Tech Insights

国土交通省がホンダステップワゴンを新型UDタクシーとして認定、多様な利用者に配慮した新たな選...

2024年11月22日

国土交通省は2024年11月20日、本田技研工業のステップワゴンを標準仕様ユニバーサルデザインタクシー認定レベル準1として認定した。型式5BA-RP6と5BA-RP7の計5タイプが対象で、ホンダアクセス製オートサイドステップの装着が必須条件となる。高齢者や車いす使用者など、多様な利用者に配慮した新たな選択肢として期待が高まっている。

国土交通省がホンダステップワゴンを新型UDタクシーとして認定、多様な利用者に配慮した新たな選...

2024年11月22日

国土交通省は2024年11月20日、本田技研工業のステップワゴンを標準仕様ユニバーサルデザインタクシー認定レベル準1として認定した。型式5BA-RP6と5BA-RP7の計5タイプが対象で、ホンダアクセス製オートサイドステップの装着が必須条件となる。高齢者や車いす使用者など、多様な利用者に配慮した新たな選択肢として期待が高まっている。

PerplexityがAIを活用したショッピングサービスを米国で開始、写真検索から購入までワン...

2024年11月22日

AI検索エンジンPerplexityが米国でショッピングサービスを開始。写真での商品検索機能「Snap to Shop」や有料プラン向けの直接購入機能「Buy with Pro」を実装し、商品の調査から購入までをワンストップで提供。Shopifyとの連携でAIレコメンドを活用した最適な商品提案も実現。オンラインショッピングの新たな可能性を切り開く。

PerplexityがAIを活用したショッピングサービスを米国で開始、写真検索から購入までワン...

2024年11月22日

AI検索エンジンPerplexityが米国でショッピングサービスを開始。写真での商品検索機能「Snap to Shop」や有料プラン向けの直接購入機能「Buy with Pro」を実装し、商品の調査から購入までをワンストップで提供。Shopifyとの連携でAIレコメンドを活用した最適な商品提案も実現。オンラインショッピングの新たな可能性を切り開く。

バッファローがiPhone／iPad向け写真バックアップアプリをApp Storeで公開、iC...

2024年11月22日

バッファローは2024年11月20日、iPhone／iPadの写真・ビデオを外部USBストレージに簡単にバックアップできる無料アプリ「写真バックアップ」を公開した。対応機種はiOS17.0以降のiPhone 15シリーズやiPhone 16シリーズ、iPadOS17.0以降のiPadで、端末内蔵ストレージとiCloudフォトライブラリのデータをまとめてバックアップできる。初回は全データを、2回目以降は新規データのみを効率的にバックアップする。

バッファローがiPhone／iPad向け写真バックアップアプリをApp Storeで公開、iC...

2024年11月22日

バッファローは2024年11月20日、iPhone／iPadの写真・ビデオを外部USBストレージに簡単にバックアップできる無料アプリ「写真バックアップ」を公開した。対応機種はiOS17.0以降のiPhone 15シリーズやiPhone 16シリーズ、iPadOS17.0以降のiPadで、端末内蔵ストレージとiCloudフォトライブラリのデータをまとめてバックアップできる。初回は全データを、2回目以降は新規データのみを効率的にバックアップする。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

2024年11月22日

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3（MEDIUM）のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

2024年11月22日

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3（MEDIUM）のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-10924】Really Simple Security 9.0.0-9....

2024年11月22日

WordPressプラグインのReally Simple Security（Free/Pro/Pro Multisite）において、バージョン9.0.0から9.1.1.1に認証バイパスの脆弱性が発見された。Two-Factor認証機能のREST APIアクションにおけるユーザーチェックの不備により、未認証の攻撃者が管理者権限でログイン可能となる深刻な問題が報告されている。CVSSスコアは9.8（CRITICAL）と評価されている。

【CVE-2024-10924】Really Simple Security 9.0.0-9....

2024年11月22日

WordPressプラグインのReally Simple Security（Free/Pro/Pro Multisite）において、バージョン9.0.0から9.1.1.1に認証バイパスの脆弱性が発見された。Two-Factor認証機能のREST APIアクションにおけるユーザーチェックの不備により、未認証の攻撃者が管理者権限でログイン可能となる深刻な問題が報告されている。CVSSスコアは9.8（CRITICAL）と評価されている。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

2024年11月22日

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2（High）と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

2024年11月22日

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2（High）と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

2024年11月22日

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3（MEDIUM）、v3.1で6.3（MEDIUM）と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

2024年11月22日

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3（MEDIUM）、v3.1で6.3（MEDIUM）と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行...

2024年11月22日

TRCore DVCのバージョン6.0から6.3において、パストラバーサル脆弱性と危険なファイルのアップロード制限の欠如が発見された。CVSSスコア9.8のこの脆弱性により、認証されていないリモート攻撃者が任意のディレクトリにWebシェルをアップロードし、システム上で不正なコードを実行することが可能となる。TWCERTは早急な対策を推奨している。

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行...

2024年11月22日

TRCore DVCのバージョン6.0から6.3において、パストラバーサル脆弱性と危険なファイルのアップロード制限の欠如が発見された。CVSSスコア9.8のこの脆弱性により、認証されていないリモート攻撃者が任意のディレクトリにWebシェルをアップロードし、システム上で不正なコードを実行することが可能となる。TWCERTは早急な対策を推奨している。

【CVE-2024-11257】Beauty Parlour Management Syste...

2024年11月22日

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3（HIGH）と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11257】Beauty Parlour Management Syste...

2024年11月22日

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3（HIGH）と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...

2024年11月22日

Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...

2024年11月22日

Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

2024年11月22日

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

2024年11月22日

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

2024年11月22日

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

2024年11月22日

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

2024年11月22日

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5（MEDIUM）であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...

2024年11月22日

無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5（MEDIUM）であり、早急なバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-52574】SiemensのTecnomatix Plant Simula...

2024年11月22日

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のバッファオーバーフロー脆弱性が発見された。CVSSスコアは最大7.8を記録し、攻撃者による任意のコード実行が可能となる危険性がある。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、Siemens社は修正パッチを提供している。製造業のデジタル化に影響を与える可能性がある重要な脆弱性への対応が求められる。

【CVE-2024-52574】SiemensのTecnomatix Plant Simula...

2024年11月22日

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のバッファオーバーフロー脆弱性が発見された。CVSSスコアは最大7.8を記録し、攻撃者による任意のコード実行が可能となる危険性がある。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、Siemens社は修正パッチを提供している。製造業のデジタル化に影響を与える可能性がある重要な脆弱性への対応が求められる。

【CVE-2024-52570】Tecnomatix Plant SimulationにWRL...

2024年11月22日

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル解析時のOut-of-bounds Write脆弱性が発見された。CVSSスコアは7.8（High）と評価され、攻撃者による任意のコード実行のリスクがある。影響を受けるバージョンはV2302の0から2302.0018未満およびV2404の0から2404.0007未満で、早急なアップデートが推奨される。

【CVE-2024-52570】Tecnomatix Plant SimulationにWRL...

2024年11月22日

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル解析時のOut-of-bounds Write脆弱性が発見された。CVSSスコアは7.8（High）と評価され、攻撃者による任意のコード実行のリスクがある。影響を受けるバージョンはV2302の0から2302.0018未満およびV2404の0から2404.0007未満で、早急なアップデートが推奨される。

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外...

2024年11月22日

Siemensは2024年11月18日、Tecnomatix Plant Simulation V2302およびV2404に存在する重大な脆弱性情報を公開した。特別に細工されたWRLファイルを処理する際に発生する境界外書き込みの問題で、現在のプロセスのコンテキストでコードが実行される可能性がある。CVSSスコアは7.8と高く評価されており、早急な対応が求められている。

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外...

2024年11月22日

Siemensは2024年11月18日、Tecnomatix Plant Simulation V2302およびV2404に存在する重大な脆弱性情報を公開した。特別に細工されたWRLファイルを処理する際に発生する境界外書き込みの問題で、現在のプロセスのコンテキストでコードが実行される可能性がある。CVSSスコアは7.8と高く評価されており、早急な対応が求められている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS（クロスサイトスクリプティング）の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS（クロスサイトスクリプティング）の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

2024年11月22日

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

2024年11月22日

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...

2024年11月22日

Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1（High）と評価されている深刻な脆弱性であり、早急な対応が求められている。

【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...

2024年11月22日

Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1（High）と評価されている深刻な脆弱性であり、早急な対応が求められている。

【CVE-2024-52419】WordPress Copy Anything to Clip...

2024年11月22日

WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。

【CVE-2024-52419】WordPress Copy Anything to Clip...

2024年11月22日

WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8（MEDIUM）と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8（MEDIUM）と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...

2024年11月22日

MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting（XSS）の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1（MEDIUM）で、CWE-79に分類される深刻な問題となっている。

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...

2024年11月22日

MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting（XSS）の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1（MEDIUM）で、CWE-79に分類される深刻な問題となっている。

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...

2024年11月22日

MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...

2024年11月22日

MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

2024年11月22日

CiscoのIdentity Services Engine（ISE）の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

2024年11月22日

CiscoのIdentity Services Engine（ISE）の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...

2024年11月22日

Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...

2024年11月22日

Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。

【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...

2024年11月22日

ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。

【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...

2024年11月22日

ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

2024年11月22日

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

2024年11月22日

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-11258】Beauty Parlour Management Syste...

2024年11月22日

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3（HIGH）と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-11258】Beauty Parlour Management Syste...

2024年11月22日

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3（HIGH）と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-11247】SourceCodester Online Eyewear S...

2024年11月22日

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-11247】SourceCodester Online Eyewear S...

2024年11月22日

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。