Tech Insights

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限での任意ファイル読み取りとSSRF攻撃のリスクが発覚

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...

Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...

Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイトスクリプティング攻撃のリスクが浮上

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-52429】WordPress WP Quick Setup 2.0に危険なファイルアップロードの脆弱性、リモートコード実行の恐れ

【CVE-2024-52429】WordPress WP Quick Setup 2.0に危険...

WordPressプラグインWP Quick Setup 2.0以前のバージョンにおいて、危険なファイルアップロードを可能にする深刻な脆弱性が発見された。CVE-2024-52429として識別されたこの脆弱性は、CVSSスコア9.9のクリティカルと評価され、攻撃者による任意のプラグインやテーマのインストールを通じて、リモートでのコード実行を可能にする危険性が指摘されている。

【CVE-2024-52429】WordPress WP Quick Setup 2.0に危険...

WordPressプラグインWP Quick Setup 2.0以前のバージョンにおいて、危険なファイルアップロードを可能にする深刻な脆弱性が発見された。CVE-2024-52429として識別されたこの脆弱性は、CVSSスコア9.9のクリティカルと評価され、攻撃者による任意のプラグインやテーマのインストールを通じて、リモートでのコード実行を可能にする危険性が指摘されている。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が発見、ExamplePluginのデバイスNotes機能に深刻な影響

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バージョンでパッチを公開

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バ...

Red Hat社がMoodleの認可に関する脆弱性【CVE-2024-48897】を公開した。RSSフィードの編集・削除権限の確認が不十分で、未認可ユーザーによる不正操作のリスクが存在する。影響を受けるバージョンは4.4.0-4.4.4、4.3.0-4.3.8、4.2.0-4.2.11、4.1.0-4.1.14および4.1.0以前で、CVSSスコアは6.5(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バ...

Red Hat社がMoodleの認可に関する脆弱性【CVE-2024-48897】を公開した。RSSフィードの編集・削除権限の確認が不十分で、未認可ユーザーによる不正操作のリスクが存在する。影響を受けるバージョンは4.4.0-4.4.4、4.3.0-4.3.8、4.2.0-4.2.11、4.1.0-4.1.14および4.1.0以前で、CVSSスコアは6.5(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱性、バージョン10.0.17で対策を実施

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱...

GitHubは2024年11月15日、資産およびIT管理ソフトウェアパッケージGLPIにおいて、認証済みユーザーによるSQL injectionの脆弱性を公開した。CVE-2024-45608として識別されるこの脆弱性は、CVSS v3.1基本値6.5(Medium)と評価されており、バージョン9.5.0以上10.0.17未満のGLPIが影響を受ける。対策としてバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱...

GitHubは2024年11月15日、資産およびIT管理ソフトウェアパッケージGLPIにおいて、認証済みユーザーによるSQL injectionの脆弱性を公開した。CVE-2024-45608として識別されるこの脆弱性は、CVSS v3.1基本値6.5(Medium)と評価されており、バージョン9.5.0以上10.0.17未満のGLPIが影響を受ける。対策としてバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へのアップグレードによる対応が必要に

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Traversal脆弱性、webshellアップロードによる任意コード実行の危険性

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...

TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...

TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。

一般社団法人ノーコード推進協会が新理事体制で3期目を開始、IT業界のリーダーたちが技術の民主化を推進

一般社団法人ノーコード推進協会が新理事体制で3期目を開始、IT業界のリーダーたちが技術の民主化を推進

一般社団法人ノーコード推進協会は2024年11月18日に第3回定時総会を開催し、新体制での3期目をスタートした。中山五輪男氏を代表理事とし、8名体制へと拡大。アステリア株式会社やサイボウズ株式会社のトップがファウンダーとして参画し、ノーコードによる開発手法の普及啓発やデジタル人材の育成を推進している。

一般社団法人ノーコード推進協会が新理事体制で3期目を開始、IT業界のリーダーたちが技術の民主化を推進

一般社団法人ノーコード推進協会は2024年11月18日に第3回定時総会を開催し、新体制での3期目をスタートした。中山五輪男氏を代表理事とし、8名体制へと拡大。アステリア株式会社やサイボウズ株式会社のトップがファウンダーとして参画し、ノーコードによる開発手法の普及啓発やデジタル人材の育成を推進している。

AmazonがEcho Show 15(第2世代)を発表、スマートホーム機能とFire TV機能の強化で利便性が向上

AmazonがEcho Show 15(第2世代)を発表、スマートホーム機能とFire TV機...

AmazonはFire TV機能とAlexa対応音声認識リモコンを搭載したEcho Show 15(第2世代)を47,980円で2024年11月21日より発売する。スマートホーム連携も強化され、Matter対応やWi-Fi 6E対応によりデバイスの設定や操作が容易になった。また、13MPカメラの搭載とオーディオ性能の向上により、ビデオ通話や動画視聴の体験も大幅に改善されている。

AmazonがEcho Show 15(第2世代)を発表、スマートホーム機能とFire TV機...

AmazonはFire TV機能とAlexa対応音声認識リモコンを搭載したEcho Show 15(第2世代)を47,980円で2024年11月21日より発売する。スマートホーム連携も強化され、Matter対応やWi-Fi 6E対応によりデバイスの設定や操作が容易になった。また、13MPカメラの搭載とオーディオ性能の向上により、ビデオ通話や動画視聴の体験も大幅に改善されている。

MessengerがAI背景とHDビデオ通話などの4つの新機能を追加、コミュニケーション体験の向上を実現

MessengerがAI背景とHDビデオ通話などの4つの新機能を追加、コミュニケーション体験の...

米Metaは11月20日、Messengerにリアルタイムで変化するAI背景機能、HDビデオ通話、バックグラウンドノイズ抑制、Siriを利用したハンズフリー操作の4つの新機能を追加した。AI背景では360度の没入感のある通話環境を実現し、HDビデオ通話とノイズ抑制機能により、クリアな音声とビジュアルでのコミュニケーションが可能になっている。

MessengerがAI背景とHDビデオ通話などの4つの新機能を追加、コミュニケーション体験の...

米Metaは11月20日、Messengerにリアルタイムで変化するAI背景機能、HDビデオ通話、バックグラウンドノイズ抑制、Siriを利用したハンズフリー操作の4つの新機能を追加した。AI背景では360度の没入感のある通話環境を実現し、HDビデオ通話とノイズ抑制機能により、クリアな音声とビジュアルでのコミュニケーションが可能になっている。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認証不要で任意のスクリプト実行が可能に

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-11257】Beauty Parlour Management System 1.0でSQLインジェクションの脆弱性が発見、パスワードリセット機能に深刻な問題

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバーフローの脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...

Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...

Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証済み攻撃者によるコマンド実行のリスクが浮上

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レポートページでの攻撃が可能に

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、アップグレードによる対応が必要に

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリスクに対応するアップデートを実施

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正済み

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11にクロスサイトスクリプティングの脆弱性、情報漏洩のリスクに警戒

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24.10.0で修正完了

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXSS攻撃が可能に

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りのリスクで緊急アップデートが必要に

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-11258】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性、管理者ページが攻撃の対象に

【CVE-2024-11258】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-11258】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にSQLインジェクション脆弱性が発見、データベースへの不正アクセスのリスクが浮上

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...

Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...

Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆弱性、深刻度は中程度でCVSS値6.5を記録

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正完了へ

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port Settings画面での不正なJavaScript実行が可能に

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、クロスサイトスクリプティング攻撃のリスクが判明

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...

WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...

WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バージョン10.0.17で対策完了

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...

資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...

資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。