8.4の高リスクに分類され、ローカル攻撃者による管理者権限への昇格や機密情報の漏洩を引き起こす可能性がある。影響を受けるバージョンはv4.0.0からv4.1.0までで、早急な対策が求められている。

【CVE-2024-10808】E-Health Care System 1.0にSQL injection脆弱性、患者データ漏洩のリスクに警戒

【CVE-2024-10808】E-Health Care System 1.0にSQL in...

code-projectsのE-Health Care System 1.0のAdmin/req_detail.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは最大6.5で中程度の深刻度と評価されている。リモートからの攻撃が可能で既に手法が公開されており、患者の個人情報や医療記録の漏洩リスクが懸念される。システム管理者は早急な対策が必要だ。

【CVE-2024-10808】E-Health Care System 1.0にSQL in...

code-projectsのE-Health Care System 1.0のAdmin/req_detail.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは最大6.5で中程度の深刻度と評価されている。リモートからの攻撃が可能で既に手法が公開されており、患者の個人情報や医療記録の漏洩リスクが懸念される。システム管理者は早急な対策が必要だ。

【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱性、リモート攻撃の可能性で対応急ぐ

【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱...

ThinkAdmin 6.1.67以前のバージョンで重大な脆弱性が発見された。/app/admin/controller/api/Plugs.phpファイル内のscript関数におけるuptokenの引数操作によってデシリアリゼーション攻撃が可能となる。リモートからの攻撃が可能で、機密性・整合性・可用性に影響を及ぼす可能性があり、早急な対応が必要な状況だ。ベンダーへの早期情報開示も行われたが、現時点で対応は行われていない。

【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱...

ThinkAdmin 6.1.67以前のバージョンで重大な脆弱性が発見された。/app/admin/controller/api/Plugs.phpファイル内のscript関数におけるuptokenの引数操作によってデシリアリゼーション攻撃が可能となる。リモートからの攻撃が可能で、機密性・整合性・可用性に影響を及ぼす可能性があり、早急な対応が必要な状況だ。ベンダーへの早期情報開示も行われたが、現時点で対応は行われていない。

【CVE-2024-10505】wuzhicms 4.1.0にコード実行の脆弱性、リモート攻撃のリスクが深刻に

【CVE-2024-10505】wuzhicms 4.1.0にコード実行の脆弱性、リモート攻撃...

VulDBは2024年10月30日、wuzhicms 4.1.0のblock.phpファイルにおけるコード実行の脆弱性を公開した。CVE-2024-10505として識別されるこの脆弱性は、add/edit機能に影響を与えるコード注入の問題であり、リモートからの攻撃が可能な深刻な脆弱性となっている。CVSS 4.0では5.3(MEDIUM)と評価され、認証された攻撃者によって悪用される可能性が指摘されている。

【CVE-2024-10505】wuzhicms 4.1.0にコード実行の脆弱性、リモート攻撃...

VulDBは2024年10月30日、wuzhicms 4.1.0のblock.phpファイルにおけるコード実行の脆弱性を公開した。CVE-2024-10505として識別されるこの脆弱性は、add/edit機能に影響を与えるコード注入の問題であり、リモートからの攻撃が可能な深刻な脆弱性となっている。CVSS 4.0では5.3(MEDIUM)と評価され、認証された攻撃者によって悪用される可能性が指摘されている。

【CVE-2024-10502】ESAFENET CDG 5にSQL injection脆弱性が発見、ベンダーの対応に課題

【CVE-2024-10502】ESAFENET CDG 5にSQL injection脆弱性...

ESAFENET CDG 5のFileDirectoryService.javaにおいて、getOneFileDirectory関数のdirectoryId引数を操作することでSQL injectionが可能となる重大な脆弱性が発見された。CVSS 4.0で5.3(Medium)の評価を受けており、リモートからの攻撃が可能な状態となっている。脆弱性の詳細が公開された後もベンダーからの対応がないため、システム管理者による独自の対策が必要な状況だ。

【CVE-2024-10502】ESAFENET CDG 5にSQL injection脆弱性...

ESAFENET CDG 5のFileDirectoryService.javaにおいて、getOneFileDirectory関数のdirectoryId引数を操作することでSQL injectionが可能となる重大な脆弱性が発見された。CVSS 4.0で5.3(Medium)の評価を受けており、リモートからの攻撃が可能な状態となっている。脆弱性の詳細が公開された後もベンダーからの対応がないため、システム管理者による独自の対策が必要な状況だ。

【CVE-2024-10501】ESAFENET CDG 5にSQL injectionの脆弱性が発見、早急な対策が必要な状況に

【CVE-2024-10501】ESAFENET CDG 5にSQL injectionの脆弱...

ESAFENET CDG 5のExamCDGDocService.javaファイルのfindById関数にSQL injection脆弱性が発見された。CVSSスコア6.3のミディアムに分類される重大な脆弱性で、リモートからの攻撃が可能。既にエクスプロイトコードが公開されており、早急な対策が必要とされている。ベンダーへの通知も行われているが、現時点で対応は行われていない状況だ。

【CVE-2024-10501】ESAFENET CDG 5にSQL injectionの脆弱...

ESAFENET CDG 5のExamCDGDocService.javaファイルのfindById関数にSQL injection脆弱性が発見された。CVSSスコア6.3のミディアムに分類される重大な脆弱性で、リモートからの攻撃が可能。既にエクスプロイトコードが公開されており、早急な対策が必要とされている。ベンダーへの通知も行われているが、現時点で対応は行われていない状況だ。

TISが工場向けOTセキュリティコンサルティングサービスを開始、製造現場のセキュリティ対策を包括的に支援

TISが工場向けOTセキュリティコンサルティングサービスを開始、製造現場のセキュリティ対策を包...

TIS株式会社は2024年11月5日より、工場などの製造プロセスにおけるサイバーセキュリティ対策を支援する「OTセキュリティコンサルティングサービス」の提供を開始した。現状分析からセキュリティ向上計画の策定、具体的な対策の実施までをワンストップで提供し、FSIRTの構築・運用支援を通じて工場の安定稼働と事業継続性の向上を実現する。

TISが工場向けOTセキュリティコンサルティングサービスを開始、製造現場のセキュリティ対策を包...

TIS株式会社は2024年11月5日より、工場などの製造プロセスにおけるサイバーセキュリティ対策を支援する「OTセキュリティコンサルティングサービス」の提供を開始した。現状分析からセキュリティ向上計画の策定、具体的な対策の実施までをワンストップで提供し、FSIRTの構築・運用支援を通じて工場の安定稼働と事業継続性の向上を実現する。

BBSecがSentinelOne Singularityベースの新MSSを提供開始、24時間365日の監視体制でセキュリティ強化を実現

BBSecがSentinelOne Singularityベースの新MSSを提供開始、24時間...

BBSecは2024年11月6日、SentinelOneのエンタープライズサイバーセキュリティプラットフォームとMSSを組み合わせた「EDR-MSS for SentinelOne Singularity」の提供を開始した。自立型AIによる高度なマルウェア検知と自動対処機能を備え、24時間365日体制の監視サービスにより、顧客企業のセキュリティ体制強化を支援する。

BBSecがSentinelOne Singularityベースの新MSSを提供開始、24時間...

BBSecは2024年11月6日、SentinelOneのエンタープライズサイバーセキュリティプラットフォームとMSSを組み合わせた「EDR-MSS for SentinelOne Singularity」の提供を開始した。自立型AIによる高度なマルウェア検知と自動対処機能を備え、24時間365日体制の監視サービスにより、顧客企業のセキュリティ体制強化を支援する。

BBSecがSentinelOne Singularity Endpointのマネージドセキュリティサービスを開始、24時間365日の監視体制で企業のセキュリティ強化へ

BBSecがSentinelOne Singularity Endpointのマネージドセキュ...

BBSecは2024年11月6日、SentinelOne社のエンタープライズサイバーセキュリティプラットフォームとMSSを組み合わせた「EDR-MSS for SentinelOne Singularity」の提供を開始した。自立型AIによる高度なマルウェア検知および自動対処機能を備え、24時間365日体制のセキュリティ監視によって企業の運用負担を軽減しながら高水準のセキュリティを維持することが可能となる。

BBSecがSentinelOne Singularity Endpointのマネージドセキュ...

BBSecは2024年11月6日、SentinelOne社のエンタープライズサイバーセキュリティプラットフォームとMSSを組み合わせた「EDR-MSS for SentinelOne Singularity」の提供を開始した。自立型AIによる高度なマルウェア検知および自動対処機能を備え、24時間365日体制のセキュリティ監視によって企業の運用負担を軽減しながら高水準のセキュリティを維持することが可能となる。

Blue Planet-worksがサイバーセキュリティレポート2024を公開、国内外の最新動向と対策を詳細解説

Blue Planet-worksがサイバーセキュリティレポート2024を公開、国内外の最新動...

株式会社Blue Planet-worksは、ゼロトラスト型エンドポイントセキュリティ「AppGuard」の提供実績をもとに、国内外のサイバー犯罪による侵害事例と教訓をまとめたレポート「サイバーセキュリティの裏側から 2024」を公開した。ストーンビートセキュリティ社とITガード社の協力のもと、最新のサイバー攻撃動向から具体的な対策まで、包括的な情報を提供している。

Blue Planet-worksがサイバーセキュリティレポート2024を公開、国内外の最新動...

株式会社Blue Planet-worksは、ゼロトラスト型エンドポイントセキュリティ「AppGuard」の提供実績をもとに、国内外のサイバー犯罪による侵害事例と教訓をまとめたレポート「サイバーセキュリティの裏側から 2024」を公開した。ストーンビートセキュリティ社とITガード社の協力のもと、最新のサイバー攻撃動向から具体的な対策まで、包括的な情報を提供している。

AJCCAカンファレンス2024がシンガポールで開催、ラオスの加盟とACRA表彰で地域連携が強化

AJCCAカンファレンス2024がシンガポールで開催、ラオスの加盟とACRA表彰で地域連携が強化

ASEAN Japan Cybersecurity Community Allianceは2024年10月17日、シンガポールでカンファレンスを開催した。ラオスが新メンバーとして加わり10カ国体制となり、SEA-CCやidCAREとの新たなパートナーシップも締結。初のAJCCAサイバーセキュリティレジリエンス賞では19名が表彰され、地域のサイバーセキュリティ強化に向けた取り組みが加速している。

AJCCAカンファレンス2024がシンガポールで開催、ラオスの加盟とACRA表彰で地域連携が強化

ASEAN Japan Cybersecurity Community Allianceは2024年10月17日、シンガポールでカンファレンスを開催した。ラオスが新メンバーとして加わり10カ国体制となり、SEA-CCやidCAREとの新たなパートナーシップも締結。初のAJCCAサイバーセキュリティレジリエンス賞では19名が表彰され、地域のサイバーセキュリティ強化に向けた取り組みが加速している。

GMOイエラエがHack the DRONE 2024で世界1位獲得、ドローンセキュリティの技術力が高評価

GMOイエラエがHack the DRONE 2024で世界1位獲得、ドローンセキュリティの技...

GMOサイバーセキュリティ byイエラエのホワイトハッカーチーム「GMOイエラエ」が、韓国ソウルで開催されたドローンのサイバーセキュリティコンテスト「Hack the DRONE 2024決勝」で世界1位を獲得。ドローンの制御システムやWi-Fi通信に関する高度な技術力が評価された。また同日開催のHITCON Cyber Rangeでも世界3位に入賞し、サイバーセキュリティ分野での高い技術力を証明している。

GMOイエラエがHack the DRONE 2024で世界1位獲得、ドローンセキュリティの技...

GMOサイバーセキュリティ byイエラエのホワイトハッカーチーム「GMOイエラエ」が、韓国ソウルで開催されたドローンのサイバーセキュリティコンテスト「Hack the DRONE 2024決勝」で世界1位を獲得。ドローンの制御システムやWi-Fi通信に関する高度な技術力が評価された。また同日開催のHITCON Cyber Rangeでも世界3位に入賞し、サイバーセキュリティ分野での高い技術力を証明している。

アイエスエフネットがHardening 2024 Convolutionで総合3位を獲得、ジョイントベンチャー制度の導入でチーム間連携を強化

アイエスエフネットがHardening 2024 Convolutionで総合3位を獲得、ジョ...

アイエスエフネットは2024年10月16日から18日にかけて沖縄県豊見城市で開催されたHardening 2024 Convolutionに参加し、総合3位を獲得した。今回の競技会では3チームで連合を構成するジョイントベンチャー制度が導入され、チーム間の連携強化が図られた。技術点・顧客点・対応点・経済点・協調点・経営点の6項目による総合評価が行われ、サイバーセキュリティとビジネス成果の両立を目指した。

アイエスエフネットがHardening 2024 Convolutionで総合3位を獲得、ジョ...

アイエスエフネットは2024年10月16日から18日にかけて沖縄県豊見城市で開催されたHardening 2024 Convolutionに参加し、総合3位を獲得した。今回の競技会では3チームで連合を構成するジョイントベンチャー制度が導入され、チーム間の連携強化が図られた。技術点・顧客点・対応点・経済点・協調点・経営点の6項目による総合評価が行われ、サイバーセキュリティとビジネス成果の両立を目指した。

フツパーが製造業向けAIサービスでISO27001認証を取得、情報セキュリティ体制の確立により顧客満足度向上へ

フツパーが製造業向けAIサービスでISO27001認証を取得、情報セキュリティ体制の確立により...

株式会社フツパーが製造業向けAIサービスの開発・運用範囲でISO/IEC 27001:2022およびJIS Q 27001:2023の認証を取得。顧客の機密情報や情報資産を適切に保護する体制を整備し、サービス提供における安全性と信頼性を向上。認証取得を通じて情報セキュリティマネジメントシステムの導入を実現し、継続的な改善活動による更なる体制強化を目指す。

フツパーが製造業向けAIサービスでISO27001認証を取得、情報セキュリティ体制の確立により...

株式会社フツパーが製造業向けAIサービスの開発・運用範囲でISO/IEC 27001:2022およびJIS Q 27001:2023の認証を取得。顧客の機密情報や情報資産を適切に保護する体制を整備し、サービス提供における安全性と信頼性を向上。認証取得を通じて情報セキュリティマネジメントシステムの導入を実現し、継続的な改善活動による更なる体制強化を目指す。

東芝エネルギーシステムズが太陽光発電所向けPV統合管理サービスを開発、複数発電所の一元管理と運用保守業務の効率化を実現

東芝エネルギーシステムズが太陽光発電所向けPV統合管理サービスを開発、複数発電所の一元管理と運...

東芝エネルギーシステムズ株式会社は太陽光発電事業者向けの新サービスとしてPV統合管理サービスを開発し、クラウド型サービスとして提供を開始した。複数の太陽光発電所を一元管理し、稼働状況のリアルタイム監視や発電性能評価、運用保守業務の効率化を実現する。TOSHIBA SPINEX for Energyのサービスラインアップの一つとして展開され、発電損失の最小化に貢献する。

東芝エネルギーシステムズが太陽光発電所向けPV統合管理サービスを開発、複数発電所の一元管理と運...

東芝エネルギーシステムズ株式会社は太陽光発電事業者向けの新サービスとしてPV統合管理サービスを開発し、クラウド型サービスとして提供を開始した。複数の太陽光発電所を一元管理し、稼働状況のリアルタイム監視や発電性能評価、運用保守業務の効率化を実現する。TOSHIBA SPINEX for Energyのサービスラインアップの一つとして展開され、発電損失の最小化に貢献する。

【CVE-2024-8596】AutoCAD 2025.1でOut-of-bounds Write脆弱性が発見、任意のコード実行のリスクに警戒

【CVE-2024-8596】AutoCAD 2025.1でOut-of-bounds Wri...

Autodeskは2024年10月29日、AutoCAD 2025.1のlibodxdll.dllで発見されたOut-of-bounds Write脆弱性について公開した。CVE-2024-8596として識別されるこの脆弱性は、悪意のあるMODELファイルを介して任意のコード実行やシステムクラッシュを引き起こす可能性がある。CVSSスコア7.8と高い深刻度を示しており、Windowsプラットフォーム上のAutoCAD 2025.1ユーザーに影響を与える可能性がある。

【CVE-2024-8596】AutoCAD 2025.1でOut-of-bounds Wri...

Autodeskは2024年10月29日、AutoCAD 2025.1のlibodxdll.dllで発見されたOut-of-bounds Write脆弱性について公開した。CVE-2024-8596として識別されるこの脆弱性は、悪意のあるMODELファイルを介して任意のコード実行やシステムクラッシュを引き起こす可能性がある。CVSSスコア7.8と高い深刻度を示しており、Windowsプラットフォーム上のAutoCAD 2025.1ユーザーに影響を与える可能性がある。

【CVE-2024-7475】lunary-ai/lunary 1.3.2に認証バイパスの脆弱性、SAMLの設定更新に不適切なアクセス制御

【CVE-2024-7475】lunary-ai/lunary 1.3.2に認証バイパスの脆弱...

lunary-ai/lunaryバージョン1.3.2にSAML設定の更新における重大な脆弱性が発見された。CVE-2024-7475として特定されたこの脆弱性は、認証なしでSAML設定を更新可能な状態を引き起こし、CVSSスコア9.1のCriticalと評価されている。不正なログイン要求の作成やユーザー情報の窃取につながる危険性があり、バージョン1.3.4での更新が推奨される。

【CVE-2024-7475】lunary-ai/lunary 1.3.2に認証バイパスの脆弱...

lunary-ai/lunaryバージョン1.3.2にSAML設定の更新における重大な脆弱性が発見された。CVE-2024-7475として特定されたこの脆弱性は、認証なしでSAML設定を更新可能な状態を引き起こし、CVSSスコア9.1のCriticalと評価されている。不正なログイン要求の作成やユーザー情報の窃取につながる危険性があり、バージョン1.3.4での更新が推奨される。

【CVE-2024-51248】DrayTek Vigor3900 1.5.1.3にOSコマンドインジェクションの脆弱性、深刻度8.0のセキュリティリスクに

【CVE-2024-51248】DrayTek Vigor3900 1.5.1.3にOSコマン...

DrayTek Vigor3900 1.5.1.3において、mainfunction.cgiを介した悪意のあるコマンド注入とmodifyrow関数による任意コマンド実行が可能な重大な脆弱性【CVE-2024-51248】が発見された。CWE-78に分類されるこの脆弱性は、CVSS 3.1で深刻度8.0(High)と評価され、攻撃の自動化が可能で技術的影響が重大とされている。機密性、整合性、可用性に深刻な影響を及ぼす可能性がある。

【CVE-2024-51248】DrayTek Vigor3900 1.5.1.3にOSコマン...

DrayTek Vigor3900 1.5.1.3において、mainfunction.cgiを介した悪意のあるコマンド注入とmodifyrow関数による任意コマンド実行が可能な重大な脆弱性【CVE-2024-51248】が発見された。CWE-78に分類されるこの脆弱性は、CVSS 3.1で深刻度8.0(High)と評価され、攻撃の自動化が可能で技術的影響が重大とされている。機密性、整合性、可用性に深刻な影響を及ぼす可能性がある。

【CVE-2024-50612】libsndfile 1.2.2に境界外読み取りの脆弱性、音声ファイル処理時のセキュリティリスクに注意

【CVE-2024-50612】libsndfile 1.2.2に境界外読み取りの脆弱性、音声...

音声ファイル処理ライブラリlibsndfile 1.2.2においてogg_vorbis.cファイルに境界外読み取りの脆弱性が発見された。CVSSスコア5.3のミディアムレベルの深刻度で、攻撃には特権は不要だがユーザーの関与が必要。機密性や整合性、可用性への影響は限定的だが、適切な対策が求められる。

【CVE-2024-50612】libsndfile 1.2.2に境界外読み取りの脆弱性、音声...

音声ファイル処理ライブラリlibsndfile 1.2.2においてogg_vorbis.cファイルに境界外読み取りの脆弱性が発見された。CVSSスコア5.3のミディアムレベルの深刻度で、攻撃には特権は不要だがユーザーの関与が必要。機密性や整合性、可用性への影響は限定的だが、適切な対策が求められる。

フレクトがISMS認証を取得、クラウドインテグレーションサービスの安全性と信頼性が向上

フレクトがISMS認証を取得、クラウドインテグレーションサービスの安全性と信頼性が向上

株式会社フレクトが情報セキュリティマネジメントシステム(ISMS)の認証を取得。ISO/IEC 27001に準拠した認証により、クラウドインテグレーションサービスにおける情報セキュリティの高水準を維持。SalesforceやMuleSoftの最高位パートナーとして、顧客データの適切な取り扱いと強固なセキュリティ体制を構築し、攻めのDXを支援。

フレクトがISMS認証を取得、クラウドインテグレーションサービスの安全性と信頼性が向上

株式会社フレクトが情報セキュリティマネジメントシステム(ISMS)の認証を取得。ISO/IEC 27001に準拠した認証により、クラウドインテグレーションサービスにおける情報セキュリティの高水準を維持。SalesforceやMuleSoftの最高位パートナーとして、顧客データの適切な取り扱いと強固なセキュリティ体制を構築し、攻めのDXを支援。

【CVE-2024-48878】ManageEngine ADManager Plus 7241でSQL Injection脆弱性が発見、重大なセキュリティリスクに

【CVE-2024-48878】ManageEngine ADManager Plus 724...

ManageEngine ADManager Plusのバージョン7241以前において、Archived Audit Report機能にSQL Injection脆弱性が発見された。CVSSスコア8.3と高い深刻度を示すこの脆弱性は、攻撃者が特権を必要とせずにネットワーク経由で攻撃を実行できる可能性があり、システムの機密性と整合性に重大な影響を及ぼす恐れがある。早急な対策が求められる状況となっている。

【CVE-2024-48878】ManageEngine ADManager Plus 724...

ManageEngine ADManager Plusのバージョン7241以前において、Archived Audit Report機能にSQL Injection脆弱性が発見された。CVSSスコア8.3と高い深刻度を示すこの脆弱性は、攻撃者が特権を必要とせずにネットワーク経由で攻撃を実行できる可能性があり、システムの機密性と整合性に重大な影響を及ぼす恐れがある。早急な対策が求められる状況となっている。

【CVE-2024-10702】Simple Car Rental System 1.0でSQLインジェクションの脆弱性が発見、早急な対策が必要な状況に

【CVE-2024-10702】Simple Car Rental System 1.0でSQ...

code-projectsが開発したSimple Car Rental System 1.0のsignup.phpファイルにおいて、fname引数の操作によるSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5と高く評価されており、リモートからの攻撃が可能で特別な認証も不要なため、早急な対策が必要とされている。既に一般公開されており、悪用される可能性も指摘されているため、システム管理者による迅速な対応が求められる。

【CVE-2024-10702】Simple Car Rental System 1.0でSQ...

code-projectsが開発したSimple Car Rental System 1.0のsignup.phpファイルにおいて、fname引数の操作によるSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5と高く評価されており、リモートからの攻撃が可能で特別な認証も不要なため、早急な対策が必要とされている。既に一般公開されており、悪用される可能性も指摘されているため、システム管理者による迅速な対応が求められる。

【CVE-2024-10612】ESAFENET CDG 5にSQLインジェクションの脆弱性、既にエクスプロイトコードが公開され早急な対応が必要に

【CVE-2024-10612】ESAFENET CDG 5にSQLインジェクションの脆弱性、...

ESAFENET CDG 5のHookInvalidCourseService.javaファイル内のremoveHookInvalidCourse機能にSQLインジェクションの脆弱性が発見された。CVE-2024-10612として識別されたこの脆弱性は、引数idの操作によりリモートからの攻撃が可能となっている。既にエクスプロイトコードが公開されており、CVSS v4.0で5.3(Medium)と評価される重大な問題となっている。

【CVE-2024-10612】ESAFENET CDG 5にSQLインジェクションの脆弱性、...

ESAFENET CDG 5のHookInvalidCourseService.javaファイル内のremoveHookInvalidCourse機能にSQLインジェクションの脆弱性が発見された。CVE-2024-10612として識別されたこの脆弱性は、引数idの操作によりリモートからの攻撃が可能となっている。既にエクスプロイトコードが公開されており、CVSS v4.0で5.3(Medium)と評価される重大な問題となっている。

【CVE-2024-10611】ESAFENET CDG 5にSQL injection脆弱性、遠隔からの攻撃が可能な状態に

【CVE-2024-10611】ESAFENET CDG 5にSQL injection脆弱性...

ESAFENET CDG 5のPrintScreenListService.javaにおいて、delProtocol関数にSQL injection脆弱性が発見された。CVE-2024-10611として識別されるこの脆弱性は、引数idの操作によって発生し、遠隔からの攻撃が可能となっている。CVSS 4.0のスコアは5.3、CVSS 3.1のスコアは6.3と評価され、攻撃条件の複雑さは低いとされている。ベンダーへの通知は行われたが、現時点で対応は行われていない。

【CVE-2024-10611】ESAFENET CDG 5にSQL injection脆弱性...

ESAFENET CDG 5のPrintScreenListService.javaにおいて、delProtocol関数にSQL injection脆弱性が発見された。CVE-2024-10611として識別されるこの脆弱性は、引数idの操作によって発生し、遠隔からの攻撃が可能となっている。CVSS 4.0のスコアは5.3、CVSS 3.1のスコアは6.3と評価され、攻撃条件の複雑さは低いとされている。ベンダーへの通知は行われたが、現時点で対応は行われていない。