Tech Insights
【CVE-2024-41745】IBM CICS TX StandardのWeb UIに深刻な...
IBMは2024年11月1日、CICS TX Standard 11.1のWeb UIにおけるクロスサイトスクリプティングの脆弱性を公開した。CVE-2024-41745として識別されたこの脆弱性は、認証されていないユーザーが任意のJavaScriptコードを埋め込むことを可能にし、信頼されたセッション内での認証情報漏洩のリスクをもたらす。CVSSスコア6.1の中程度の深刻度と評価されており、早急な対応が推奨されている。
【CVE-2024-41745】IBM CICS TX StandardのWeb UIに深刻な...
IBMは2024年11月1日、CICS TX Standard 11.1のWeb UIにおけるクロスサイトスクリプティングの脆弱性を公開した。CVE-2024-41745として識別されたこの脆弱性は、認証されていないユーザーが任意のJavaScriptコードを埋め込むことを可能にし、信頼されたセッション内での認証情報漏洩のリスクをもたらす。CVSSスコア6.1の中程度の深刻度と評価されており、早急な対応が推奨されている。
アドバンスト・メディアと済生会熊本病院が対話型看護アシストシステムを共同開発、看護業務の効率化...
アドバンスト・メディアと済生会熊本病院が共同開発した対話型看護アシストシステムが日本医療情報学会看護学術大会で最優秀賞を受賞。国内シェアNo.1のAI音声認識AmiVoiceを搭載し、患者選択機能や検査オーダー情報表示機能、リマインダー機能を実装。電子カルテ閲覧不可時でも患者情報や検査予定を即座に把握可能で、看護業務の効率化を実現。
アドバンスト・メディアと済生会熊本病院が対話型看護アシストシステムを共同開発、看護業務の効率化...
アドバンスト・メディアと済生会熊本病院が共同開発した対話型看護アシストシステムが日本医療情報学会看護学術大会で最優秀賞を受賞。国内シェアNo.1のAI音声認識AmiVoiceを搭載し、患者選択機能や検査オーダー情報表示機能、リマインダー機能を実装。電子カルテ閲覧不可時でも患者情報や検査予定を即座に把握可能で、看護業務の効率化を実現。
日立ソリューションズがFortanix Data Security Managerを販売開始、...
日立ソリューションズはFortanix Inc.と販売代理店契約を締結し、クラウドデータを自社の暗号鍵で暗号化し第三者アクセスを防止する統合データセキュリティプラットフォーム「Fortanix Data Security Manager」を2024年11月18日より販売開始する。AWS、Microsoft Azure、Google Cloud Platformなど125以上のクラウドサービスに対応し、経済安全保障推進法が求める重要インフラの安全性確保に貢献する。
日立ソリューションズがFortanix Data Security Managerを販売開始、...
日立ソリューションズはFortanix Inc.と販売代理店契約を締結し、クラウドデータを自社の暗号鍵で暗号化し第三者アクセスを防止する統合データセキュリティプラットフォーム「Fortanix Data Security Manager」を2024年11月18日より販売開始する。AWS、Microsoft Azure、Google Cloud Platformなど125以上のクラウドサービスに対応し、経済安全保障推進法が求める重要インフラの安全性確保に貢献する。
【CVE-2024-43919】WordPressプラグインYARPP5.30.10以前に認可...
WordPressプラグインYARPP(Yet Another Related Posts Plugin)のバージョン5.30.10以前に、認可の欠落による重大な脆弱性が発見された。CVE-2024-43919として識別されるこの問題は、認証チェックの不備により本来アクセスを制限すべき機能への不正アクセスを許可してしまう。CVSSスコア5.3のミディアムレベルの脆弱性であり、早急なアップデートによる対応が推奨される。
【CVE-2024-43919】WordPressプラグインYARPP5.30.10以前に認可...
WordPressプラグインYARPP(Yet Another Related Posts Plugin)のバージョン5.30.10以前に、認可の欠落による重大な脆弱性が発見された。CVE-2024-43919として識別されるこの問題は、認証チェックの不備により本来アクセスを制限すべき機能への不正アクセスを許可してしまう。CVSSスコア5.3のミディアムレベルの脆弱性であり、早急なアップデートによる対応が推奨される。
【CVE-2024-43343】WordPress Order Tracking3.3.12に...
Patchstack OÜがWordPress用プラグインOrder Trackingの認可機能の不備による脆弱性を発見した。この脆弱性は【CVE-2024-43343】として識別され、バージョン3.3.12以前に影響を与える。CVSS3.1スコアは4.3で中程度の深刻度とされ、早急なアップデートが推奨される。Etoile Web Designは対策版となるバージョン3.3.13をリリースしている。
【CVE-2024-43343】WordPress Order Tracking3.3.12に...
Patchstack OÜがWordPress用プラグインOrder Trackingの認可機能の不備による脆弱性を発見した。この脆弱性は【CVE-2024-43343】として識別され、バージョン3.3.12以前に影響を与える。CVSS3.1スコアは4.3で中程度の深刻度とされ、早急なアップデートが推奨される。Etoile Web Designは対策版となるバージョン3.3.13をリリースしている。
【CVE-2024-10839】ManageEngine SharePoint Manager...
ManageEngineは2024年11月8日、SharePoint Manager Plusのバージョン4503以前に影響する認証済みXML外部エンティティ参照(XXE)の脆弱性を公開した。CVSSスコア8.5の深刻度が高い脆弱性として【CVE-2024-10839】が割り当てられ、NSFOCUS TIANJI Labの研究者によって発見された。攻撃者は認証情報さえ所持していれば容易に悪用できる可能性があり、早急な対応が推奨される。
【CVE-2024-10839】ManageEngine SharePoint Manager...
ManageEngineは2024年11月8日、SharePoint Manager Plusのバージョン4503以前に影響する認証済みXML外部エンティティ参照(XXE)の脆弱性を公開した。CVSSスコア8.5の深刻度が高い脆弱性として【CVE-2024-10839】が割り当てられ、NSFOCUS TIANJI Labの研究者によって発見された。攻撃者は認証情報さえ所持していれば容易に悪用できる可能性があり、早急な対応が推奨される。
【CVE-2024-49525】Adobe Substance3D - Painterに深刻な...
Adobe Substance3D - Painter 10.1.0以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク評価であり、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。この脆弱性はCVE-2024-49525として識別され、現在のユーザー権限でコードが実行される可能性があるため、早急な対応が求められている。
【CVE-2024-49525】Adobe Substance3D - Painterに深刻な...
Adobe Substance3D - Painter 10.1.0以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク評価であり、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。この脆弱性はCVE-2024-49525として識別され、現在のユーザー権限でコードが実行される可能性があるため、早急な対応が求められている。
【CVE-2024-49772】SuiteCRM 7.14.4にSQL injection脆弱...
SalesagilityのCRMソフトウェアSuiteCRM 7.14.4において、AM_ProjectTemplatesコントローラーにSQL injectionの脆弱性が発見された。CVSSスコア8.8(High)と評価されるこの脆弱性により、認証済みの低権限ユーザーがデータベース全体の情報を漏洩させることが可能となっている。対応バージョンとなる7.14.6および8.7.1へのアップデートが推奨される。
【CVE-2024-49772】SuiteCRM 7.14.4にSQL injection脆弱...
SalesagilityのCRMソフトウェアSuiteCRM 7.14.4において、AM_ProjectTemplatesコントローラーにSQL injectionの脆弱性が発見された。CVSSスコア8.8(High)と評価されるこの脆弱性により、認証済みの低権限ユーザーがデータベース全体の情報を漏洩させることが可能となっている。対応バージョンとなる7.14.6および8.7.1へのアップデートが推奨される。
【CVE-2024-50559】Siemens RUGGEDCOM/SCALANCEシリーズに...
SiemensのRUGGEDCOM RM1224 LTE(4G)シリーズやSCALANCEルーターシリーズにおいて、証明書のファイル名検証が適切に行われない脆弱性が発見された。CVE-2024-50559として識別されるこの脆弱性は、認証済みリモート攻撃者によるシステム整合性の侵害を可能にする。影響を受けるのは全バージョン8.2未満の製品で、CVSSスコアは4.3と中程度の深刻度に分類されている。
【CVE-2024-50559】Siemens RUGGEDCOM/SCALANCEシリーズに...
SiemensのRUGGEDCOM RM1224 LTE(4G)シリーズやSCALANCEルーターシリーズにおいて、証明書のファイル名検証が適切に行われない脆弱性が発見された。CVE-2024-50559として識別されるこの脆弱性は、認証済みリモート攻撃者によるシステム整合性の侵害を可能にする。影響を受けるのは全バージョン8.2未満の製品で、CVSSスコアは4.3と中程度の深刻度に分類されている。
【CVE-2024-6444】ZephyrプロジェクトがBluetooth OTSの脆弱性を公...
ZephyrプロジェクトはBluetooth OTSクライアントにおけるバッファ長チェックの欠陥を【CVE-2024-6444】として公開した。CVSS基本値6.3の中程度の深刻度で、Zephyr 3.6以前のすべてのバージョンに影響する。olcp_ind_handler関数におけるユーザー入力の検証が不適切であり、早急なアップデートが推奨されている。
【CVE-2024-6444】ZephyrプロジェクトがBluetooth OTSの脆弱性を公...
ZephyrプロジェクトはBluetooth OTSクライアントにおけるバッファ長チェックの欠陥を【CVE-2024-6444】として公開した。CVSS基本値6.3の中程度の深刻度で、Zephyr 3.6以前のすべてのバージョンに影響する。olcp_ind_handler関数におけるユーザー入力の検証が不適切であり、早急なアップデートが推奨されている。
【CVE-2024-50461】WordPressプラグインEmbedPress 4.0.14...
WordPressプラグインEmbedPress 4.0.14以前のバージョンにおいて、Cross Site Scripting(XSS)の脆弱性が発見された。CVSSスコア6.5(Medium)と評価されるこの脆弱性は、Webページ生成時における入力の不適切な無害化処理に起因しており、情報漏洩やセッションハイジャックなどの深刻な被害をもたらす可能性がある。すでにバージョン4.1.0で修正が実施されており、早急なアップデートが推奨されている。
【CVE-2024-50461】WordPressプラグインEmbedPress 4.0.14...
WordPressプラグインEmbedPress 4.0.14以前のバージョンにおいて、Cross Site Scripting(XSS)の脆弱性が発見された。CVSSスコア6.5(Medium)と評価されるこの脆弱性は、Webページ生成時における入力の不適切な無害化処理に起因しており、情報漏洩やセッションハイジャックなどの深刻な被害をもたらす可能性がある。すでにバージョン4.1.0で修正が実施されており、早急なアップデートが推奨されている。
【CVE-2024-10998】1000 Projects Bookstore Managem...
1000 ProjectsのBookstore Management System 1.0において、管理者用ファイルprocess_category_add.phpに重大な脆弱性が発見された。CVE-2024-10998として識別されるこの脆弱性は、cat引数に対するSQLインジェクションが可能で、CVSSスコア7.3のHigh評価となっている。認証なしでリモートからの攻撃が可能な状態であり、既に攻撃コードが公開されているため、早急な対応が求められる。
【CVE-2024-10998】1000 Projects Bookstore Managem...
1000 ProjectsのBookstore Management System 1.0において、管理者用ファイルprocess_category_add.phpに重大な脆弱性が発見された。CVE-2024-10998として識別されるこの脆弱性は、cat引数に対するSQLインジェクションが可能で、CVSSスコア7.3のHigh評価となっている。認証なしでリモートからの攻撃が可能な状態であり、既に攻撃コードが公開されているため、早急な対応が求められる。
【CVE-2024-10995】Hospital Appointment System 1.0...
Codezips Hospital Appointment System 1.0のremoveDoctorResult.phpファイルにSQL injection脆弱性が発見された。Name引数を操作することで攻撃が可能で、CVSS 4.0で6.9、CVSS 3.1で7.3のスコアが付けられている。特権不要でリモートから攻撃可能なため、患者データの漏洩リスクが高く、早急な対応が必要とされている。
【CVE-2024-10995】Hospital Appointment System 1.0...
Codezips Hospital Appointment System 1.0のremoveDoctorResult.phpファイルにSQL injection脆弱性が発見された。Name引数を操作することで攻撃が可能で、CVSS 4.0で6.9、CVSS 3.1で7.3のスコアが付けられている。特権不要でリモートから攻撃可能なため、患者データの漏洩リスクが高く、早急な対応が必要とされている。
【CVE-2024-10428】WAVLINKのWiFiルーターに重大な脆弱性、コマンドインジ...
WAVLINKのWiFiルーターモデルWN530H4、WN530HG4、WN572HG3において、firewall.cgiファイルのset_ipv6関数に深刻なコマンドインジェクションの脆弱性が発見された。CVE-2024-10428として特定されたこの脆弱性は、CVSS 4.0で8.6のハイリスクと評価されており、機密性・完全性・可用性のすべてに高い影響がある。現在までベンダーからの対応は得られていない状況が続いている。
【CVE-2024-10428】WAVLINKのWiFiルーターに重大な脆弱性、コマンドインジ...
WAVLINKのWiFiルーターモデルWN530H4、WN530HG4、WN572HG3において、firewall.cgiファイルのset_ipv6関数に深刻なコマンドインジェクションの脆弱性が発見された。CVE-2024-10428として特定されたこの脆弱性は、CVSS 4.0で8.6のハイリスクと評価されており、機密性・完全性・可用性のすべてに高い影響がある。現在までベンダーからの対応は得られていない状況が続いている。
【CVE-2024-47529】OpenC3 COSMOSにパスワードの平文保存の脆弱性が発見...
OpenC3 COSMOSにおいて、ユーザーパスワードがWebブラウザのLocalStorageに暗号化されずに保存される脆弱性が発見された。この脆弱性はCVE-2024-47529として識別され、CVSS評価は4.8(MEDIUM)となっている。クロスサイトスクリプティング攻撃によるパスワード漏洩のリスクがあったが、バージョン5.19.0で修正が完了。Enterprise Editionは影響を受けないことも確認された。
【CVE-2024-47529】OpenC3 COSMOSにパスワードの平文保存の脆弱性が発見...
OpenC3 COSMOSにおいて、ユーザーパスワードがWebブラウザのLocalStorageに暗号化されずに保存される脆弱性が発見された。この脆弱性はCVE-2024-47529として識別され、CVSS評価は4.8(MEDIUM)となっている。クロスサイトスクリプティング攻撃によるパスワード漏洩のリスクがあったが、バージョン5.19.0で修正が完了。Enterprise Editionは影響を受けないことも確認された。
【CVE-2024-34682】Samsung MobileのSettingsにおける認証不備...
Samsung Mobileは、同社のモバイル端末のSettingsにおいて認証に関する脆弱性を発見し公開した。この脆弱性はSMR Nov-2024 Release 1以前のバージョンに影響を及ぼし、メンテナンスモードにおいて物理的なアクセスを持つ攻撃者がWiFiパスワードを参照できる問題が確認されている。CVSSスコアは2.4(Low)と評価され、Android 14向けにSMR Nov-2024 Releaseで修正された。
【CVE-2024-34682】Samsung MobileのSettingsにおける認証不備...
Samsung Mobileは、同社のモバイル端末のSettingsにおいて認証に関する脆弱性を発見し公開した。この脆弱性はSMR Nov-2024 Release 1以前のバージョンに影響を及ぼし、メンテナンスモードにおいて物理的なアクセスを持つ攻撃者がWiFiパスワードを参照できる問題が確認されている。CVSSスコアは2.4(Low)と評価され、Android 14向けにSMR Nov-2024 Releaseで修正された。
【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...
オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。
【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...
オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。
【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...
SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。
【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...
SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。
【CVE-2024-49407】Samsung Flow 4.9.15.7未満に不適切なアクセ...
Samsung Mobileは、Samsung Flow 4.9.15.7未満のバージョンにおいて不適切なアクセス制御の脆弱性【CVE-2024-49407】を公開した。この脆弱性により物理的な攻撃者が複数のユーザープロファイル間のデータにアクセスできる状態となっており、CVSSスコアは4.6(Medium)と評価されている。CISAは本脆弱性の攻撃には物理的なアクセスが必要で、攻撃の自動化は不可能と判断。Samsung Flow 4.9.15.7へのアップデートが推奨される。
【CVE-2024-49407】Samsung Flow 4.9.15.7未満に不適切なアクセ...
Samsung Mobileは、Samsung Flow 4.9.15.7未満のバージョンにおいて不適切なアクセス制御の脆弱性【CVE-2024-49407】を公開した。この脆弱性により物理的な攻撃者が複数のユーザープロファイル間のデータにアクセスできる状態となっており、CVSSスコアは4.6(Medium)と評価されている。CISAは本脆弱性の攻撃には物理的なアクセスが必要で、攻撃の自動化は不可能と判断。Samsung Flow 4.9.15.7へのアップデートが推奨される。
【CVE-2024-47803】Jenkins 2.478のsecretTextareaに脆弱...
Jenkins ProjectはJenkins 2.478以前のバージョンとLTS 2.462.2以前のバージョンにおいて、secretTextarea形式のフォームフィールドに関連するセキュリティ脆弱性を公開した。フォーム送信時のエラーメッセージで機密情報が適切に編集されない問題が発見され、Jenkins 2.462.3以降のバージョンで修正が実施されている。影響を受けるユーザーには速やかなアップデートが推奨される。
【CVE-2024-47803】Jenkins 2.478のsecretTextareaに脆弱...
Jenkins ProjectはJenkins 2.478以前のバージョンとLTS 2.462.2以前のバージョンにおいて、secretTextarea形式のフォームフィールドに関連するセキュリティ脆弱性を公開した。フォーム送信時のエラーメッセージで機密情報が適切に編集されない問題が発見され、Jenkins 2.462.3以降のバージョンで修正が実施されている。影響を受けるユーザーには速やかなアップデートが推奨される。
【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...
Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。
【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...
Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。
【CVE-2024-47431】Adobe Substance3D Painter 10.1....
Adobe Substance3D Painter 10.1.0以前のバージョンにヒープベースバッファオーバーフロー脆弱性が発見された。CVE-2024-47431として識別されるこの脆弱性は、悪意のあるファイルを開くことで攻撃者による任意のコード実行を可能にする。CVSSスコア7.8の高リスク評価を受け、特権は不要だがユーザーの操作を必要とする特徴を持つ。早急な対応が求められる状況だ。
【CVE-2024-47431】Adobe Substance3D Painter 10.1....
Adobe Substance3D Painter 10.1.0以前のバージョンにヒープベースバッファオーバーフロー脆弱性が発見された。CVE-2024-47431として識別されるこの脆弱性は、悪意のあるファイルを開くことで攻撃者による任意のコード実行を可能にする。CVSSスコア7.8の高リスク評価を受け、特権は不要だがユーザーの操作を必要とする特徴を持つ。早急な対応が求められる状況だ。
【CVE-2024-32870】iTop Hub Connectorに情報漏洩の脆弱性、複数バ...
CombodoのITサービス管理ツールiTopにおいて重要な情報漏洩の脆弱性が発見された。この脆弱性により、iTopのURIにアクセス可能な誰もがサーバー情報やOS情報、DBMS情報などの機密情報を読み取ることが可能となっている。CVSSスコア5.8と評価され、バージョン2.7.11、3.0.5、3.1.2、3.2.0でパッチが適用された。
【CVE-2024-32870】iTop Hub Connectorに情報漏洩の脆弱性、複数バ...
CombodoのITサービス管理ツールiTopにおいて重要な情報漏洩の脆弱性が発見された。この脆弱性により、iTopのURIにアクセス可能な誰もがサーバー情報やOS情報、DBMS情報などの機密情報を読み取ることが可能となっている。CVSSスコア5.8と評価され、バージョン2.7.11、3.0.5、3.1.2、3.2.0でパッチが適用された。
【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算...
Cisco Talosの研究者によってLevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性が発見された。CVE-2024-28052として識別されるこの脆弱性は、CVSSスコア5.3のMEDIUMレベルで、特別な権限なしで攻撃が可能。影響を受けるバージョンはR0.40e6で、家庭や小規模オフィスのネットワークセキュリティに重大な影響を及ぼす可能性がある。
【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算...
Cisco Talosの研究者によってLevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性が発見された。CVE-2024-28052として識別されるこの脆弱性は、CVSSスコア5.3のMEDIUMレベルで、特別な権限なしで攻撃が可能。影響を受けるバージョンはR0.40e6で、家庭や小規模オフィスのネットワークセキュリティに重大な影響を及ぼす可能性がある。
【CVE-2024-10996】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のprocess_category_edit.phpファイルでSQL injection脆弱性が発見された。catパラメータの操作により攻撃が可能で、CVSS 4.0では6.9(MEDIUM)の評価。リモートから実行可能で特権不要、exploitも公開済みのため早急な対応が必要となっている。
【CVE-2024-10996】1000 Projects Bookstore Managem...
1000 Projects Bookstore Management System 1.0のprocess_category_edit.phpファイルでSQL injection脆弱性が発見された。catパラメータの操作により攻撃が可能で、CVSS 4.0では6.9(MEDIUM)の評価。リモートから実行可能で特権不要、exploitも公開済みのため早急な対応が必要となっている。
【CVE-2024-51032】Toll Tax Management System 1.0に...
MITREは2024年11月8日、Sourcecodester Toll Tax Management System 1.0において、Cross-site Scripting(XSS)の脆弱性【CVE-2024-51032】を公開した。manage_recipient.phpファイルのownerフィールドを通じて認証済みユーザーが任意のWebスクリプトを注入できる問題が発見されており、早急な対策が必要とされている。
【CVE-2024-51032】Toll Tax Management System 1.0に...
MITREは2024年11月8日、Sourcecodester Toll Tax Management System 1.0において、Cross-site Scripting(XSS)の脆弱性【CVE-2024-51032】を公開した。manage_recipient.phpファイルのownerフィールドを通じて認証済みユーザーが任意のWebスクリプトを注入できる問題が発見されており、早急な対策が必要とされている。
【CVE-2024-10988】E-Health Care System 1.0にSQLインジ...
code-projects E-Health Care System 1.0のdoctor_login.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10988として識別されるこの脆弱性は、emailパラメータの操作によってデータベースへの不正アクセスが可能となり、CVSSスコア最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、早急な対策が求められている。
【CVE-2024-10988】E-Health Care System 1.0にSQLインジ...
code-projects E-Health Care System 1.0のdoctor_login.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10988として識別されるこの脆弱性は、emailパラメータの操作によってデータベースへの不正アクセスが可能となり、CVSSスコア最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、早急な対策が求められている。
【CVE-2024-10999】CodeAstro Real Estate Managemen...
CodeAstro Real Estate Management System 1.0のAbout Us Page内のaboutadd.phpファイルに制限のないアップロードの脆弱性が発見された。CVSSスコアは4.0で5.1を記録し、リモートからの攻撃が可能であることから早急な対応が必要とされている。既に攻撃手法が公開されており、不動産管理システムという性質上、情報漏洩のリスクが高く注意が必要だ。
【CVE-2024-10999】CodeAstro Real Estate Managemen...
CodeAstro Real Estate Management System 1.0のAbout Us Page内のaboutadd.phpファイルに制限のないアップロードの脆弱性が発見された。CVSSスコアは4.0で5.1を記録し、リモートからの攻撃が可能であることから早急な対応が必要とされている。既に攻撃手法が公開されており、不動産管理システムという性質上、情報漏洩のリスクが高く注意が必要だ。
【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、...
WordPressプラグインのEasy SVG Supportにおいて、バージョン3.7以前に深刻な脆弱性が発見された。CVSSスコア6.4のこの脆弱性は、REST APIを介したSVGファイルアップロードにおける不適切な入力サニタイズとアウトプットエスケープが原因で発生している。認証済みの攻撃者がAuthor以上の権限を持っている場合に悪用が可能となっている。
【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、...
WordPressプラグインのEasy SVG Supportにおいて、バージョン3.7以前に深刻な脆弱性が発見された。CVSSスコア6.4のこの脆弱性は、REST APIを介したSVGファイルアップロードにおける不適切な入力サニタイズとアウトプットエスケープが原因で発生している。認証済みの攻撃者がAuthor以上の権限を持っている場合に悪用が可能となっている。
【CVE-2024-47314】WordPressのSunshine Photo Cart 3...
WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。
【CVE-2024-47314】WordPressのSunshine Photo Cart 3...
WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。