Tech Insights
インフォコムがMedi-Bankを機能拡張し電子カルテ情報共有サービスに対応、医療DXの推進に貢献
インフォコム株式会社は診療情報管理システムMedi-Bankを機能拡張し、電子カルテ情報共有サービスに対応した退院サマリー作成機能を開発。次世代規格HL7 FHIRに準じた医療情報データの作成が可能になり、2025年1月より全国10地域でモデル事業を開始する予定だ。この機能拡張により医療機関間の情報連携が効率化され、医療DXの推進に貢献することが期待される。
インフォコムがMedi-Bankを機能拡張し電子カルテ情報共有サービスに対応、医療DXの推進に貢献
インフォコム株式会社は診療情報管理システムMedi-Bankを機能拡張し、電子カルテ情報共有サービスに対応した退院サマリー作成機能を開発。次世代規格HL7 FHIRに準じた医療情報データの作成が可能になり、2025年1月より全国10地域でモデル事業を開始する予定だ。この機能拡張により医療機関間の情報連携が効率化され、医療DXの推進に貢献することが期待される。
【CVE-2024-9542】Sky Addons For Elementorに機密情報露出の...
WordPressプラグインのSky Addons For Elementorにおいて、バージョン2.6.1以前に深刻な脆弱性が発見された。Content Switcher Widgetのレンダリング機能に存在する脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートや下書きテンプレートにアクセス可能な状態となっている。CVSSスコア4.3のMEDIUMレベルと評価されており、早急な対応が求められる。
【CVE-2024-9542】Sky Addons For Elementorに機密情報露出の...
WordPressプラグインのSky Addons For Elementorにおいて、バージョン2.6.1以前に深刻な脆弱性が発見された。Content Switcher Widgetのレンダリング機能に存在する脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートや下書きテンプレートにアクセス可能な状態となっている。CVSSスコア4.3のMEDIUMレベルと評価されており、早急な対応が求められる。
【CVE-2024-52765】H3C GR-1800AXにRCE脆弱性が発見、aspForm...
MITRE Corporationは2024年11月20日、H3C GR-1800AXのMiniGRW1B0V100R007においてリモートコード実行(RCE)の脆弱性を公開した。この脆弱性はaspForm parameterを経由した攻撃が可能となっており、システムのセキュリティに重大な影響を及ぼす可能性がある。製品の利用者は早急なセキュリティ対策の実施が推奨されている。
【CVE-2024-52765】H3C GR-1800AXにRCE脆弱性が発見、aspForm...
MITRE Corporationは2024年11月20日、H3C GR-1800AXのMiniGRW1B0V100R007においてリモートコード実行(RCE)の脆弱性を公開した。この脆弱性はaspForm parameterを経由した攻撃が可能となっており、システムのセキュリティに重大な影響を及ぼす可能性がある。製品の利用者は早急なセキュリティ対策の実施が推奨されている。
【CVE-2024-11589】itsourcecode Tailoring Manageme...
itsourcecodeのTailoring Management System 1.0のexpcatedit.phpファイルに深刻な脆弱性が発見された。CVE-2024-11589として報告されたこの脆弱性は、SQLインジェクションによるものであり、リモートからの攻撃が可能。CVSS 4.0スコアは5.3で深刻度は「MEDIUM」と評価され、機密性、完全性、可用性への影響が指摘されている。既に公開されており、早急な対応が求められる。
【CVE-2024-11589】itsourcecode Tailoring Manageme...
itsourcecodeのTailoring Management System 1.0のexpcatedit.phpファイルに深刻な脆弱性が発見された。CVE-2024-11589として報告されたこの脆弱性は、SQLインジェクションによるものであり、リモートからの攻撃が可能。CVSS 4.0スコアは5.3で深刻度は「MEDIUM」と評価され、機密性、完全性、可用性への影響が指摘されている。既に公開されており、早急な対応が求められる。
【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプ...
VulDBは2024年11月20日、115cmsのバージョン20240807以前に存在するクロスサイトスクリプティングの脆弱性を公開した。/app/admin/view/web_user.htmlファイルのks引数の処理に関連する脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、既に一般に公開され悪用される可能性が指摘されている。
【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプ...
VulDBは2024年11月20日、115cmsのバージョン20240807以前に存在するクロスサイトスクリプティングの脆弱性を公開した。/app/admin/view/web_user.htmlファイルのks引数の処理に関連する脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、既に一般に公開され悪用される可能性が指摘されている。
【CVE-2024-28730】DLink DWR 2000M 5G CPEでXSS脆弱性を発...
DLink社のDWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEにおいて、VPN設定モジュールのファイルアップロード機能に関するXSS脆弱性が発見された。CVE-2024-28730として識別されるこの脆弱性は、CVSSスコア4.6のMEDIUMレベルと評価され、ローカル攻撃者による機密情報の取得が可能となる危険性が指摘されている。
【CVE-2024-28730】DLink DWR 2000M 5G CPEでXSS脆弱性を発...
DLink社のDWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEにおいて、VPN設定モジュールのファイルアップロード機能に関するXSS脆弱性が発見された。CVE-2024-28730として識別されるこの脆弱性は、CVSSスコア4.6のMEDIUMレベルと評価され、ローカル攻撃者による機密情報の取得が可能となる危険性が指摘されている。
【CVE-2024-10450】SourceCodester Kortex Liteに重大な脆...
VulDBは2024年10月28日、SourceCodester Kortex Lite Advocate Office Management System 1.0においてSQLインジェクションの脆弱性を発見したことを報告した。CVE-2024-10450として識別されたこの脆弱性は、edit_profile.phpのPOSTパラメータを悪用することで情報漏洩や改ざんが可能となる。CVSSスコアでは中程度の評価となっているものの、既に公開されており早急な対応が必要だ。
【CVE-2024-10450】SourceCodester Kortex Liteに重大な脆...
VulDBは2024年10月28日、SourceCodester Kortex Lite Advocate Office Management System 1.0においてSQLインジェクションの脆弱性を発見したことを報告した。CVE-2024-10450として識別されたこの脆弱性は、edit_profile.phpのPOSTパラメータを悪用することで情報漏洩や改ざんが可能となる。CVSSスコアでは中程度の評価となっているものの、既に公開されており早急な対応が必要だ。
【CVE-2024-11494】Zyxel P-6101C ADSLモデムに認証不備の脆弱性、...
Zyxel社のP-6101C ADSLモデムのファームウェアバージョンP-6101CSA6AP_20140331において、認証不備の脆弱性が発見された。CVSSスコア7.5の重要度で、未認証の攻撃者がHTTP HEADメソッドを介してデバイス情報を読み取ることが可能となる。この脆弱性はCWE-287の不適切な認証に分類され、エクスプロイトの自動化も可能とされている。
【CVE-2024-11494】Zyxel P-6101C ADSLモデムに認証不備の脆弱性、...
Zyxel社のP-6101C ADSLモデムのファームウェアバージョンP-6101CSA6AP_20140331において、認証不備の脆弱性が発見された。CVSSスコア7.5の重要度で、未認証の攻撃者がHTTP HEADメソッドを介してデバイス情報を読み取ることが可能となる。この脆弱性はCWE-287の不適切な認証に分類され、エクスプロイトの自動化も可能とされている。
【CVE-2024-11261】Student Record Management Syste...
SourceCodester社のStudent Record Management System 1.0において、StudentRecordManagementSystem.cppファイルに重大な脆弱性が発見された。メモリ破損を引き起こす可能性があり、CVSSスコアでは中程度の評価となっている。ローカル環境での攻撃が条件となるが、既に公開されており早急な対応が必要な状況だ。教育機関での使用を考慮すると、個人情報保護の観点から重要な課題となっている。
【CVE-2024-11261】Student Record Management Syste...
SourceCodester社のStudent Record Management System 1.0において、StudentRecordManagementSystem.cppファイルに重大な脆弱性が発見された。メモリ破損を引き起こす可能性があり、CVSSスコアでは中程度の評価となっている。ローカル環境での攻撃が条件となるが、既に公開されており早急な対応が必要な状況だ。教育機関での使用を考慮すると、個人情報保護の観点から重要な課題となっている。
【CVE-2024-11179】MStore APIプラグインでSQL injection脆弱...
WordPressプラグイン「MStore API」にSQL injectionの脆弱性が発見された。この脆弱性は【CVE-2024-11179】として識別され、バージョン4.15.7以前のすべてのバージョンに影響を及ぼす。Subscriber以上の権限を持つ認証済みユーザーにより、データベースから機密情報が抽出される可能性があり、CVSSスコア6.5(中程度)と評価されている。
【CVE-2024-11179】MStore APIプラグインでSQL injection脆弱...
WordPressプラグイン「MStore API」にSQL injectionの脆弱性が発見された。この脆弱性は【CVE-2024-11179】として識別され、バージョン4.15.7以前のすべてのバージョンに影響を及ぼす。Subscriber以上の権限を持つ認証済みユーザーにより、データベースから機密情報が抽出される可能性があり、CVSSスコア6.5(中程度)と評価されている。
【CVE-2024-53062】Linuxカーネルのmgb4ドライバーにspectreの脆弱性...
kernel.orgが2024年11月19日にLinuxカーネルのメディアドライバー「mgb4」にspectreに対する脆弱性を発見したと発表。周波数範囲をsysfsから設定する機能において、ドライバーがspectreに対して脆弱であることが判明。この問題はバージョン6.7から6.11.7まで影響し、コミットe0bc90742bbdおよび2aee207e5b3cによって修正された。
【CVE-2024-53062】Linuxカーネルのmgb4ドライバーにspectreの脆弱性...
kernel.orgが2024年11月19日にLinuxカーネルのメディアドライバー「mgb4」にspectreに対する脆弱性を発見したと発表。周波数範囲をsysfsから設定する機能において、ドライバーがspectreに対して脆弱であることが判明。この問題はバージョン6.7から6.11.7まで影響し、コミットe0bc90742bbdおよび2aee207e5b3cによって修正された。
かっこ株式会社が自治体向け情報漏洩対策ウェビナーを開催、ふるさと納税の安全運用を徹底解説
かっこ株式会社、弁護士法人Authense法律事務所、志布志市役所が共同で情報漏洩対策ウェビナーを2024年12月4日に開催する。2024年4月改訂の情報セキュリティポリシーガイドラインを踏まえた自治体向け対策、フィッシングや不正アクセスへの最新対策、志布志市の実例から学ぶふるさと納税の安全運用について、専門家が詳しく解説する予定だ。
かっこ株式会社が自治体向け情報漏洩対策ウェビナーを開催、ふるさと納税の安全運用を徹底解説
かっこ株式会社、弁護士法人Authense法律事務所、志布志市役所が共同で情報漏洩対策ウェビナーを2024年12月4日に開催する。2024年4月改訂の情報セキュリティポリシーガイドラインを踏まえた自治体向け対策、フィッシングや不正アクセスへの最新対策、志布志市の実例から学ぶふるさと納税の安全運用について、専門家が詳しく解説する予定だ。
合同会社SIGQが書類共有サービスSIGQ Cloud Linkerをリリース、ワンタイムコー...
合同会社SIGQは2024年11月22日、中小企業向け書類共有サービス「SIGQ Cloud Linker β」をリリースした。ワンタイムコード認証とマルウェアスキャン機能を搭載し、SIGQ Cloudアカウントを持たないユーザーでも安全に書類を受け取ることが可能。共有URLの無効化機能も備え、情報漏洩リスクを最小限に抑える設計となっている。
合同会社SIGQが書類共有サービスSIGQ Cloud Linkerをリリース、ワンタイムコー...
合同会社SIGQは2024年11月22日、中小企業向け書類共有サービス「SIGQ Cloud Linker β」をリリースした。ワンタイムコード認証とマルウェアスキャン機能を搭載し、SIGQ Cloudアカウントを持たないユーザーでも安全に書類を受け取ることが可能。共有URLの無効化機能も備え、情報漏洩リスクを最小限に抑える設計となっている。
SKY株式会社がSKYSEA Client Viewのセミナーを開催、情報漏洩対策とIT資産管...
SKY株式会社は12月にSKYSEA Client Viewの活用方法を紹介する無料オンラインセミナーを開催する。サイバー攻撃対策やIT資産管理、モバイル機器管理など多岐にわたるテーマを用意し、Windows 10のサポート終了に向けたアップデート管理の負担軽減策も解説。セキュリティリテラシーの向上を目指し、一般職員向けと管理者向けの研修プログラムも展開される。
SKY株式会社がSKYSEA Client Viewのセミナーを開催、情報漏洩対策とIT資産管...
SKY株式会社は12月にSKYSEA Client Viewの活用方法を紹介する無料オンラインセミナーを開催する。サイバー攻撃対策やIT資産管理、モバイル機器管理など多岐にわたるテーマを用意し、Windows 10のサポート終了に向けたアップデート管理の負担軽減策も解説。セキュリティリテラシーの向上を目指し、一般職員向けと管理者向けの研修プログラムも展開される。
Authense法律事務所が自治体向け情報漏洩対策ウェビナーを開催、フィッシング対策とふるさと...
Authense法律事務所とかっこ株式会社、志布志市役所が共同で2024年12月4日に情報漏洩対策ウェビナーを開催する。デジタル庁出向経験のある弁護士による情報セキュリティガイドラインの解説や、フィッシング対策、実例に基づく安全なふるさと納税運用の取り組みなど、自治体が直面する情報セキュリティの課題と対策について詳しく解説される予定だ。
Authense法律事務所が自治体向け情報漏洩対策ウェビナーを開催、フィッシング対策とふるさと...
Authense法律事務所とかっこ株式会社、志布志市役所が共同で2024年12月4日に情報漏洩対策ウェビナーを開催する。デジタル庁出向経験のある弁護士による情報セキュリティガイドラインの解説や、フィッシング対策、実例に基づく安全なふるさと納税運用の取り組みなど、自治体が直面する情報セキュリティの課題と対策について詳しく解説される予定だ。
【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...
LinuxカーネルのTDR(Timeout Detection and Recovery)において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF(Use After Free)の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。
【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...
LinuxカーネルのTDR(Timeout Detection and Recovery)において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF(Use After Free)の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。
【CVE-2024-38203】Windows Package Library Manager...
MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。
【CVE-2024-38203】Windows Package Library Manager...
MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。
LRM株式会社のセキュリオがASPICクラウドアワード2024で社会貢献賞を受賞、セキュリティ...
LRM株式会社のセキュリティ教育クラウド「セキュリオ」が総務省後援の第18回ASPICクラウドアワード2024で社会貢献賞を受賞。専門家監修の学習コンテンツ、定期的なミニテスト、標的型攻撃メール訓練機能など、包括的なセキュリティ教育環境を提供。1,800社以上の導入実績と年間580社のコンサルティング支援実績を持ち、企業のセキュリティ体制強化に貢献している。
LRM株式会社のセキュリオがASPICクラウドアワード2024で社会貢献賞を受賞、セキュリティ...
LRM株式会社のセキュリティ教育クラウド「セキュリオ」が総務省後援の第18回ASPICクラウドアワード2024で社会貢献賞を受賞。専門家監修の学習コンテンツ、定期的なミニテスト、標的型攻撃メール訓練機能など、包括的なセキュリティ教育環境を提供。1,800社以上の導入実績と年間580社のコンサルティング支援実績を持ち、企業のセキュリティ体制強化に貢献している。
EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...
イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。
EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...
イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。
日本企業の生成AI導入率が世界平均を大きく下回り、医療福祉とソフトウェア業界での導入が特に遅延
JetB株式会社が実施した調査によると、日本企業の生成AI導入率は22%で、世界平均の75%を大きく下回っている。特に医療・福祉業界とソフトウェア業界での導入が遅れており、情報の正確性への不安が29.4%、コストやセキュリティへの懸念がそれぞれ11.8%存在する。AIリテラシー向上が日本企業のAI導入率向上の鍵となる可能性が示唆された。
日本企業の生成AI導入率が世界平均を大きく下回り、医療福祉とソフトウェア業界での導入が特に遅延
JetB株式会社が実施した調査によると、日本企業の生成AI導入率は22%で、世界平均の75%を大きく下回っている。特に医療・福祉業界とソフトウェア業界での導入が遅れており、情報の正確性への不安が29.4%、コストやセキュリティへの懸念がそれぞれ11.8%存在する。AIリテラシー向上が日本企業のAI導入率向上の鍵となる可能性が示唆された。
【CVE-2024-10443】SynologyのBeePhotosとPhotosに深刻な脆弱...
SynologyのBeePhotosとSynology Photosの複数バージョンにおいて、Task Managerコンポーネントに重大なコマンドインジェクション脆弱性が発見された。CVSSスコア9.8の最高レベルの深刻度を持つこの脆弱性により、リモートからの任意コード実行が可能となる。PWN2OWN 2024で発見されたこの問題に対し、Synologyは修正版の適用を強く推奨している。
【CVE-2024-10443】SynologyのBeePhotosとPhotosに深刻な脆弱...
SynologyのBeePhotosとSynology Photosの複数バージョンにおいて、Task Managerコンポーネントに重大なコマンドインジェクション脆弱性が発見された。CVSSスコア9.8の最高レベルの深刻度を持つこの脆弱性により、リモートからの任意コード実行が可能となる。PWN2OWN 2024で発見されたこの問題に対し、Synologyは修正版の適用を強く推奨している。
【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...
lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。
【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...
lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。
【CVE-2024-8979】Essential Addons for Elementor 6...
WordPressプラグイン「Essential Addons for Elementor」のバージョン6.0.9以前に深刻な脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーが管理者を含む任意のユーザーの認証情報を抽出可能とするもので、CVSSスコア8.0と高い危険度が報告されている。特権昇格につながる可能性があり、早急なアップデートが推奨される。
【CVE-2024-8979】Essential Addons for Elementor 6...
WordPressプラグイン「Essential Addons for Elementor」のバージョン6.0.9以前に深刻な脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーが管理者を含む任意のユーザーの認証情報を抽出可能とするもので、CVSSスコア8.0と高い危険度が報告されている。特権昇格につながる可能性があり、早急なアップデートが推奨される。
【CVE-2024-49049】Visual Studio Code Remote SSH E...
Microsoftは2024年11月12日、Visual Studio Code Remote SSH Extensionにおける権限昇格の脆弱性を公開した。CVSSスコア7.1を記録するこの脆弱性は、バージョン1.0.0から0.115.1未満に影響を与え、攻撃者による情報漏洩や改ざんのリスクをもたらす。不適切なアクセス制御により、低権限ユーザーが高い特権レベルの操作を実行できる可能性がある。
【CVE-2024-49049】Visual Studio Code Remote SSH E...
Microsoftは2024年11月12日、Visual Studio Code Remote SSH Extensionにおける権限昇格の脆弱性を公開した。CVSSスコア7.1を記録するこの脆弱性は、バージョン1.0.0から0.115.1未満に影響を与え、攻撃者による情報漏洩や改ざんのリスクをもたらす。不適切なアクセス制御により、低権限ユーザーが高い特権レベルの操作を実行できる可能性がある。
【CVE-2024-49046】Windows Win32 Kernelに特権昇格の脆弱性、複...
MicrosoftはWindows Win32 Kernel Subsystemにおける特権昇格の脆弱性を公開した。CVE-2024-49046として識別されるこの問題は、Windows 10からWindows 11、さらにはWindows Serverの広範なバージョンに影響を与える可能性がある。CVSSスコア7.8を記録し、特に権限昇格によるシステムへの重大な影響が懸念されている。
【CVE-2024-49046】Windows Win32 Kernelに特権昇格の脆弱性、複...
MicrosoftはWindows Win32 Kernel Subsystemにおける特権昇格の脆弱性を公開した。CVE-2024-49046として識別されるこの問題は、Windows 10からWindows 11、さらにはWindows Serverの広範なバージョンに影響を与える可能性がある。CVSSスコア7.8を記録し、特に権限昇格によるシステムへの重大な影響が懸念されている。
【CVE-2024-39609】Intel Server Board M70KLPのUEFI ...
IntelのServer Board M70KLPのUEFI firmwareに重大な脆弱性が発見された。CVE-2024-39609として特定されたこの脆弱性は、不適切なアクセス制御により特権ユーザーがローカルアクセスを通じて権限昇格を引き起こす可能性がある。CVSS v3.1で7.5、v4.0で8.7のHighスコアが付与されており、早急な対応が必要とされている。
【CVE-2024-39609】Intel Server Board M70KLPのUEFI ...
IntelのServer Board M70KLPのUEFI firmwareに重大な脆弱性が発見された。CVE-2024-39609として特定されたこの脆弱性は、不適切なアクセス制御により特権ユーザーがローカルアクセスを通じて権限昇格を引き起こす可能性がある。CVSS v3.1で7.5、v4.0で8.7のHighスコアが付与されており、早急な対応が必要とされている。
【CVE-2024-11210】EyouCMS 1.51にパストラバーサルの脆弱性、Filem...
VulDBが2024年11月14日にEyouCMS 1.51の重要な脆弱性情報を公開した。FilemanagerLogic.phpのeditFile機能にパストラバーサルの脆弱性が存在し、activepathパラメータの操作により攻撃が可能である。CVSSスコアは中程度だが、リモートからの攻撃が可能で、既に攻撃コードも公開されており早急な対応が必要とされている。
【CVE-2024-11210】EyouCMS 1.51にパストラバーサルの脆弱性、Filem...
VulDBが2024年11月14日にEyouCMS 1.51の重要な脆弱性情報を公開した。FilemanagerLogic.phpのeditFile機能にパストラバーサルの脆弱性が存在し、activepathパラメータの操作により攻撃が可能である。CVSSスコアは中程度だが、リモートからの攻撃が可能で、既に攻撃コードも公開されており早急な対応が必要とされている。
【CVE-2024-11028】MultiManager WP 1.0.5に認証バイパスの脆弱...
WordPressプラグインMultiManager WPのバージョン1.0.5以前に深刻な認証バイパスの脆弱性が発見された。ユーザー偽装機能の不適切な実装により、未認証の攻撃者が管理者権限を含む任意のユーザーとしてログイン可能な状態にあった。CVSSスコア9.8のCritical評価を受け、バージョン1.1.2で修正パッチがリリースされている。
【CVE-2024-11028】MultiManager WP 1.0.5に認証バイパスの脆弱...
WordPressプラグインMultiManager WPのバージョン1.0.5以前に深刻な認証バイパスの脆弱性が発見された。ユーザー偽装機能の不適切な実装により、未認証の攻撃者が管理者権限を含む任意のユーザーとしてログイン可能な状態にあった。CVSSスコア9.8のCritical評価を受け、バージョン1.1.2で修正パッチがリリースされている。
【CVE-2024-8978】Essential Addons for Elementorに情...
WordPressプラグインEssential Addons for Elementorのバージョン6.0.9以前に深刻な脆弱性が発見された。Contributor以上の権限を持つユーザーが、Login Register Formウィジェットを通じて登録したユーザーの認証情報を不正に取得可能となっている。CVSS評価は5.7でMEDIUM、早急なアップデートが推奨される。
【CVE-2024-8978】Essential Addons for Elementorに情...
WordPressプラグインEssential Addons for Elementorのバージョン6.0.9以前に深刻な脆弱性が発見された。Contributor以上の権限を持つユーザーが、Login Register Formウィジェットを通じて登録したユーザーの認証情報を不正に取得可能となっている。CVSS評価は5.7でMEDIUM、早急なアップデートが推奨される。
【CVE-2024-3501】lunary-ai/lunaryでシングルユーストークン漏洩の脆...
lunary-ai/lunaryのバージョン1.2.5以前において、GET /v1/users/meとGET /v1/users/me/orgのAPIエンドポイントでシングルユーストークンが露出する重大な脆弱性が発見された。CVSSスコア9.1のCriticalな脆弱性として識別され、不正アクターによる認証情報の悪用リスクが指摘されている。この問題はバージョン1.2.6で修正され、セキュリティの向上が図られている。
【CVE-2024-3501】lunary-ai/lunaryでシングルユーストークン漏洩の脆...
lunary-ai/lunaryのバージョン1.2.5以前において、GET /v1/users/meとGET /v1/users/me/orgのAPIエンドポイントでシングルユーストークンが露出する重大な脆弱性が発見された。CVSSスコア9.1のCriticalな脆弱性として識別され、不正アクターによる認証情報の悪用リスクが指摘されている。この問題はバージョン1.2.6で修正され、セキュリティの向上が図られている。