Tech Insights

【CVE-2024-47905】Ivanti Connect SecureとPolicy Secureに脆弱性、バッファオーバーフローによるDoS攻撃のリスクが判明

【CVE-2024-47905】Ivanti Connect SecureとPolicy Se...

IvantiはConnect SecureとPolicy Secureに存在する脆弱性【CVE-2024-47905】を公開した。この脆弱性は管理者権限を持つリモート認証済み攻撃者によってサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは4.9(MEDIUM)で、スタックベースのバッファオーバーフロー(CWE-121)に分類される。対策として最新バージョンへのアップデートが推奨されている。

【CVE-2024-47905】Ivanti Connect SecureとPolicy Se...

IvantiはConnect SecureとPolicy Secureに存在する脆弱性【CVE-2024-47905】を公開した。この脆弱性は管理者権限を持つリモート認証済み攻撃者によってサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは4.9(MEDIUM)で、スタックベースのバッファオーバーフロー(CWE-121)に分類される。対策として最新バージョンへのアップデートが推奨されている。

【CVE-2024-11007】IvantiのConnect SecureとPolicy Secureに重大な脆弱性、管理者権限での遠隔コード実行が可能に

【CVE-2024-11007】IvantiのConnect SecureとPolicy Se...

IvantiのConnect SecureとPolicy Secureに重大な脆弱性【CVE-2024-11007】が発見された。CVSSスコア9.1のこの脆弱性は、管理者権限を持つ遠隔の攻撃者がリモートコード実行を可能にするもので、Connect Secure version 22.7R2.1未満とPolicy Secure version 22.7R1.1未満が影響を受ける。早急なアップデートによる対策が必要とされている。

【CVE-2024-11007】IvantiのConnect SecureとPolicy Se...

IvantiのConnect SecureとPolicy Secureに重大な脆弱性【CVE-2024-11007】が発見された。CVSSスコア9.1のこの脆弱性は、管理者権限を持つ遠隔の攻撃者がリモートコード実行を可能にするもので、Connect Secure version 22.7R2.1未満とPolicy Secure version 22.7R1.1未満が影響を受ける。早急なアップデートによる対策が必要とされている。

【CVE-2024-10684】Kognetiks Chatbot For WordPress 2.1.7にXSS脆弱性、未認証での攻撃が可能に

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

ニチコマ合同会社が自己成長型AIサービスを発表、社内問い合わせ業務の自動化で業務効率が大幅に向上

ニチコマ合同会社が自己成長型AIサービスを発表、社内問い合わせ業務の自動化で業務効率が大幅に向上

ニチコマ合同会社が社内問い合わせ業務を自動化するAIサービス「オフィスの知恵子さん」を提供開始。初期設定不要で普段の質問と回答から自然に学習する画期的な仕組みを実現。2025年第1四半期にはSlackやChatworkとの連携も予定しており、既存のビジネスツールとシームレスな統合が可能になる。ライトプランは月額50,000円から利用可能だ。

ニチコマ合同会社が自己成長型AIサービスを発表、社内問い合わせ業務の自動化で業務効率が大幅に向上

ニチコマ合同会社が社内問い合わせ業務を自動化するAIサービス「オフィスの知恵子さん」を提供開始。初期設定不要で普段の質問と回答から自然に学習する画期的な仕組みを実現。2025年第1四半期にはSlackやChatworkとの連携も予定しており、既存のビジネスツールとシームレスな統合が可能になる。ライトプランは月額50,000円から利用可能だ。

【CVE-2024-51843】WordPressのHorsemanagerプラグインにSQL Injection脆弱性が発見、深刻度8.5の高リスク問題に

【CVE-2024-51843】WordPressのHorsemanagerプラグインにSQL...

WordPressのHorsemanagerプラグインでSQL Injection脆弱性が発見された。CVE-2024-51843として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える。CVSSスコア8.5と高い深刻度を示しており、ネットワーク経由での攻撃が可能なため、早急なアップデートが推奨されている。Patchstack Allianceのメンバーによって発見された本脆弱性は、データベースの改ざんや情報漏洩のリスクを含んでいる。

【CVE-2024-51843】WordPressのHorsemanagerプラグインにSQL...

WordPressのHorsemanagerプラグインでSQL Injection脆弱性が発見された。CVE-2024-51843として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える。CVSSスコア8.5と高い深刻度を示しており、ネットワーク経由での攻撃が可能なため、早急なアップデートが推奨されている。Patchstack Allianceのメンバーによって発見された本脆弱性は、データベースの改ざんや情報漏洩のリスクを含んでいる。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証での攻撃が可能に

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-52352】WordPress Postcasa Shortcode 1.0にXSS脆弱性が発見、中程度の深刻度で対策が必要に

【CVE-2024-52352】WordPress Postcasa Shortcode 1....

WordPressプラグインPostcasa Shortcode 1.0以下にクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-52352として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されており、特権レベルとユーザーインタラクションが必要となる。機密性・整合性・可用性のすべてに低レベルの影響が想定されており、早急な対策が求められる。

【CVE-2024-52352】WordPress Postcasa Shortcode 1....

WordPressプラグインPostcasa Shortcode 1.0以下にクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-52352として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されており、特権レベルとユーザーインタラクションが必要となる。機密性・整合性・可用性のすべてに低レベルの影響が想定されており、早急な対策が求められる。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプリケーションの機密性と整合性に影響

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3(MEDIUM)を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3(MEDIUM)を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

BeibointelligentがAI翻訳イヤホンVORMOR V13を発表、139言語対応で高精度な双方向翻訳を実現

BeibointelligentがAI翻訳イヤホンVORMOR V13を発表、139言語対応で...

Beibo Intelligent Technology社がAI翻訳機能搭載スマートイヤホン「VORMOR V13」を発表。139言語対応の双方向翻訳機能を搭載し、最短0.3秒での言語変換と最大98%の翻訳精度を実現。軽量6.8gで最大8時間使用可能な実用的な設計により、ビジネスから観光まで幅広い用途に対応。2024年11月15日よりMakuakeでクラウドファンディングを開始。

BeibointelligentがAI翻訳イヤホンVORMOR V13を発表、139言語対応で...

Beibo Intelligent Technology社がAI翻訳機能搭載スマートイヤホン「VORMOR V13」を発表。139言語対応の双方向翻訳機能を搭載し、最短0.3秒での言語変換と最大98%の翻訳精度を実現。軽量6.8gで最大8時間使用可能な実用的な設計により、ビジネスから観光まで幅広い用途に対応。2024年11月15日よりMakuakeでクラウドファンディングを開始。

robosenがフラッグシップメガトロンを発売、完全自動変形ロボットの新技術を搭載して渋谷で初披露へ

robosenがフラッグシップメガトロンを発売、完全自動変形ロボットの新技術を搭載して渋谷で初披露へ

Robosen Japanは2024年11月21日にSOOTANG HOBBY OMOTESANDOにて完全自動変形ロボット「フラッグシップメガトロン」の発売発表会を開催する。音声コマンドと専用アプリで操作可能な二足歩行ロボットで、価格は179,850円。タッチインタラクション機能や戦車モードへの完全自動変形など、新機能を多数搭載している。

robosenがフラッグシップメガトロンを発売、完全自動変形ロボットの新技術を搭載して渋谷で初披露へ

Robosen Japanは2024年11月21日にSOOTANG HOBBY OMOTESANDOにて完全自動変形ロボット「フラッグシップメガトロン」の発売発表会を開催する。音声コマンドと専用アプリで操作可能な二足歩行ロボットで、価格は179,850円。タッチインタラクション機能や戦車モードへの完全自動変形など、新機能を多数搭載している。

【CVE-2024-11097】Student Record Management System 1.0に無限ループの脆弱性、教育現場のシステム運用に影響

【CVE-2024-11097】Student Record Management Syste...

SourceCodester Student Record Management System 1.0のMain Menuコンポーネントに無限ループの脆弱性が発見された。CVE-2024-11097として識別されるこの脆弱性は、CVSSスコア4.8でMedium評価とされており、ローカル環境での攻撃が可能。既にexploitが公開されており、教育機関での学生情報管理に支障をきたす可能性があるため、早急な対応が求められる。

【CVE-2024-11097】Student Record Management Syste...

SourceCodester Student Record Management System 1.0のMain Menuコンポーネントに無限ループの脆弱性が発見された。CVE-2024-11097として識別されるこの脆弱性は、CVSSスコア4.8でMedium評価とされており、ローカル環境での攻撃が可能。既にexploitが公開されており、教育機関での学生情報管理に支障をきたす可能性があるため、早急な対応が求められる。

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースのバッファオーバーフロー脆弱性が発見、リモート攻撃のリスクに警鐘

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースの...

TendaのAC10 16.03.10.13において、/goform/fast_setting_wifi_setファイルのFUN_0044db3c関数に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11061】として識別され、timeZoneパラメータの操作によってスタックベースのバッファオーバーフローが発生する可能性がある。CVSS 4.0で8.7というハイレベルの深刻度が付与されており、リモートからの攻撃が可能な状態となっている。

【CVE-2024-11061】TendaのAC10 16.03.10.13でスタックベースの...

TendaのAC10 16.03.10.13において、/goform/fast_setting_wifi_setファイルのFUN_0044db3c関数に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11061】として識別され、timeZoneパラメータの操作によってスタックベースのバッファオーバーフローが発生する可能性がある。CVSS 4.0で8.7というハイレベルの深刻度が付与されており、リモートからの攻撃が可能な状態となっている。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発見、バージョン1.0以前のユーザーに影響

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-51820】L Squared Hub WP 1.0にSQLインジェクションの脆弱性が発見、高リスクで早急な対応が必要に

【CVE-2024-51820】L Squared Hub WP 1.0にSQLインジェクショ...

WordPressプラグインL Squared Hub WP 1.0以前のバージョンにSQLインジェクションの脆弱性が発見された。CVE-2024-51820として識別されたこの脆弱性は、CVSS 3.1で8.5の高いスコアを記録しており、低権限での攻撃が可能でユーザー操作も不要なため、早急な対策が求められている。現時点で自動化された攻撃は確認されていないものの、データベースへの不正アクセスや情報漏洩のリスクが指摘されている。

【CVE-2024-51820】L Squared Hub WP 1.0にSQLインジェクショ...

WordPressプラグインL Squared Hub WP 1.0以前のバージョンにSQLインジェクションの脆弱性が発見された。CVE-2024-51820として識別されたこの脆弱性は、CVSS 3.1で8.5の高いスコアを記録しており、低権限での攻撃が可能でユーザー操作も不要なため、早急な対策が求められている。現時点で自動化された攻撃は確認されていないものの、データベースへの不正アクセスや情報漏洩のリスクが指摘されている。

【CVE-2024-49525】Adobe Substance3D - Painterに深刻な脆弱性、ユーザー権限でコード実行の可能性

【CVE-2024-49525】Adobe Substance3D - Painterに深刻な...

Adobe Substance3D - Painter 10.1.0以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク評価であり、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。この脆弱性はCVE-2024-49525として識別され、現在のユーザー権限でコードが実行される可能性があるため、早急な対応が求められている。

【CVE-2024-49525】Adobe Substance3D - Painterに深刻な...

Adobe Substance3D - Painter 10.1.0以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク評価であり、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。この脆弱性はCVE-2024-49525として識別され、現在のユーザー権限でコードが実行される可能性があるため、早急な対応が求められている。

KEENONとソフトバンクロボティクスが配膳ロボット3機種を共同展示、飲食店DXの加速に期待

KEENONとソフトバンクロボティクスが配膳ロボット3機種を共同展示、飲食店DXの加速に期待

KEENON Roboticsとソフトバンクロボティクスが第3回スマートレストランEXPO東京で配膳ロボット3機種を共同展示する。狭所対応型のKeenbot T8、大容量配膳可能なKeenbot T5、サイネージ搭載型DINERBOT T10により、飲食店のDX推進と人手不足解消を目指す。特にKeenbot T8は最小通路幅55cmでの運用を実現し、日本の店舗事情に適応した設計となっている。

KEENONとソフトバンクロボティクスが配膳ロボット3機種を共同展示、飲食店DXの加速に期待

KEENON Roboticsとソフトバンクロボティクスが第3回スマートレストランEXPO東京で配膳ロボット3機種を共同展示する。狭所対応型のKeenbot T8、大容量配膳可能なKeenbot T5、サイネージ搭載型DINERBOT T10により、飲食店のDX推進と人手不足解消を目指す。特にKeenbot T8は最小通路幅55cmでの運用を実現し、日本の店舗事情に適応した設計となっている。

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可機能の脆弱性、アクセス制御の不備により権限管理に問題

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可...

WordPressプラグインDepicter Sliderにおいて、アクセス制御リストによって適切に制限されていない機能にアクセスできる脆弱性が発見された。バージョン3.2.2以前が影響を受け、CVSSスコアは5.3でミディアムレベルの深刻度とされている。この問題はCWE-862のMissing Authorizationに分類され、Patchstack社を通じて報告された。修正版のバージョン3.5.0が公開されており、ユーザーは早急なアップデートが推奨されている。

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可...

WordPressプラグインDepicter Sliderにおいて、アクセス制御リストによって適切に制限されていない機能にアクセスできる脆弱性が発見された。バージョン3.2.2以前が影響を受け、CVSSスコアは5.3でミディアムレベルの深刻度とされている。この問題はCWE-862のMissing Authorizationに分類され、Patchstack社を通じて報告された。修正版のバージョン3.5.0が公開されており、ユーザーは早急なアップデートが推奨されている。

【CVE-2024-51557】Wave 2.0にOTPレート制限の欠如による脆弱性、認証済み攻撃者によるOTPボミングのリスクが深刻化

【CVE-2024-51557】Wave 2.0にOTPレート制限の欠如による脆弱性、認証済み...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントにOTP要求のレート制限が実装されていない脆弱性が発見された。CVE-2024-51557として識別されるこの脆弱性は、認証された攻撃者による大量のOTP要求送信を可能にし、標的システムへのOTPボミングやフラッディング攻撃のリスクをもたらす。Wave 2.0のバージョン1.1.7未満が影響を受け、CVSSスコア7.1の高リスクと評価されている。

【CVE-2024-51557】Wave 2.0にOTPレート制限の欠如による脆弱性、認証済み...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントにOTP要求のレート制限が実装されていない脆弱性が発見された。CVE-2024-51557として識別されるこの脆弱性は、認証された攻撃者による大量のOTP要求送信を可能にし、標的システムへのOTPボミングやフラッディング攻撃のリスクをもたらす。Wave 2.0のバージョン1.1.7未満が影響を受け、CVSSスコア7.1の高リスクと評価されている。

MirrativがRoblox向け広告ソリューションを提供開始、ゆるバースのコミュニティ形成とLTV向上を推進

MirrativがRoblox向け広告ソリューションを提供開始、ゆるバースのコミュニティ形成と...

株式会社ミラティブが、メタバースプラットフォームRoblox内のコンテンツ向け広告ソリューションの提供を開始した。第1弾としてRoblox上のバーチャル空間『ゆるバース』のゲーム『ゆるキャラクローン!』をサポートし、配信&視聴キャンペーンとウィークリーミッションを展開する。参加者はミラティブコインなどの報酬を獲得可能で、コミュニティの強化とLTVの向上を目指す。

MirrativがRoblox向け広告ソリューションを提供開始、ゆるバースのコミュニティ形成と...

株式会社ミラティブが、メタバースプラットフォームRoblox内のコンテンツ向け広告ソリューションの提供を開始した。第1弾としてRoblox上のバーチャル空間『ゆるバース』のゲーム『ゆるキャラクローン!』をサポートし、配信&視聴キャンペーンとウィークリーミッションを展開する。参加者はミラティブコインなどの報酬を獲得可能で、コミュニティの強化とLTVの向上を目指す。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性、Contributor権限での悪用が可能に

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

PICOがOS 5.12.0をリリース、マルチデバイス接続機能とMR開発ツールの強化でXR体験が進化

PICOがOS 5.12.0をリリース、マルチデバイス接続機能とMR開発ツールの強化でXR体験が進化

Pico Technology Japan株式会社がPICO OS 5.12.0をリリースし、AndroidとiOSのスマートフォン画面ミラーリングやPC同時接続によるマルチデバイス機能を強化。さらにトラッキング精度の向上、MRゲームの追加、開発ツールの拡充により、XRプラットフォームとしての機能が大幅に進化。ユーザー体験の向上とMRエコシステムの発展に貢献する。

PICOがOS 5.12.0をリリース、マルチデバイス接続機能とMR開発ツールの強化でXR体験が進化

Pico Technology Japan株式会社がPICO OS 5.12.0をリリースし、AndroidとiOSのスマートフォン画面ミラーリングやPC同時接続によるマルチデバイス機能を強化。さらにトラッキング精度の向上、MRゲームの追加、開発ツールの拡充により、XRプラットフォームとしての機能が大幅に進化。ユーザー体験の向上とMRエコシステムの発展に貢献する。

【CVE-2024-51510】HarmonyOSとEMUIのロゴモジュールに脆弱性、機密性への影響が深刻に

【CVE-2024-51510】HarmonyOSとEMUIのロゴモジュールに脆弱性、機密性へ...

HuaweiのHarmonyOSとEMUIのロゴモジュールにおいてOut-of-bounds access脆弱性が発見された。HarmonyOSの5.0.0、4.2.0、4.0.0およびEMUI 14.0.0が影響を受け、CVSSスコアは7.6(High)と評価されている。物理的なアクセスは必要だが特権は不要で、機密性に重大な影響を与える可能性がある深刻な脆弱性となっている。

【CVE-2024-51510】HarmonyOSとEMUIのロゴモジュールに脆弱性、機密性へ...

HuaweiのHarmonyOSとEMUIのロゴモジュールにおいてOut-of-bounds access脆弱性が発見された。HarmonyOSの5.0.0、4.2.0、4.0.0およびEMUI 14.0.0が影響を受け、CVSSスコアは7.6(High)と評価されている。物理的なアクセスは必要だが特権は不要で、機密性に重大な影響を与える可能性がある深刻な脆弱性となっている。

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta.36で修正完了し安全性が向上

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta....

Nginx UIのバージョン2.0.0-beta.36未満において、ログパス制御の脆弱性が発見された。この脆弱性は【CVE-2024-49367】として識別され、/api/configsエンドポイントでのディレクトリトラバーサル攻撃により、サーバー上のファイル内容が読み取り可能となっていた。CVSS v4.0で5.5(Medium)と評価され、早急な対応が推奨される。開発元の0xJackyは2.0.0-beta.36で修正を実施している。

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta....

Nginx UIのバージョン2.0.0-beta.36未満において、ログパス制御の脆弱性が発見された。この脆弱性は【CVE-2024-49367】として識別され、/api/configsエンドポイントでのディレクトリトラバーサル攻撃により、サーバー上のファイル内容が読み取り可能となっていた。CVSS v4.0で5.5(Medium)と評価され、早急な対応が推奨される。開発元の0xJackyは2.0.0-beta.36で修正を実施している。

【CVE-2024-47255】2N Access Commander 3.1.1.2に特権昇格の脆弱性、root権限での任意コード実行のリスクに警鐘

【CVE-2024-47255】2N Access Commander 3.1.1.2に特権昇...

2N社が2N Access Commander 3.1.1.2およびそれ以前のバージョンにおいて特権昇格の脆弱性【CVE-2024-47255】を発見したことを公開した。この脆弱性によりローカル攻撃者がシステムの特権を昇格させ、root権限で任意のコードを実行できる可能性がある。CVSSスコアは4.7(Medium)で、攻撃の複雑さは高いものの、ユーザーインタラクションは不要とされている。

【CVE-2024-47255】2N Access Commander 3.1.1.2に特権昇...

2N社が2N Access Commander 3.1.1.2およびそれ以前のバージョンにおいて特権昇格の脆弱性【CVE-2024-47255】を発見したことを公開した。この脆弱性によりローカル攻撃者がシステムの特権を昇格させ、root権限で任意のコードを実行できる可能性がある。CVSSスコアは4.7(Medium)で、攻撃の複雑さは高いものの、ユーザーインタラクションは不要とされている。

【CVE-2024-8792】Subscribe to Comments 2.3に反射型XSS脆弱性、ユーザーの情報漏洩のリスクが発生

【CVE-2024-8792】Subscribe to Comments 2.3に反射型XSS...

WordPressプラグインのSubscribe to Comments 2.3以前のバージョンにおいて、反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコアは6.1のMedium評価で、認証不要でURLパラメータを介した攻撃が可能となっている。ユーザーインタラクションは必要だが、攻撃成功時には重大な影響を及ぼす可能性があるため、早急な対策が必要だ。

【CVE-2024-8792】Subscribe to Comments 2.3に反射型XSS...

WordPressプラグインのSubscribe to Comments 2.3以前のバージョンにおいて、反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコアは6.1のMedium評価で、認証不要でURLパラメータを介した攻撃が可能となっている。ユーザーインタラクションは必要だが、攻撃成功時には重大な影響を及ぼす可能性があるため、早急な対策が必要だ。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、ファイルシステムへの不正アクセスが可能に

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1(High)と評価されており、早急な対応が推奨される。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1(High)と評価されており、早急な対応が推奨される。

【CVE-2024-10791】Hospital Appointment System 1.0にSQL injection脆弱性、医療システムのセキュリティに警鐘

【CVE-2024-10791】Hospital Appointment System 1.0...

CodezipsのHospital Appointment System 1.0においてSQL injectionの重大な脆弱性が発見された。doctorAction.phpファイルのName引数に対する入力値の無効化が不十分であり、リモートからの攻撃が可能な状態となっている。CVSSスコアは最大7.3を記録しており、早急な対応が必要とされている。医療システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2024-10791】Hospital Appointment System 1.0...

CodezipsのHospital Appointment System 1.0においてSQL injectionの重大な脆弱性が発見された。doctorAction.phpファイルのName引数に対する入力値の無効化が不十分であり、リモートからの攻撃が可能な状態となっている。CVSSスコアは最大7.3を記録しており、早急な対応が必要とされている。医療システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2024-10764】Codezips Online Institute Management System 1.0に無制限アップロードの脆弱性、リモート攻撃のリスクに注意

【CVE-2024-10764】Codezips Online Institute Manag...

Codezips社のOnline Institute Management System 1.0において、画像アップロード機能に重大な脆弱性が発見された。CVE-2024-10764として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)と評価され、無制限アップロードやアクセス制御の不備など複数のセキュリティ上の問題点が指摘されている。リモートからの攻撃が可能であり、早急な対策が求められる。

【CVE-2024-10764】Codezips Online Institute Manag...

Codezips社のOnline Institute Management System 1.0において、画像アップロード機能に重大な脆弱性が発見された。CVE-2024-10764として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)と評価され、無制限アップロードやアクセス制御の不備など複数のセキュリティ上の問題点が指摘されている。リモートからの攻撃が可能であり、早急な対策が求められる。

【CVE-2024-10751】Codezips ISP Management System 1.0にSQL injection脆弱性、認証済みユーザーによる遠隔攻撃が可能な状態に

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。

ForgersがMeta Quest 3向けMRジオラマアプリを開発、福島ミドリ安全のショールームに導入しインタラクティブな体験を実現へ

ForgersがMeta Quest 3向けMRジオラマアプリを開発、福島ミドリ安全のショール...

株式会社ForgersがMeta Quest 3向けMRジオラマアプリケーションを開発し、2024年11月6日にリニューアルオープンする福島ミドリ安全の福島ショールームに導入することを発表した。このアプリケーションはエナジアと連携して開発され、ショールーム3DデータのMR表示や設備の説明パネル、動画表示機能を備え、XRで未来のエネルギーや安全のあり方を体験できるインタラクティブな展示を実現している。

ForgersがMeta Quest 3向けMRジオラマアプリを開発、福島ミドリ安全のショール...

株式会社ForgersがMeta Quest 3向けMRジオラマアプリケーションを開発し、2024年11月6日にリニューアルオープンする福島ミドリ安全の福島ショールームに導入することを発表した。このアプリケーションはエナジアと連携して開発され、ショールーム3DデータのMR表示や設備の説明パネル、動画表示機能を備え、XRで未来のエネルギーや安全のあり方を体験できるインタラクティブな展示を実現している。