Tech Insights

【CVE-2024-10610】ESAFENET CDG 5にSQLインジェクションの脆弱性、リモートからの攻撃が可能に

【CVE-2024-10610】ESAFENET CDG 5にSQLインジェクションの脆弱性、...

ESAFENET CDG 5のProtocolService.javaのdelProtocol機能にSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のバージョン4.0で5.3を記録し、リモートからの攻撃が可能な状態となっている。ESAFENETは早期に脆弱性情報の開示を受けていたが適切な対応を行わず、機密性、整合性、可用性のすべてに影響を及ぼす可能性がある重大な問題となっている。

【CVE-2024-10610】ESAFENET CDG 5にSQLインジェクションの脆弱性、...

ESAFENET CDG 5のProtocolService.javaのdelProtocol機能にSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のバージョン4.0で5.3を記録し、リモートからの攻撃が可能な状態となっている。ESAFENETは早期に脆弱性情報の開示を受けていたが適切な対応を行わず、機密性、整合性、可用性のすべてに影響を及ぼす可能性がある重大な問題となっている。

【CVE-2024-10598】Tongda OA 11.2-11.6に認証バイパスの脆弱性、年次休暇機能で不正アクセスのリスク

【CVE-2024-10598】Tongda OA 11.2-11.6に認証バイパスの脆弱性、...

Tongda OA 11.2から11.6において、年次休暇機能の認証処理に重大な脆弱性が発見された。general/hr/setting/attendance/leave/data.phpファイルの認証処理が不適切であり、リモートからの攻撃が可能。CVSSスコアは6.9で中程度の深刻度とされ、認証バイパスによる情報漏洩や改ざんのリスクが存在する。既に公開されており、早急な対応が必要だ。

【CVE-2024-10598】Tongda OA 11.2-11.6に認証バイパスの脆弱性、...

Tongda OA 11.2から11.6において、年次休暇機能の認証処理に重大な脆弱性が発見された。general/hr/setting/attendance/leave/data.phpファイルの認証処理が不適切であり、リモートからの攻撃が可能。CVSSスコアは6.9で中程度の深刻度とされ、認証バイパスによる情報漏洩や改ざんのリスクが存在する。既に公開されており、早急な対応が必要だ。

【CVE-2024-10730】Tongda OA 11.6にSQLインジェクション脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-10730】Tongda OA 11.6にSQLインジェクション脆弱性、リ...

Tongda OAのバージョン11.6以下において、/pda/appcenter/web_show.phpファイルに関連するSQLインジェクション脆弱性が発見された。CVE-2024-10730として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃条件の複雑さも低いとされている。CVSS 4.0で5.3、CVSS 3.1および3.0で6.3と評価されており、早急な対応が必要となっている。

【CVE-2024-10730】Tongda OA 11.6にSQLインジェクション脆弱性、リ...

Tongda OAのバージョン11.6以下において、/pda/appcenter/web_show.phpファイルに関連するSQLインジェクション脆弱性が発見された。CVE-2024-10730として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃条件の複雑さも低いとされている。CVSS 4.0で5.3、CVSS 3.1および3.0で6.3と評価されており、早急な対応が必要となっている。

【CVE-2024-10658】Tongda OAにSQLインジェクションの脆弱性、バージョン11.0から11.10まで影響の可能性

【CVE-2024-10658】Tongda OAにSQLインジェクションの脆弱性、バージョン...

Tongda OAのバージョン11.0から11.10において、/pda/approve_center/check_seal.phpファイルに重大な脆弱性が発見された。この脆弱性はSQLインジェクションを可能にし、引数IDの操作により攻撃が実行可能となる。CVSSスコアは中程度と評価されているものの、攻撃手法が既に公開されており、早急な対応が必要とされている。

【CVE-2024-10658】Tongda OAにSQLインジェクションの脆弱性、バージョン...

Tongda OAのバージョン11.0から11.10において、/pda/approve_center/check_seal.phpファイルに重大な脆弱性が発見された。この脆弱性はSQLインジェクションを可能にし、引数IDの操作により攻撃が実行可能となる。CVSSスコアは中程度と評価されているものの、攻撃手法が既に公開されており、早急な対応が必要とされている。

【CVE-2024-10595】ESAFENET CDG 5でSQLインジェクションの脆弱性を発見、リモート攻撃のリスクが浮上

【CVE-2024-10595】ESAFENET CDG 5でSQLインジェクションの脆弱性を...

ESAFENET CDG 5のPublicDocInfoAjax.javaファイルにおいて、delFile/delDifferCourseList機能にSQLインジェクションの脆弱性が発見された。CVE-2024-10595として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で5.3を記録。特権レベルは必要だが、機密性や完全性への影響が懸念されている。ESAFENETの対応の遅れも問題視されている。

【CVE-2024-10595】ESAFENET CDG 5でSQLインジェクションの脆弱性を...

ESAFENET CDG 5のPublicDocInfoAjax.javaファイルにおいて、delFile/delDifferCourseList機能にSQLインジェクションの脆弱性が発見された。CVE-2024-10595として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で5.3を記録。特権レベルは必要だが、機密性や完全性への影響が懸念されている。ESAFENETの対応の遅れも問題視されている。

【CVE-2024-6674】parisneo/lollms-webuiでCORS設定の脆弱性が発見、version 10で修正完了へ

【CVE-2024-6674】parisneo/lollms-webuiでCORS設定の脆弱性...

parisneo/lollms-webuiのversion 10より前のバージョンにおいて、CORS設定の不備による重大な脆弱性が発見された。CVE-2024-6674として特定されたこの脆弱性により、攻撃者はユーザーの機密情報を窃取し、不正な操作を実行することが可能となる。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。

【CVE-2024-6674】parisneo/lollms-webuiでCORS設定の脆弱性...

parisneo/lollms-webuiのversion 10より前のバージョンにおいて、CORS設定の不備による重大な脆弱性が発見された。CVE-2024-6674として特定されたこの脆弱性により、攻撃者はユーザーの機密情報を窃取し、不正な操作を実行することが可能となる。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。

TISがOTセキュリティコンサルティングサービスを開始、製造プロセスの事業継続性向上とDX推進に寄与

TISがOTセキュリティコンサルティングサービスを開始、製造プロセスの事業継続性向上とDX推進に寄与

TIS株式会社は2024年11月5日より、工場などの製造プロセスにおけるサイバーセキュリティ対策を強化するOTセキュリティコンサルティングサービスの提供を開始した。このサービスでは工場DXを見据えたセキュリティ経営の戦略策定から具体的な対策の導入まで一貫して支援し、FSIRTの構築・運用支援も含めた包括的なセキュリティ対策を実現する。産業分野での豊富な実績とクラウド事業者としての知見を活かし、OT環境の自由度向上とセキュリティ対策の両立を図る。

TISがOTセキュリティコンサルティングサービスを開始、製造プロセスの事業継続性向上とDX推進に寄与

TIS株式会社は2024年11月5日より、工場などの製造プロセスにおけるサイバーセキュリティ対策を強化するOTセキュリティコンサルティングサービスの提供を開始した。このサービスでは工場DXを見据えたセキュリティ経営の戦略策定から具体的な対策の導入まで一貫して支援し、FSIRTの構築・運用支援も含めた包括的なセキュリティ対策を実現する。産業分野での豊富な実績とクラウド事業者としての知見を活かし、OT環境の自由度向上とセキュリティ対策の両立を図る。

下鴨茶寮オンラインショップで大規模情報漏えい、個人情報1万9235件とカード情報1万6682件が流出の可能性

下鴨茶寮オンラインショップで大規模情報漏えい、個人情報1万9235件とカード情報1万6682件...

株式会社下鴨茶寮が運営する下鴨茶寮オンラインショップにおいて、システムの脆弱性を突かれた不正アクセスにより、個人情報1万9235件とクレジットカード情報1万6682件が漏えいした可能性が判明。2021年6月から2024年5月までの約3年間、カード番号や有効期限、セキュリティコードまでもが流出し、一部で不正利用の形跡も確認された。

下鴨茶寮オンラインショップで大規模情報漏えい、個人情報1万9235件とカード情報1万6682件...

株式会社下鴨茶寮が運営する下鴨茶寮オンラインショップにおいて、システムの脆弱性を突かれた不正アクセスにより、個人情報1万9235件とクレジットカード情報1万6682件が漏えいした可能性が判明。2021年6月から2024年5月までの約3年間、カード番号や有効期限、セキュリティコードまでもが流出し、一部で不正利用の形跡も確認された。

ArchaicがハラスメントチェックAIサービスを強化、TeamsとSlack対応で職場環境の改善へ向け前進

ArchaicがハラスメントチェックAIサービスを強化、TeamsとSlack対応で職場環境の...

株式会社ArchaicはAI技術を活用した『ハラスメントチェックAIサービス』にMicrosoft TeamsとSlack対応機能を追加した。職場でのパワーハラスメント経験率が32.5%と高水準である中、AIによるハラスメントの早期検知と対策が可能になり、企業のコンプライアンス強化と従業員保護を実現する体制が整った。デジタルコミュニケーションツール上でのハラスメント対策を強化し、健全な職場環境の構築を支援する。

ArchaicがハラスメントチェックAIサービスを強化、TeamsとSlack対応で職場環境の...

株式会社ArchaicはAI技術を活用した『ハラスメントチェックAIサービス』にMicrosoft TeamsとSlack対応機能を追加した。職場でのパワーハラスメント経験率が32.5%と高水準である中、AIによるハラスメントの早期検知と対策が可能になり、企業のコンプライアンス強化と従業員保護を実現する体制が整った。デジタルコミュニケーションツール上でのハラスメント対策を強化し、健全な職場環境の構築を支援する。

GoogleがContext-Aware Accessの新機能を一般提供開始、セキュリティギャップの自動検出と対策提案で管理者の負担を軽減

GoogleがContext-Aware Accessの新機能を一般提供開始、セキュリティギャ...

GoogleはContext-Aware Access(CAA)のインサイトと推奨事項機能の一般提供を開始した。セキュリティギャップを自動検出し、事前設定されたCAA対策を提案する新機能により、組織全体のセキュリティ態勢を効率的に強化できる。モニターモードでの影響確認や推奨事項のカスタマイズも可能で、四半期ごとにメールで最新情報が提供される。

GoogleがContext-Aware Accessの新機能を一般提供開始、セキュリティギャ...

GoogleはContext-Aware Access(CAA)のインサイトと推奨事項機能の一般提供を開始した。セキュリティギャップを自動検出し、事前設定されたCAA対策を提案する新機能により、組織全体のセキュリティ態勢を効率的に強化できる。モニターモードでの影響確認や推奨事項のカスタマイズも可能で、四半期ごとにメールで最新情報が提供される。

【CVE-2024-7472】lunary 1.2.26にインジェクションの脆弱性が発見、情報改ざんのリスクが明らかに

【CVE-2024-7472】lunary 1.2.26にインジェクションの脆弱性が発見、情報...

lunary 1.2.26においてインジェクションに関する脆弱性が発見され、【CVE-2024-7472】として識別された。CWEによる脆弱性タイプはインジェクションと特殊要素の不適切なサニタイジングに分類されており、CVSS v3による深刻度は6.5(警告)と評価されている。攻撃条件の複雑さは低く、情報改ざんのリスクが指摘されており、早急な対策が推奨される。

【CVE-2024-7472】lunary 1.2.26にインジェクションの脆弱性が発見、情報...

lunary 1.2.26においてインジェクションに関する脆弱性が発見され、【CVE-2024-7472】として識別された。CWEによる脆弱性タイプはインジェクションと特殊要素の不適切なサニタイジングに分類されており、CVSS v3による深刻度は6.5(警告)と評価されている。攻撃条件の複雑さは低く、情報改ざんのリスクが指摘されており、早急な対策が推奨される。

【CVE-2024-48227】funadmin 5.0.2に深刻な脆弱性、サービス運用妨害のリスクが浮上

【CVE-2024-48227】funadmin 5.0.2に深刻な脆弱性、サービス運用妨害の...

funadminの5.0.2バージョンにおいて、CVE-2024-48227として識別される深刻な脆弱性が発見された。CVSSスコア4.9を記録し、攻撃条件の複雑さが低く、特に可用性への影響が高いと評価されている。攻撃元区分はネットワークで、攻撃に必要な特権レベルは高いものの、利用者の関与は不要とされており、早急な対策が求められる状況となっている。

【CVE-2024-48227】funadmin 5.0.2に深刻な脆弱性、サービス運用妨害の...

funadminの5.0.2バージョンにおいて、CVE-2024-48227として識別される深刻な脆弱性が発見された。CVSSスコア4.9を記録し、攻撃条件の複雑さが低く、特に可用性への影響が高いと評価されている。攻撃元区分はネットワークで、攻撃に必要な特権レベルは高いものの、利用者の関与は不要とされており、早急な対策が求められる状況となっている。

【CVE-2024-20298】シスコシステムズのsecure firewall management centerにXSS脆弱性、情報漏洩のリスクに警戒

【CVE-2024-20298】シスコシステムズのsecure firewall manage...

シスコシステムズのsecure firewall management centerにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.4の警告レベルと評価され、version 7.3.0から7.4.1.1まで影響を受ける。攻撃条件の複雑さは低く、情報の取得や改ざんのリスクがあるため、ベンダーが提供する正式な対策パッチの適用が推奨される。

【CVE-2024-20298】シスコシステムズのsecure firewall manage...

シスコシステムズのsecure firewall management centerにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.4の警告レベルと評価され、version 7.3.0から7.4.1.1まで影響を受ける。攻撃条件の複雑さは低く、情報の取得や改ざんのリスクがあるため、ベンダーが提供する正式な対策パッチの適用が推奨される。

【CVE-2024-47483】デルのdata lakehouse 1.0.0.0-1.1.0.0にSQLインジェクションの脆弱性、セキュリティパッチの適用を推奨

【CVE-2024-47483】デルのdata lakehouse 1.0.0.0-1.1.0...

デルのdata lakehouse 1.0.0.0および1.1.0.0にSQLインジェクションの脆弱性が発見された。CVSSスコアは5.5で警告レベルの深刻度となっており、攻撃条件の複雑さは低く、特権レベルも低いため、悪用される可能性が高い。機密性への影響が特に高く、情報が不正に取得されるリスクがあるため、ベンダーから公開されているパッチの適用が推奨される。

【CVE-2024-47483】デルのdata lakehouse 1.0.0.0-1.1.0...

デルのdata lakehouse 1.0.0.0および1.1.0.0にSQLインジェクションの脆弱性が発見された。CVSSスコアは5.5で警告レベルの深刻度となっており、攻撃条件の複雑さは低く、特権レベルも低いため、悪用される可能性が高い。機密性への影響が特に高く、情報が不正に取得されるリスクがあるため、ベンダーから公開されているパッチの適用が推奨される。

【CVE-2024-10456】Delta Electronics InfraSuite Device Masterにデシリアライゼーションの脆弱性、認証回避による任意コード実行のリスクに

【CVE-2024-10456】Delta Electronics InfraSuite De...

Delta Electronics社のInfraSuite Device Master 1.0.12以前のバージョンに深刻な脆弱性が発見された。信頼できないデータのデシリアライゼーション(CWE-502)の問題により、攻撃者は認証前に任意の.NETオブジェクトをデシリアライズし、Device-Gateway上で任意のコードを実行することが可能となる。開発者は修正版となるバージョン1.0.13を提供しており、影響を受けるユーザーは速やかなアップデートが推奨される。

【CVE-2024-10456】Delta Electronics InfraSuite De...

Delta Electronics社のInfraSuite Device Master 1.0.12以前のバージョンに深刻な脆弱性が発見された。信頼できないデータのデシリアライゼーション(CWE-502)の問題により、攻撃者は認証前に任意の.NETオブジェクトをデシリアライズし、Device-Gateway上で任意のコードを実行することが可能となる。開発者は修正版となるバージョン1.0.13を提供しており、影響を受けるユーザーは速やかなアップデートが推奨される。

【CVE-2024-10438】ehdr ctmsに認証回避の脆弱性、情報改ざんのリスクで早急な対応が必要に

【CVE-2024-10438】ehdr ctmsに認証回避の脆弱性、情報改ざんのリスクで早急...

SUN NET TECHNOLOGIES CO., LTD.のehdr ctmsにおいて、代替パスまたはチャネルを使用した認証回避の脆弱性が発見された。CVSSスコア7.5と評価される重要な脆弱性で、攻撃条件の複雑さが低く特権も不要なため、早急な対応が求められる。影響を受けるバージョンは10.14未満で、情報改ざんのリスクが指摘されている。

【CVE-2024-10438】ehdr ctmsに認証回避の脆弱性、情報改ざんのリスクで早急...

SUN NET TECHNOLOGIES CO., LTD.のehdr ctmsにおいて、代替パスまたはチャネルを使用した認証回避の脆弱性が発見された。CVSSスコア7.5と評価される重要な脆弱性で、攻撃条件の複雑さが低く特権も不要なため、早急な対応が求められる。影響を受けるバージョンは10.14未満で、情報改ざんのリスクが指摘されている。

【CVE-2024-10378】ESAFENETのcdg 5にSQLインジェクションの脆弱性、情報漏洩やサービス停止のリスクに緊急対応が必要

【CVE-2024-10378】ESAFENETのcdg 5にSQLインジェクションの脆弱性、...

ESAFENETのcdg 5にSQLインジェクションの脆弱性が発見され、CVE-2024-10378として識別された。CVSSスコアv3は9.8と緊急レベルで、攻撃に特別な権限や条件が不要なため、システムの情報漏洩やサービス停止など重大な影響をもたらす可能性が高い。システム管理者は早急にセキュリティアップデートの適用を検討する必要がある。

【CVE-2024-10378】ESAFENETのcdg 5にSQLインジェクションの脆弱性、...

ESAFENETのcdg 5にSQLインジェクションの脆弱性が発見され、CVE-2024-10378として識別された。CVSSスコアv3は9.8と緊急レベルで、攻撃に特別な権限や条件が不要なため、システムの情報漏洩やサービス停止など重大な影響をもたらす可能性が高い。システム管理者は早急にセキュリティアップデートの適用を検討する必要がある。

カレルチャペック紅茶店の公式通販サイトで大規模な個人情報とクレジットカード情報の流出が判明、第三者による不正アクセスが原因

カレルチャペック紅茶店の公式通販サイトで大規模な個人情報とクレジットカード情報の流出が判明、第...

カレルチャペック紅茶店の公式通販サイトにおいて、2020年4月から2024年5月までの期間に、個人情報10万3289件とクレジットカード情報5万8407件が流出した可能性が判明した。第三者による不正アクセスでペイメントアプリケーションが改ざんされ、氏名やカード情報など重要な個人情報が漏洩した可能性がある。同社は新システムでのサイト再開を目指している。

カレルチャペック紅茶店の公式通販サイトで大規模な個人情報とクレジットカード情報の流出が判明、第...

カレルチャペック紅茶店の公式通販サイトにおいて、2020年4月から2024年5月までの期間に、個人情報10万3289件とクレジットカード情報5万8407件が流出した可能性が判明した。第三者による不正アクセスでペイメントアプリケーションが改ざんされ、氏名やカード情報など重要な個人情報が漏洩した可能性がある。同社は新システムでのサイト再開を目指している。

【CVE-2024-47903】シーメンスのintermeshファームウェアに緊急の脆弱性、情報改ざんとDoS攻撃のリスクが発覚

【CVE-2024-47903】シーメンスのintermeshファームウェアに緊急の脆弱性、情...

シーメンスのintermesh 7177 hybrid 2.0 subscriberおよびintermesh 7707 fire subscriberファームウェアに深刻な脆弱性が発見された。CVSSスコア9.1の緊急性の高い脆弱性で、情報改ざんやDoS攻撃のリスクがある。特権レベルや利用者の関与が不要で攻撃条件の複雑さも低いため、早急な対策が必要となる。影響を受けるバージョンは8.2.12未満および7.2.12未満。

【CVE-2024-47903】シーメンスのintermeshファームウェアに緊急の脆弱性、情...

シーメンスのintermesh 7177 hybrid 2.0 subscriberおよびintermesh 7707 fire subscriberファームウェアに深刻な脆弱性が発見された。CVSSスコア9.1の緊急性の高い脆弱性で、情報改ざんやDoS攻撃のリスクがある。特権レベルや利用者の関与が不要で攻撃条件の複雑さも低いため、早急な対策が必要となる。影響を受けるバージョンは8.2.12未満および7.2.12未満。

【CVE-2024-49265】Booking projectのbanner creator 1.4.6に脆弱性、クロスサイトスクリプティングの危険性が浮上

【CVE-2024-49265】Booking projectのbanner creator ...

Booking projectのWordPress用banner creator 1.4.6およびそれ以前のバージョンに、クロスサイトスクリプティングの脆弱性が存在することが判明した。CVSSスコア5.4の警告レベルで、攻撃条件の複雑さは低く、特権レベルも低い状態で攻撃が可能。情報の取得や改ざんのリスクがあり、早急な対応が必要とされている。

【CVE-2024-49265】Booking projectのbanner creator ...

Booking projectのWordPress用banner creator 1.4.6およびそれ以前のバージョンに、クロスサイトスクリプティングの脆弱性が存在することが判明した。CVSSスコア5.4の警告レベルで、攻撃条件の複雑さは低く、特権レベルも低い状態で攻撃が可能。情報の取得や改ざんのリスクがあり、早急な対応が必要とされている。

【CVE-2024-10369】codezips sales management systemにSQLインジェクションの脆弱性、緊急の対応が必要に

【CVE-2024-10369】codezips sales management syste...

codezipsのsales management system 1.0においてSQLインジェクションの脆弱性が発見された。CVSSv3スコア9.8の緊急レベルで、攻撃者は特権なしで情報の取得や改ざん、DoS攻撃を実行可能。機密性、完全性、可用性すべてに高い影響度を示しており、システム管理者には迅速な対応が求められている。

【CVE-2024-10369】codezips sales management syste...

codezipsのsales management system 1.0においてSQLインジェクションの脆弱性が発見された。CVSSv3スコア9.8の緊急レベルで、攻撃者は特権なしで情報の取得や改ざん、DoS攻撃を実行可能。機密性、完全性、可用性すべてに高い影響度を示しており、システム管理者には迅速な対応が求められている。

【CVE-2024-47901】シーメンスのintermesh製品に深刻な脆弱性、OSコマンドインジェクションによる重大な影響のおそれ

【CVE-2024-47901】シーメンスのintermesh製品に深刻な脆弱性、OSコマンド...

シーメンスのintermesh 7177 hybrid 2.0 subscriberおよびintermesh 7707 fire subscriber製品にOSコマンドインジェクションの脆弱性が発見された。CVSSスコア9.8と極めて高い深刻度を示しており、機密性・完全性・可用性のすべてに高い影響が想定される。特権レベルや利用者の関与が不要な状態で攻撃可能であり、情報漏洩やサービス停止などの重大な被害につながる可能性がある。

【CVE-2024-47901】シーメンスのintermesh製品に深刻な脆弱性、OSコマンド...

シーメンスのintermesh 7177 hybrid 2.0 subscriberおよびintermesh 7707 fire subscriber製品にOSコマンドインジェクションの脆弱性が発見された。CVSSスコア9.8と極めて高い深刻度を示しており、機密性・完全性・可用性のすべてに高い影響が想定される。特権レベルや利用者の関与が不要な状態で攻撃可能であり、情報漏洩やサービス停止などの重大な被害につながる可能性がある。

【CVE-2024-50019】Linux Kernelに深刻な脆弱性、DoS攻撃のリスクで早急な対応が必要に

【CVE-2024-50019】Linux Kernelに深刻な脆弱性、DoS攻撃のリスクで早...

LinuxのLinux Kernelに重大な脆弱性が発見され、サービス運用妨害(DoS)状態に陥るリスクが指摘された。影響を受けるバージョンはLinux Kernel 5.11以降の複数バージョンで、攻撃条件の複雑さは低く、特権レベルも低いため、システム管理者は早急な対策が必要とされている。ベンダーからは正式な対策が公開されており、適切なアップデートの実施が推奨される。

【CVE-2024-50019】Linux Kernelに深刻な脆弱性、DoS攻撃のリスクで早...

LinuxのLinux Kernelに重大な脆弱性が発見され、サービス運用妨害(DoS)状態に陥るリスクが指摘された。影響を受けるバージョンはLinux Kernel 5.11以降の複数バージョンで、攻撃条件の複雑さは低く、特権レベルも低いため、システム管理者は早急な対策が必要とされている。ベンダーからは正式な対策が公開されており、適切なアップデートの実施が推奨される。

【CVE-2024-10427】pet shop management systemにSQLインジェクションの脆弱性、情報漏洩のリスクで緊急対応が必要に

【CVE-2024-10427】pet shop management systemにSQLイ...

codezipsのpet shop management system 1.0にSQLインジェクションの脆弱性が発見された。CVSSv3での深刻度は9.8と緊急レベルで、特別な権限や認証なしで攻撃が可能な状態となっている。情報の取得や改ざん、サービス運用妨害などのリスクがあり、早急な対策が必要とされている。特にデータベースへの不正アクセスによる情報漏洩の可能性が高く、システム管理者は至急セキュリティパッチの適用を検討すべき状況だ。

【CVE-2024-10427】pet shop management systemにSQLイ...

codezipsのpet shop management system 1.0にSQLインジェクションの脆弱性が発見された。CVSSv3での深刻度は9.8と緊急レベルで、特別な権限や認証なしで攻撃が可能な状態となっている。情報の取得や改ざん、サービス運用妨害などのリスクがあり、早急な対策が必要とされている。特にデータベースへの不正アクセスによる情報漏洩の可能性が高く、システム管理者は至急セキュリティパッチの適用を検討すべき状況だ。

【CVE-2024-10033】レッドハット製品にクロスサイトスクリプティングの脆弱性、情報取得や改ざんのリスクに警戒

【CVE-2024-10033】レッドハット製品にクロスサイトスクリプティングの脆弱性、情報取...

レッドハット社の複数製品に深刻な脆弱性が発見された。Ansible Automation Platform 2.5やansible developer 1.2、ansible inside 1.3に影響を及ぼすこの脆弱性は、CVSS v3で6.1の評価を受けている。攻撃条件の複雑さが低く特権も不要という特徴があり、情報漏洩やデータ改ざんのリスクが存在するため、早急な対策が推奨される。

【CVE-2024-10033】レッドハット製品にクロスサイトスクリプティングの脆弱性、情報取...

レッドハット社の複数製品に深刻な脆弱性が発見された。Ansible Automation Platform 2.5やansible developer 1.2、ansible inside 1.3に影響を及ぼすこの脆弱性は、CVSS v3で6.1の評価を受けている。攻撃条件の複雑さが低く特権も不要という特徴があり、情報漏洩やデータ改ざんのリスクが存在するため、早急な対策が推奨される。

【CVE-2024-26272】Liferay Digital Experience PlatformとPortalに深刻な脆弱性、情報漏洩のリスクに早急な対応が必要

【CVE-2024-26272】Liferay Digital Experience Plat...

LiferayのDigital Experience PlatformおよびPortalにクロスサイトリクエストフォージェリの脆弱性が発見された。CVSSスコア8.8と高い深刻度で、情報取得や改ざん、サービス妨害などのリスクがある。影響を受けるバージョンはDigital Experience Platform 7.3/7.4/2023およびLiferay Portal 7.3.2-7.3.7/7.4.0-7.4.3.108未満で、ベンダーから提供されるパッチでの対応が必要となっている。

【CVE-2024-26272】Liferay Digital Experience Plat...

LiferayのDigital Experience PlatformおよびPortalにクロスサイトリクエストフォージェリの脆弱性が発見された。CVSSスコア8.8と高い深刻度で、情報取得や改ざん、サービス妨害などのリスクがある。影響を受けるバージョンはDigital Experience Platform 7.3/7.4/2023およびLiferay Portal 7.3.2-7.3.7/7.4.0-7.4.3.108未満で、ベンダーから提供されるパッチでの対応が必要となっている。

【CVE-2024-47171】agnai 1.0.330未満でパストラバーサルの脆弱性が発見、情報改ざんのリスクに早急な対応が必要

【CVE-2024-47171】agnai 1.0.330未満でパストラバーサルの脆弱性が発見...

agnaiのバージョン1.0.330未満において、パストラバーサル(CWE-22/35)の脆弱性が確認された。CVSSスコア4.3で評価され、攻撃条件の複雑さと必要特権レベルが低いことから、情報改ざんのリスクが懸念される。ベンダーからはパッチ情報とアドバイザリが公開されており、該当バージョンを使用しているユーザーは早急な対応が推奨される。

【CVE-2024-47171】agnai 1.0.330未満でパストラバーサルの脆弱性が発見...

agnaiのバージョン1.0.330未満において、パストラバーサル(CWE-22/35)の脆弱性が確認された。CVSSスコア4.3で評価され、攻撃条件の複雑さと必要特権レベルが低いことから、情報改ざんのリスクが懸念される。ベンダーからはパッチ情報とアドバイザリが公開されており、該当バージョンを使用しているユーザーは早急な対応が推奨される。

【CVE-2024-21284】Oracle Banking Liquidity Managementに重大な脆弱性、情報漏洩とDoS攻撃のリスクに警戒

【CVE-2024-21284】Oracle Banking Liquidity Manage...

オラクルはOracle Banking Liquidity Management 14.5.0.12.0における重要な脆弱性情報を公開した。CVSSスコア7.1と評価された本脆弱性では、情報漏洩や改ざん、サービス運用妨害などのリスクが存在する。攻撃条件は複雑だが特権レベルが低く、機密性・完全性・可用性への影響が高いため注意が必要だ。Critical Patch Updateによる対策が提供されており、速やかな適用が推奨される。

【CVE-2024-21284】Oracle Banking Liquidity Manage...

オラクルはOracle Banking Liquidity Management 14.5.0.12.0における重要な脆弱性情報を公開した。CVSSスコア7.1と評価された本脆弱性では、情報漏洩や改ざん、サービス運用妨害などのリスクが存在する。攻撃条件は複雑だが特権レベルが低く、機密性・完全性・可用性への影響が高いため注意が必要だ。Critical Patch Updateによる対策が提供されており、速やかな適用が推奨される。

PagerDutyの調査で日本企業のインシデント対応の遅れが明らかに、年間累積コストは52億円に

PagerDutyの調査で日本企業のインシデント対応の遅れが明らかに、年間累積コストは52億円に

米PagerDutyが発表した調査結果によると、日本企業のインシデント対応はグローバル企業と比較して大きく遅れをとっており、システム障害対応ツールへの投資は12%に留まっている。平均修復時間は372分とグローバル企業の2倍以上を要し、1企業あたりの年間累積コストは52億円にのぼることが判明。インシデント対応の自動化率も10%と低く、抜本的な改善が求められる。

PagerDutyの調査で日本企業のインシデント対応の遅れが明らかに、年間累積コストは52億円に

米PagerDutyが発表した調査結果によると、日本企業のインシデント対応はグローバル企業と比較して大きく遅れをとっており、システム障害対応ツールへの投資は12%に留まっている。平均修復時間は372分とグローバル企業の2倍以上を要し、1企業あたりの年間累積コストは52億円にのぼることが判明。インシデント対応の自動化率も10%と低く、抜本的な改善が求められる。

出前館デリバリーサービスがRedTailマルウェアに感染、3日間のシステム停止を強いられる事態に

出前館デリバリーサービスがRedTailマルウェアに感染、3日間のシステム停止を強いられる事態に

出前館は2024年10月29日、同社デリバリーサービスの停止原因が暗号資産マイニングマルウェア「RedTail」への感染だったことを明らかにした。10月26日から29日まで続いた障害では、サーバへの高負荷により完全停止を余儀なくされ、慎重な安全性確認の後にサービスを再開。現時点で個人情報流出の恐れはないとしている。

出前館デリバリーサービスがRedTailマルウェアに感染、3日間のシステム停止を強いられる事態に

出前館は2024年10月29日、同社デリバリーサービスの停止原因が暗号資産マイニングマルウェア「RedTail」への感染だったことを明らかにした。10月26日から29日まで続いた障害では、サーバへの高負荷により完全停止を余儀なくされ、慎重な安全性確認の後にサービスを再開。現時点で個人情報流出の恐れはないとしている。