Tech Insights

【CVE-2024-43627】Windows Telephony Serviceに重大な脆弱性、複数バージョンのWindowsに影響

【CVE-2024-43627】Windows Telephony Serviceに重大な脆弱...

Microsoftは2024年11月12日、Windows Telephony ServiceにCVSSスコア8.8の重大な脆弱性を公開した。この脆弱性は複数のWindowsバージョンに影響し、リモートからのコード実行を可能にする。Windows 10、Windows 11、Windows Serverなど広範なバージョンが影響を受け、早急なパッチ適用が推奨される。

【CVE-2024-43627】Windows Telephony Serviceに重大な脆弱...

Microsoftは2024年11月12日、Windows Telephony ServiceにCVSSスコア8.8の重大な脆弱性を公開した。この脆弱性は複数のWindowsバージョンに影響し、リモートからのコード実行を可能にする。Windows 10、Windows 11、Windows Serverなど広範なバージョンが影響を受け、早急なパッチ適用が推奨される。

アンベル株式会社がAirTag対応折りたたみ傘ハンドルを開発、使い捨て傘からの脱却による環境問題解決へ向けた新たな一歩

アンベル株式会社がAirTag対応折りたたみ傘ハンドルを開発、使い捨て傘からの脱却による環境問...

アンベル株式会社が、Apple社の紛失防止デバイスAirTagを活用した革新的な傘ハンドル「AirTag対応 折りたたみ傘ハンドル」を開発。高精度GPSと「探す」アプリの連携により、紛失した傘の位置を正確に把握し再び手元に戻すことが可能に。使い捨て傘による環境問題の解決を目指し、自社製品だけでなく一般的な折りたたみ傘にも対応した仕様を実現。2024年11月20日より販売開始予定。

アンベル株式会社がAirTag対応折りたたみ傘ハンドルを開発、使い捨て傘からの脱却による環境問...

アンベル株式会社が、Apple社の紛失防止デバイスAirTagを活用した革新的な傘ハンドル「AirTag対応 折りたたみ傘ハンドル」を開発。高精度GPSと「探す」アプリの連携により、紛失した傘の位置を正確に把握し再び手元に戻すことが可能に。使い捨て傘による環境問題の解決を目指し、自社製品だけでなく一般的な折りたたみ傘にも対応した仕様を実現。2024年11月20日より販売開始予定。

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処理に深刻な問題

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...

GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...

GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。

【CVE-2024-38255】Microsoft SQL Serverに深刻な脆弱性、複数バージョンで遠隔コード実行のリスクが発覚

【CVE-2024-38255】Microsoft SQL Serverに深刻な脆弱性、複数バ...

Microsoftは2024年11月12日、SQL Server Native Clientにおける遠隔コード実行の脆弱性を公開した。CVSSスコア8.8の高リスクとして評価されたこの脆弱性は、Microsoft SQL Server 2016 Service Pack 3、SQL Server 2017、SQL Server 2019など複数のバージョンに影響を及ぼす。ヒープベースのバッファオーバーフロー(CWE-122)として分類され、早急な対応が必要な状況だ。

【CVE-2024-38255】Microsoft SQL Serverに深刻な脆弱性、複数バ...

Microsoftは2024年11月12日、SQL Server Native Clientにおける遠隔コード実行の脆弱性を公開した。CVSSスコア8.8の高リスクとして評価されたこの脆弱性は、Microsoft SQL Server 2016 Service Pack 3、SQL Server 2017、SQL Server 2019など複数のバージョンに影響を及ぼす。ヒープベースのバッファオーバーフロー(CWE-122)として分類され、早急な対応が必要な状況だ。

【CVE-2024-52306】Laravel-Backpack FileManagerにデシリアライゼーションの脆弱性、バージョン3.0.9で修正完了

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSRF脆弱性、Stored XSSの実行が可能な深刻な問題に

【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSR...

WordPressプラグインのAppointmind 4.0.0以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、攻撃者がネットワーク経由でStored XSSを実行可能。GentleSourceは対策版となるバージョン4.1.0をリリースしており、管理者は直ちにアップデートを実施することが推奨されている。

【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSR...

WordPressプラグインのAppointmind 4.0.0以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、攻撃者がネットワーク経由でStored XSSを実行可能。GentleSourceは対策版となるバージョン4.1.0をリリースしており、管理者は直ちにアップデートを実施することが推奨されている。

【CVE-2024-48284】PHPGurukul User Registration 3.2にXSS脆弱性が発見、POSTリクエストでの悪意のあるスクリプト実行が可能に

【CVE-2024-48284】PHPGurukul User Registration 3....

PHPGurukul User Registration & Login and User Management System 3.2において、/search-result.phpページのsearchkeyパラメータを介したリフレクテッドXSS脆弱性が発見された。CISAの評価によるとCVSS v3.1で深刻度は6.1(MEDIUM)とされ、攻撃にはネットワークアクセスと低特権が必要。この脆弱性はCWE-79に分類され、Webページ生成時の入力の不適切な無害化が原因となっている。

【CVE-2024-48284】PHPGurukul User Registration 3....

PHPGurukul User Registration & Login and User Management System 3.2において、/search-result.phpページのsearchkeyパラメータを介したリフレクテッドXSS脆弱性が発見された。CISAの評価によるとCVSS v3.1で深刻度は6.1(MEDIUM)とされ、攻撃にはネットワークアクセスと低特権が必要。この脆弱性はCWE-79に分類され、Webページ生成時の入力の不適切な無害化が原因となっている。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバーフローの脆弱性、セグメンテーション違反のリスクが判明

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

【CVE-2024-21541】dom-iteratorに任意コード実行の脆弱性、Function構文の不適切な使用により深刻な影響の可能性

【CVE-2024-21541】dom-iteratorに任意コード実行の脆弱性、Functi...

Snykは2024年11月13日、dom-iteratorパッケージのすべてのバージョンに任意コード実行の脆弱性を発見したことを公開した。CVSSv3.1で基本スコア7.3の高リスクと評価されており、Function構文を使用する際の入力値のサニタイズが不十分であることから、攻撃者によって制御された入力値がFunction構文に到達する可能性がある。

【CVE-2024-21541】dom-iteratorに任意コード実行の脆弱性、Functi...

Snykは2024年11月13日、dom-iteratorパッケージのすべてのバージョンに任意コード実行の脆弱性を発見したことを公開した。CVSSv3.1で基本スコア7.3の高リスクと評価されており、Function構文を使用する際の入力値のサニタイズが不十分であることから、攻撃者によって制御された入力値がFunction構文に到達する可能性がある。

【CVE-2024-11237】TP-Link VN020 F3v(T)に重大な脆弱性、バッファオーバーフローによる遠隔攻撃のリスクが発覚

【CVE-2024-11237】TP-Link VN020 F3v(T)に重大な脆弱性、バッフ...

TP-Link VN020 F3v(T)のDHCP DISCOVER Packet Parserに重大な脆弱性が発見された。CVE-2024-11237として特定されたこの脆弱性は、スタックベースのバッファオーバーフローを引き起こす可能性があり、遠隔からの攻撃が可能。認証や特権が不要なため、深刻度の高い脆弱性としてCVSSスコア8.7を記録している。早急な対策が求められる状況だ。

【CVE-2024-11237】TP-Link VN020 F3v(T)に重大な脆弱性、バッフ...

TP-Link VN020 F3v(T)のDHCP DISCOVER Packet Parserに重大な脆弱性が発見された。CVE-2024-11237として特定されたこの脆弱性は、スタックベースのバッファオーバーフローを引き起こす可能性があり、遠隔からの攻撃が可能。認証や特権が不要なため、深刻度の高い脆弱性としてCVSSスコア8.7を記録している。早急な対策が求められる状況だ。

ELSOUL LABO B.V.がSolanaメインネットで手数料0%のバリデータ運用を開始、ネットワークの分散化とセキュリティ向上に貢献

ELSOUL LABO B.V.がSolanaメインネットで手数料0%のバリデータ運用を開始、...

ELSOUL LABO B.V.とEpics DAOは、Solanaエコシステムのセキュリティ向上とユーザーに最大TrueAPYを提供するため、メインネットで手数料完全0%のバリデータ運用を開始した。Jitoクライアントの採用でスパムトランザクションを削減し、高性能ハードウェアと最適なロケーションでの運用により、効率的なトランザクション処理を実現。ステーキングの分散化を促進し、ネットワークの健全性向上を目指す。

ELSOUL LABO B.V.がSolanaメインネットで手数料0%のバリデータ運用を開始、...

ELSOUL LABO B.V.とEpics DAOは、Solanaエコシステムのセキュリティ向上とユーザーに最大TrueAPYを提供するため、メインネットで手数料完全0%のバリデータ運用を開始した。Jitoクライアントの採用でスパムトランザクションを削減し、高性能ハードウェアと最適なロケーションでの運用により、効率的なトランザクション処理を実現。ステーキングの分散化を促進し、ネットワークの健全性向上を目指す。

【CVE-2024-11212】SourceCodester Best Employee Management System 1.0にSQLインジェクションの脆弱性が発見、早急な対策が必要に

【CVE-2024-11212】SourceCodester Best Employee Ma...

SourceCodesterのBest Employee Management System 1.0のfetch_product_details.phpファイルにSQLインジェクションの脆弱性が発見された。barcodeパラメータを操作することでリモートからの攻撃が可能で、既に一般に公開されている。CVSSスコアは中程度だが、認証情報があれば攻撃可能なため、早急なパッチ適用が推奨される。機密性・整合性・可用性への影響は限定的と評価されている。

【CVE-2024-11212】SourceCodester Best Employee Ma...

SourceCodesterのBest Employee Management System 1.0のfetch_product_details.phpファイルにSQLインジェクションの脆弱性が発見された。barcodeパラメータを操作することでリモートからの攻撃が可能で、既に一般に公開されている。CVSSスコアは中程度だが、認証情報があれば攻撃可能なため、早急なパッチ適用が推奨される。機密性・整合性・可用性への影響は限定的と評価されている。

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドXSS脆弱性、ユーザーアカウントとCookieの窃取リスクに警鐘

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドX...

Protect AIがcraigk5n/webcalendar 1.3.0における重大なストアドXSS脆弱性を報告した。この脆弱性はReport Name入力フィールドに存在し、悪意のあるスクリプトの実行によってユーザーアカウントとCookieの窃取が可能になる。CVSS3.0スコア7.6のHigh深刻度と評価され、現在も最新バージョンまで影響を受ける可能性があり、早急な対応が求められている。

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドX...

Protect AIがcraigk5n/webcalendar 1.3.0における重大なストアドXSS脆弱性を報告した。この脆弱性はReport Name入力フィールドに存在し、悪意のあるスクリプトの実行によってユーザーアカウントとCookieの窃取が可能になる。CVSS3.0スコア7.6のHigh深刻度と評価され、現在も最新バージョンまで影響を受ける可能性があり、早急な対応が求められている。

【CVE-2024-10311】External Database Based Actions 0.1にサブスクライバーレベルで管理者権限取得の脆弱性が発覚

【CVE-2024-10311】External Database Based Actions...

WordPressプラグインExternal Database Based Actionsのバージョン0.1以前に認証バイパスの脆弱性が発見された。edba_admin_handle関数における機能チェックの欠如により、サブスクライバー以上の権限を持つ攻撃者がプラグイン設定を更新し管理者として不正にログインできる状態となっている。CVSSスコアは7.5と高く、早急な対応が必要だ。

【CVE-2024-10311】External Database Based Actions...

WordPressプラグインExternal Database Based Actionsのバージョン0.1以前に認証バイパスの脆弱性が発見された。edba_admin_handle関数における機能チェックの欠如により、サブスクライバー以上の権限を持つ攻撃者がプラグイン設定を更新し管理者として不正にログインできる状態となっている。CVSSスコアは7.5と高く、早急な対応が必要だ。

【CVE-2024-9409】Schneider ElectricのPowerLogic製品に深刻な脆弱性、IGMPパケットによる通信障害のリスクが発生

【CVE-2024-9409】Schneider ElectricのPowerLogic製品に...

Schneider Electric社のPowerLogic PM5320、PM5340、PM5341において、IGMPパケットによるリソース消費の脆弱性が発見された。CVSS v4.0で8.7、v3.1で7.5と高い深刻度が評価され、特別な権限なく攻撃が可能。PowerLogic PM5320とPM5340はバージョン2.3.8以前、PM5341は2.6.6以前が影響を受け、デバイスの応答不能や通信途絶のリスクが指摘されている。

【CVE-2024-9409】Schneider ElectricのPowerLogic製品に...

Schneider Electric社のPowerLogic PM5320、PM5340、PM5341において、IGMPパケットによるリソース消費の脆弱性が発見された。CVSS v4.0で8.7、v3.1で7.5と高い深刻度が評価され、特別な権限なく攻撃が可能。PowerLogic PM5320とPM5340はバージョン2.3.8以前、PM5341は2.6.6以前が影響を受け、デバイスの応答不能や通信途絶のリスクが指摘されている。

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻なリモートコード実行の可能性が判明

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻な...

コンテンツ管理システムCraftにおいて、FileHelper::absolutePath関数のパス正規化機能の欠如により、Twig SSTIを介したリモートコード実行が可能となる脆弱性が発見された。CVE-2024-52293として識別されるこの問題は、CVSSスコア7.2のHigh評価を受け、バージョン4.12.2と5.4.3で修正された。影響を受けるバージョンのユーザーは速やかなアップデートが推奨される。

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻な...

コンテンツ管理システムCraftにおいて、FileHelper::absolutePath関数のパス正規化機能の欠如により、Twig SSTIを介したリモートコード実行が可能となる脆弱性が発見された。CVE-2024-52293として識別されるこの問題は、CVSSスコア7.2のHigh評価を受け、バージョン4.12.2と5.4.3で修正された。影響を受けるバージョンのユーザーは速やかなアップデートが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10.0.17で修正されたアクセス制御の問題に対応

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケット処理の脆弱性、ヒープメモリ読み取りのリスクが浮上

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケ...

CesantaのMongoose Web Server v7.14において範囲外ポインタオフセットの使用に関する脆弱性が発見された。攻撃者は特別に細工されたTLSパケットを送信することで、アプリケーションに意図しないヒープメモリ空間の読み取りを強制することが可能である。CVSSスコアは4.3(ミディアム)と評価されており、攻撃には利用者の関与が必要だが特権は不要とされている。

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケ...

CesantaのMongoose Web Server v7.14において範囲外ポインタオフセットの使用に関する脆弱性が発見された。攻撃者は特別に細工されたTLSパケットを送信することで、アプリケーションに意図しないヒープメモリ空間の読み取りを強制することが可能である。CVSSスコアは4.3(ミディアム)と評価されており、攻撃には利用者の関与が必要だが特権は不要とされている。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱性、TLSパケットによる不正メモリアクセスの危険性が浮上

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-11211】EyouCMS 1.6.7に重大な脆弱性、Webサイトロゴの無制限アップロードが可能に

【CVE-2024-11211】EyouCMS 1.6.7に重大な脆弱性、Webサイトロゴの無...

VulDBはEyouCMSバージョン1.6.0から1.6.7に影響を及ぼす重大な脆弱性を報告した。Webサイトロゴハンドラーコンポーネントにおける無制限アップロードの脆弱性により、高い特権を持つ攻撃者によるリモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、ベンダーからの応答がないまま脆弱性情報が公開され、早急な対応が求められる状況となっている。

【CVE-2024-11211】EyouCMS 1.6.7に重大な脆弱性、Webサイトロゴの無...

VulDBはEyouCMSバージョン1.6.0から1.6.7に影響を及ぼす重大な脆弱性を報告した。Webサイトロゴハンドラーコンポーネントにおける無制限アップロードの脆弱性により、高い特権を持つ攻撃者によるリモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、ベンダーからの応答がないまま脆弱性情報が公開され、早急な対応が求められる状況となっている。

【CVE-2024-8001】VIWIS LMS 9.11に重大な認証機能の脆弱性、試験問題と解答への不正アクセスが可能な状態に

【CVE-2024-8001】VIWIS LMS 9.11に重大な認証機能の脆弱性、試験問題と...

VIWIS社の学習管理システムVIWIS LMS 9.11において、Print Handler機能に重大な脆弱性が発見された。認証機能の不備により、学習者ロールを持つユーザーが管理者向け印刷機能を使用できる状態となっており、試験前後のタイミングで試験問題や解答への不正アクセスが可能となっている。CVSSスコアは6.9(Medium)で、早急なパッチ適用が推奨されている。

【CVE-2024-8001】VIWIS LMS 9.11に重大な認証機能の脆弱性、試験問題と...

VIWIS社の学習管理システムVIWIS LMS 9.11において、Print Handler機能に重大な脆弱性が発見された。認証機能の不備により、学習者ロールを持つユーザーが管理者向け印刷機能を使用できる状態となっており、試験前後のタイミングで試験問題や解答への不正アクセスが可能となっている。CVSSスコアは6.9(Medium)で、早急なパッチ適用が推奨されている。

【CVE-2024-42388】Mongoose Web Server v7.14でヒープメモリの脆弱性を発見、情報漏洩のリスクに警戒

【CVE-2024-42388】Mongoose Web Server v7.14でヒープメモ...

Nozomi Networks Incは2024年11月18日、Cesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による脆弱性を発見したことを公開した。CVE-2024-42388として特定されたこの脆弱性は、攻撃者が予期しないTLSパケットを送信することで意図しないヒープメモリ空間へのアクセスを強制できる問題が存在しており、早急な対策が求められている。

【CVE-2024-42388】Mongoose Web Server v7.14でヒープメモ...

Nozomi Networks Incは2024年11月18日、Cesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による脆弱性を発見したことを公開した。CVE-2024-42388として特定されたこの脆弱性は、攻撃者が予期しないTLSパケットを送信することで意図しないヒープメモリ空間へのアクセスを強制できる問題が存在しており、早急な対策が求められている。

【CVE-2024-1240】pyload/pyload 0.5.0でオープンリダイレクトの脆弱性が発見、フィッシング攻撃のリスクに警戒

【CVE-2024-1240】pyload/pyload 0.5.0でオープンリダイレクトの脆...

セキュリティ企業Protect AIは、pyload/pyload 0.5.0においてオープンリダイレクトの脆弱性を発見した。ログイン機能のnextパラメータの不適切な処理により、悪意のあるサイトへのリダイレクトが可能となる脆弱性が確認された。CVSSスコアは4.6(MEDIUM)と評価され、フィッシング攻撃などの悪用が懸念される。修正版のpyload-ng 0.5.0b3.dev79がリリースされ、早急なアップデートが推奨される。

【CVE-2024-1240】pyload/pyload 0.5.0でオープンリダイレクトの脆...

セキュリティ企業Protect AIは、pyload/pyload 0.5.0においてオープンリダイレクトの脆弱性を発見した。ログイン機能のnextパラメータの不適切な処理により、悪意のあるサイトへのリダイレクトが可能となる脆弱性が確認された。CVSSスコアは4.6(MEDIUM)と評価され、フィッシング攻撃などの悪用が懸念される。修正版のpyload-ng 0.5.0b3.dev79がリリースされ、早急なアップデートが推奨される。

【CVE-2024-10820】WooCommerce Upload Files 84.3の脆弱性が発覚、リモートコード実行のリスクで緊急対応が必要に

【CVE-2024-10820】WooCommerce Upload Files 84.3の脆...

WordPressのプラグインWooCommerce Upload Filesにおいて、バージョン84.3以前に深刻な脆弱性が発見された。upload_files()関数でのファイルタイプ検証の不備により、未認証の攻撃者が任意のファイルをアップロード可能な状態となっている。CVSSスコア9.8の重大な脆弱性であり、リモートコード実行のリスクも指摘されているため、早急な対応が求められる。

【CVE-2024-10820】WooCommerce Upload Files 84.3の脆...

WordPressのプラグインWooCommerce Upload Filesにおいて、バージョン84.3以前に深刻な脆弱性が発見された。upload_files()関数でのファイルタイプ検証の不備により、未認証の攻撃者が任意のファイルをアップロード可能な状態となっている。CVSSスコア9.8の重大な脆弱性であり、リモートコード実行のリスクも指摘されているため、早急な対応が求められる。

愛知県高浜市がマーケットエンタープライズのおいくらと連携、不要品リユースの促進で循環型社会の実現へ

愛知県高浜市がマーケットエンタープライズのおいくらと連携、不要品リユースの促進で循環型社会の実現へ

愛知県高浜市とマーケットエンタープライズが2024年11月19日より、リユースプラットフォーム「おいくら」を活用した不要品リユース事業の連携をスタート。市民は不要品の一括査定と出張買取サービスを無料で利用可能。使用可能な物が粗大ごみとして廃棄される状況を改善し、持続可能な循環型社会の形成を目指す取り組みを開始。

愛知県高浜市がマーケットエンタープライズのおいくらと連携、不要品リユースの促進で循環型社会の実現へ

愛知県高浜市とマーケットエンタープライズが2024年11月19日より、リユースプラットフォーム「おいくら」を活用した不要品リユース事業の連携をスタート。市民は不要品の一括査定と出張買取サービスを無料で利用可能。使用可能な物が粗大ごみとして廃棄される状況を改善し、持続可能な循環型社会の形成を目指す取り組みを開始。

バッファローが歴代Wi-Fiルーター5機種をカプセルトイ化、2024年11月21日から全国で発売開始

バッファローが歴代Wi-Fiルーター5機種をカプセルトイ化、2024年11月21日から全国で発売開始

バッファローは2024年11月19日、歴代のWi-Fiルーターを6分の1スケールで再現したカプセルトイ「バッファロー監修 手のひらWi-Fiルーター」を11月21日から販売すると発表した。2000年発売のAirStationシリーズ初号機から2019年のWi-Fi 6対応モデルまで、Wi-Fi技術の進化を象徴する5機種をラインナップ。カバーの着脱やアンテナの回転など実機同様のギミックも搭載している。

バッファローが歴代Wi-Fiルーター5機種をカプセルトイ化、2024年11月21日から全国で発売開始

バッファローは2024年11月19日、歴代のWi-Fiルーターを6分の1スケールで再現したカプセルトイ「バッファロー監修 手のひらWi-Fiルーター」を11月21日から販売すると発表した。2000年発売のAirStationシリーズ初号機から2019年のWi-Fi 6対応モデルまで、Wi-Fi技術の進化を象徴する5機種をラインナップ。カバーの着脱やアンテナの回転など実機同様のギミックも搭載している。

【CVE-2024-10800】WordPress User Extra Fields 16.6に特権昇格の脆弱性、管理者権限の不正取得が可能に

【CVE-2024-10800】WordPress User Extra Fields 16....

WordPressのプラグインWordPress User Extra Fields 16.6以前に特権昇格の脆弱性が発見された。ajax_save_fields()関数の権限チェック欠如により、Subscriber以上の権限を持つユーザーが管理者権限を取得可能。CVSSスコアは8.8のHigh評価で、攻撃条件の複雑さは低く、早急な対応が必要とされている。

【CVE-2024-10800】WordPress User Extra Fields 16....

WordPressのプラグインWordPress User Extra Fields 16.6以前に特権昇格の脆弱性が発見された。ajax_save_fields()関数の権限チェック欠如により、Subscriber以上の権限を持つユーザーが管理者権限を取得可能。CVSSスコアは8.8のHigh評価で、攻撃条件の複雑さは低く、早急な対応が必要とされている。

【CVE-2024-10575】Schneider ElectricのEcoStruxure IT Gatewayに重大な認証バイパスの脆弱性、CVSS最高スコアで緊急対応が必要に

【CVE-2024-10575】Schneider ElectricのEcoStruxure ...

Schneider Electric社のEcoStruxure IT Gatewayにおいて、バージョン1.21.0.6から1.23.0.4に重大な認証バイパスの脆弱性が発見された。CVE-2024-10575として識別されるこの脆弱性は、CVSS 4.0で最高スコアの10.0を記録し、認証なしでのネットワークアクセスを可能にする危険性がある。特に産業用制御システムへの影響が懸念され、早急な対応が求められている。

【CVE-2024-10575】Schneider ElectricのEcoStruxure ...

Schneider Electric社のEcoStruxure IT Gatewayにおいて、バージョン1.21.0.6から1.23.0.4に重大な認証バイパスの脆弱性が発見された。CVE-2024-10575として識別されるこの脆弱性は、CVSS 4.0で最高スコアの10.0を記録し、認証なしでのネットワークアクセスを可能にする危険性がある。特に産業用制御システムへの影響が懸念され、早急な対応が求められている。

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENETにDoS脆弱性、Ethernet通信への攻撃リスクが判明

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENET...

三菱電機のMELSEC iQ-F Series FX5-ENETおよびFX5-ENET/IPに深刻なDoS脆弱性が発見された。CVSSスコア7.5のHigh評価となる本脆弱性は、特別に細工されたSLMPパケットによってEthernet通信に障害を引き起こす可能性がある。FX5-ENETのバージョン1.100以降およびFX5-ENET/IPのバージョン1.100から1.104が影響を受け、早急な対応が求められている。

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENET...

三菱電機のMELSEC iQ-F Series FX5-ENETおよびFX5-ENET/IPに深刻なDoS脆弱性が発見された。CVSSスコア7.5のHigh評価となる本脆弱性は、特別に細工されたSLMPパケットによってEthernet通信に障害を引き起こす可能性がある。FX5-ENETのバージョン1.100以降およびFX5-ENET/IPのバージョン1.100から1.104が影響を受け、早急な対応が求められている。

MicrosoftがWindows 365 Linkを発表、クラウドPCへの高速接続とセキュリティ強化を実現するシンクライアントデバイス

MicrosoftがWindows 365 Linkを発表、クラウドPCへの高速接続とセキュリ...

MicrosoftはMicrosoft Ignite 2024において、Windows 365専用のシンクライアントデバイス「Windows 365 Link」を発表した。デュアル4Kモニター対応やWi-Fi 6E、Bluetooth 5.3などの高度な接続性を備え、Microsoft Teamsなどのビデオコンファレンスにもローカル処理で対応。ローカルデータを持たないセキュアな設計とMicrosoft Intuneによる効率的な管理機能を実現している。2025年4月から349ドルで販売開始予定。

MicrosoftがWindows 365 Linkを発表、クラウドPCへの高速接続とセキュリ...

MicrosoftはMicrosoft Ignite 2024において、Windows 365専用のシンクライアントデバイス「Windows 365 Link」を発表した。デュアル4Kモニター対応やWi-Fi 6E、Bluetooth 5.3などの高度な接続性を備え、Microsoft Teamsなどのビデオコンファレンスにもローカル処理で対応。ローカルデータを持たないセキュアな設計とMicrosoft Intuneによる効率的な管理機能を実現している。2025年4月から349ドルで販売開始予定。