Tech Insights

【CVE-2024-43630】Windowsカーネルに特権昇格の脆弱性、複数バージョンで更新...

2024年11月22日

MicrosoftがWindowsカーネルにおける特権昇格の脆弱性CVE-2024-43630を公開した。この脆弱性はStack-based Buffer Overflowに分類され、Windows Server 2022やWindows 11 Version 24H2などの複数バージョンに影響を与える。CVSSスコア7.8と高い深刻度で評価されており、早急なセキュリティパッチの適用が必要とされている。

【CVE-2024-43630】Windowsカーネルに特権昇格の脆弱性、複数バージョンで更新...

2024年11月22日

MicrosoftがWindowsカーネルにおける特権昇格の脆弱性CVE-2024-43630を公開した。この脆弱性はStack-based Buffer Overflowに分類され、Windows Server 2022やWindows 11 Version 24H2などの複数バージョンに影響を与える。CVSSスコア7.8と高い深刻度で評価されており、早急なセキュリティパッチの適用が必要とされている。

【CVE-2024-43626】WindowsのTelephony Serviceに権限昇格の...

2024年11月22日

MicrosoftはWindows Telephony Serviceにおける権限昇格の脆弱性CVE-2024-43626を公開した。この脆弱性はCVSS v3.1で7.8のハイリスクと評価され、Windows 10からWindows 11、さらにWindows Server 2008から2025まで広範な影響を及ぼしている。特権を持つ攻撃者がユーザーの操作なしで権限を昇格できる深刻な問題となっている。

【CVE-2024-43626】WindowsのTelephony Serviceに権限昇格の...

2024年11月22日

MicrosoftはWindows Telephony Serviceにおける権限昇格の脆弱性CVE-2024-43626を公開した。この脆弱性はCVSS v3.1で7.8のハイリスクと評価され、Windows 10からWindows 11、さらにWindows Server 2008から2025まで広範な影響を及ぼしている。特権を持つ攻撃者がユーザーの操作なしで権限を昇格できる深刻な問題となっている。

【CVE-2024-43634】Windows USB Video Class System ...

2024年11月22日

MicrosoftはWindows USB Video Class System Driverにおける重大な権限昇格の脆弱性を公開した。この脆弱性はWindows 10からWindows 11、さらにWindows Server 2008 SP2からWindows Server 2025まで広範なバージョンに影響を及ぼす。CVSS v3.1で中程度（6.8）と評価されているが、認証不要で物理アクセスによる攻撃が可能という特徴を持つ。

【CVE-2024-43634】Windows USB Video Class System ...

2024年11月22日

MicrosoftはWindows USB Video Class System Driverにおける重大な権限昇格の脆弱性を公開した。この脆弱性はWindows 10からWindows 11、さらにWindows Server 2008 SP2からWindows Server 2025まで広範なバージョンに影響を及ぼす。CVSS v3.1で中程度（6.8）と評価されているが、認証不要で物理アクセスによる攻撃が可能という特徴を持つ。

【CVE-2024-43637】WindowsのUSBビデオクラスシステムドライバに権限昇格の...

2024年11月22日

MicrosoftがWindowsのUSBビデオクラスシステムドライバにおける権限昇格の脆弱性【CVE-2024-43637】を公開した。Windows 10/11およびWindows Server 2008から2025まで広範なバージョンが影響を受け、Out-of-bounds Read（CWE-125）として分類される深刻な脆弱性であることが判明。各バージョンの最新アップデートによる対応が推奨される状況だ。

【CVE-2024-43637】WindowsのUSBビデオクラスシステムドライバに権限昇格の...

2024年11月22日

MicrosoftがWindowsのUSBビデオクラスシステムドライバにおける権限昇格の脆弱性【CVE-2024-43637】を公開した。Windows 10/11およびWindows Server 2008から2025まで広範なバージョンが影響を受け、Out-of-bounds Read（CWE-125）として分類される深刻な脆弱性であることが判明。各バージョンの最新アップデートによる対応が推奨される状況だ。

【CVE-2024-43639】Windows KDC Proxyに重大な脆弱性、全バージョン...

2024年11月22日

MicrosoftはWindows KDC Proxyにおける深刻なリモートコード実行の脆弱性を公開した。CVSSスコア9.8のCriticalと評価され、Windows Server 2012から2025まで広範なバージョンに影響。認証不要でリモートからの攻撃が可能であり、機密性・整合性・可用性のすべてにおいて高いリスクが存在するため、早急なパッチ適用が推奨される。

【CVE-2024-43639】Windows KDC Proxyに重大な脆弱性、全バージョン...

2024年11月22日

MicrosoftはWindows KDC Proxyにおける深刻なリモートコード実行の脆弱性を公開した。CVSSスコア9.8のCriticalと評価され、Windows Server 2012から2025まで広範なバージョンに影響。認証不要でリモートからの攻撃が可能であり、機密性・整合性・可用性のすべてにおいて高いリスクが存在するため、早急なパッチ適用が推奨される。

【CVE-2024-43643】WindowsのUSB Video Classドライバに権限昇...

2024年11月22日

MicrosoftがWindowsのUSB Video Classシステムドライバに存在する権限昇格の脆弱性【CVE-2024-43643】を公開。CVSSv3.1で中程度（6.8）と評価され、物理的なアクセスで権限昇格が可能。Windows Server 2025からWindows Server 2008まで、また Windows 10、11の広範なバージョンに影響。32ビット、64ビット、ARM64ベースの各システムが対象となっている。

【CVE-2024-43643】WindowsのUSB Video Classドライバに権限昇...

2024年11月22日

MicrosoftがWindowsのUSB Video Classシステムドライバに存在する権限昇格の脆弱性【CVE-2024-43643】を公開。CVSSv3.1で中程度（6.8）と評価され、物理的なアクセスで権限昇格が可能。Windows Server 2025からWindows Server 2008まで、また Windows 10、11の広範なバージョンに影響。32ビット、64ビット、ARM64ベースの各システムが対象となっている。

【CVE-2024-43646】Windows Secure Kernel Modeに特権昇格...

2024年11月22日

Microsoftは2024年11月12日、Windows Secure Kernel Modeにおける特権昇格の脆弱性【CVE-2024-43646】を公開した。この脆弱性は、Windows Server 2025やWindows 11 Version 24H2など複数のバージョンに影響を与え、CVSSv3.1で6.7の評価を受けている。攻撃者が管理者権限を持つローカルシステムで悪意のあるプログラムを実行することで、権限昇格が可能となる深刻な問題である。

【CVE-2024-43646】Windows Secure Kernel Modeに特権昇格...

2024年11月22日

Microsoftは2024年11月12日、Windows Secure Kernel Modeにおける特権昇格の脆弱性【CVE-2024-43646】を公開した。この脆弱性は、Windows Server 2025やWindows 11 Version 24H2など複数のバージョンに影響を与え、CVSSv3.1で6.7の評価を受けている。攻撃者が管理者権限を持つローカルシステムで悪意のあるプログラムを実行することで、権限昇格が可能となる深刻な問題である。

【CVE-2024-43641】WindowsのRegistryに特権昇格の脆弱性、複数のWi...

2024年11月22日

MicrosoftがWindows Registryにおける特権昇格の脆弱性【CVE-2024-43641】を公開した。CVSSスコア7.8と高い深刻度を示すこの脆弱性は、Windows Server 2025やWindows 11など複数の製品に影響を与える。Integer Overflow or Wraparound（CWE-190）に分類されるこの問題は、ローカルからの攻撃が可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。

【CVE-2024-43641】WindowsのRegistryに特権昇格の脆弱性、複数のWi...

2024年11月22日

MicrosoftがWindows Registryにおける特権昇格の脆弱性【CVE-2024-43641】を公開した。CVSSスコア7.8と高い深刻度を示すこの脆弱性は、Windows Server 2025やWindows 11など複数の製品に影響を与える。Integer Overflow or Wraparound（CWE-190）に分類されるこの問題は、ローカルからの攻撃が可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。

【CVE-2024-48993】Microsoft SQL Server 2016-2019に...

2024年11月22日

MicrosoftはSQL Server Native Clientに存在するリモートコード実行の脆弱性を公開した。この脆弱性はCVE-2024-48993として識別され、CVSS v3.1で8.8（HIGH）の評価を受けている。影響を受けるバージョンはSQL Server 2016 Service Pack 3からSQL Server 2019まで広範囲に及び、各バージョンに対応したセキュリティパッチの適用が必要となる。

【CVE-2024-48993】Microsoft SQL Server 2016-2019に...

2024年11月22日

MicrosoftはSQL Server Native Clientに存在するリモートコード実行の脆弱性を公開した。この脆弱性はCVE-2024-48993として識別され、CVSS v3.1で8.8（HIGH）の評価を受けている。影響を受けるバージョンはSQL Server 2016 Service Pack 3からSQL Server 2019まで広範囲に及び、各バージョンに対応したセキュリティパッチの適用が必要となる。

【CVE-2024-49019】Windows Serverの複数バージョンに権限昇格の脆弱性...

2024年11月22日

MicrosoftがActive Directory Certificate Servicesにおける権限昇格の脆弱性【CVE-2024-49019】を公開した。Windows Server 2008 SP2からWindows Server 2025まで広範なバージョンが影響を受け、CVSSスコア7.8の深刻度の高い脆弱性として評価される。攻撃者は低い権限でローカルからアクセスし、ユーザーの操作なしで権限昇格を実行可能である。

【CVE-2024-49019】Windows Serverの複数バージョンに権限昇格の脆弱性...

2024年11月22日

MicrosoftがActive Directory Certificate Servicesにおける権限昇格の脆弱性【CVE-2024-49019】を公開した。Windows Server 2008 SP2からWindows Server 2025まで広範なバージョンが影響を受け、CVSSスコア7.8の深刻度の高い脆弱性として評価される。攻撃者は低い権限でローカルからアクセスし、ユーザーの操作なしで権限昇格を実行可能である。

【CVE-2024-49050】Visual Studio Code Python拡張機能にリ...

2024年11月22日

MicrosoftはVisual Studio Code Python拡張機能にリモートコード実行の脆弱性が存在することを公開した。この脆弱性は2020年から2024.18.2より前のバージョンに影響を与えており、CVSSv3.1で8.8の高スコアを記録。CWE-501のトラストバウンダリ違反に分類され、攻撃者による遠隔からのコード実行が可能となる深刻な問題である。

【CVE-2024-49050】Visual Studio Code Python拡張機能にリ...

2024年11月22日

MicrosoftはVisual Studio Code Python拡張機能にリモートコード実行の脆弱性が存在することを公開した。この脆弱性は2020年から2024.18.2より前のバージョンに影響を与えており、CVSSv3.1で8.8の高スコアを記録。CWE-501のトラストバウンダリ違反に分類され、攻撃者による遠隔からのコード実行が可能となる深刻な問題である。

【CVE-2024-43499】MicrosoftがVisual StudioとNET 9.0...

2024年11月22日

Microsoftは2024年11月12日、Visual StudioとNET 9.0に影響を与えるサービス拒否（DoS）の脆弱性を公開した。CVSSスコア7.5の深刻な問題として識別され、高圧縮データの不適切な処理とループ条件の未チェック入力に関連している。Visual Studio 2022の複数バージョンとNET 9.0が影響を受け、攻撃の自動化も可能とされている。

【CVE-2024-43499】MicrosoftがVisual StudioとNET 9.0...

2024年11月22日

Microsoftは2024年11月12日、Visual StudioとNET 9.0に影響を与えるサービス拒否（DoS）の脆弱性を公開した。CVSSスコア7.5の深刻な問題として識別され、高圧縮データの不適切な処理とループ条件の未チェック入力に関連している。Visual Studio 2022の複数バージョンとNET 9.0が影響を受け、攻撃の自動化も可能とされている。

【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性...

2024年11月22日

Mozilla CorporationはThunderbirdのOpenPGP暗号化機能に重大な脆弱性【CVE-2024-11159】を発見したと発表した。この脆弱性は暗号化メッセージ内でリモートコンテンツを使用した際に平文が漏洩する可能性があり、Thunderbird 128.4.3未満および132.0.1未満のバージョンが影響を受ける。セキュリティアドバイザリMFSA2024-61およびMFSA2024-62を通じて詳細な情報が提供されている。

【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性...

2024年11月22日

Mozilla CorporationはThunderbirdのOpenPGP暗号化機能に重大な脆弱性【CVE-2024-11159】を発見したと発表した。この脆弱性は暗号化メッセージ内でリモートコンテンツを使用した際に平文が漏洩する可能性があり、Thunderbird 128.4.3未満および132.0.1未満のバージョンが影響を受ける。セキュリティアドバイザリMFSA2024-61およびMFSA2024-62を通じて詳細な情報が提供されている。

【CVE-2024-50210】Linuxカーネルのposix-clockにおけるunbala...

2024年11月22日

kernel.orgは2024年11月8日、Linuxカーネルのposix-clockコンポーネントにおける重要な脆弱性の修正を発表した。pc_clock_settime()関数でget_clock_desc()実行時のロック解放が適切に行われない問題が存在し、システムリソースの適切な解放が行われない状態であることが判明。複数のLinuxバージョンに影響を与える本脆弱性は、timespec64_valid_strict()チェックの追加により修正された。

【CVE-2024-50210】Linuxカーネルのposix-clockにおけるunbala...

2024年11月22日

kernel.orgは2024年11月8日、Linuxカーネルのposix-clockコンポーネントにおける重要な脆弱性の修正を発表した。pc_clock_settime()関数でget_clock_desc()実行時のロック解放が適切に行われない問題が存在し、システムリソースの適切な解放が行われない状態であることが判明。複数のLinuxバージョンに影響を与える本脆弱性は、timespec64_valid_strict()チェックの追加により修正された。

【CVE-2024-49536】Adobe Audition 23.6.9および24.4.6に...

2024年11月22日

Adobe AuditionのバージョンAedition 23.6.9および24.4.6以前に、Out-of-bounds読み取りの脆弱性が発見された。CVE-2024-49536として識別されるこの問題により、攻撃者がASLRをバイパスし機密メモリ情報を取得できる可能性がある。CISAの評価では攻撃の自動化は困難とされているものの、ユーザーの操作を介した攻撃シナリオが想定され、早急な対応が必要とされている。

【CVE-2024-49536】Adobe Audition 23.6.9および24.4.6に...

2024年11月22日

Adobe AuditionのバージョンAedition 23.6.9および24.4.6以前に、Out-of-bounds読み取りの脆弱性が発見された。CVE-2024-49536として識別されるこの問題により、攻撃者がASLRをバイパスし機密メモリ情報を取得できる可能性がある。CISAの評価では攻撃の自動化は困難とされているものの、ユーザーの操作を介した攻撃シナリオが想定され、早急な対応が必要とされている。

【CVE-2024-11245】code-projects Farmacia 1.0でSQL ...

2024年11月22日

code-projects Farmacia 1.0のeditar-produto.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは5.3-6.5で中程度の評価となっているが、リモートからの攻撃が可能で、特別な権限を必要としない点が危険視されている。既に攻撃コードが公開されており、データベースへの不正アクセスのリスクが指摘されている。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-11245】code-projects Farmacia 1.0でSQL ...

2024年11月22日

code-projects Farmacia 1.0のeditar-produto.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは5.3-6.5で中程度の評価となっているが、リモートからの攻撃が可能で、特別な権限を必要としない点が危険視されている。既に攻撃コードが公開されており、データベースへの不正アクセスのリスクが指摘されている。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-10897】Tutor LMS Elementor Addons 2.1....

2024年11月22日

WordPressプラグインTutor LMS Elementor Addonsにおいて、バージョン2.1.5以前に認証バイパスの脆弱性が発見された。install_etlms_dependency_plugin()関数の認証処理不備により、Subscriber以上の権限を持つユーザーが不正にプラグインをインストール可能な状態となっている。CVSSスコアは4.3（MEDIUM）と評価され、ElementorとTutor LMSプラグインのインストールに限定された影響範囲となっている。

【CVE-2024-10897】Tutor LMS Elementor Addons 2.1....

2024年11月22日

WordPressプラグインTutor LMS Elementor Addonsにおいて、バージョン2.1.5以前に認証バイパスの脆弱性が発見された。install_etlms_dependency_plugin()関数の認証処理不備により、Subscriber以上の権限を持つユーザーが不正にプラグインをインストール可能な状態となっている。CVSSスコアは4.3（MEDIUM）と評価され、ElementorとTutor LMSプラグインのインストールに限定された影響範囲となっている。

【CVE-2024-50355】LibreNMSに永続的XSSの脆弱性、デバイス表示名の入力処...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス表示名の入力処理に関する重大な脆弱性が発見された。Admin権限を持つユーザーがデバイスの表示名を編集する際にJavaScriptコードを含めることで、Persistent XSS攻撃が可能となる脆弱性が判明。LibreNMSの開発チームは24.10.0にて修正を実施し、入力値の適切なサニタイズ処理を実装している。

【CVE-2024-50355】LibreNMSに永続的XSSの脆弱性、デバイス表示名の入力処...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス表示名の入力処理に関する重大な脆弱性が発見された。Admin権限を持つユーザーがデバイスの表示名を編集する際にJavaScriptコードを含めることで、Persistent XSS攻撃が可能となる脆弱性が判明。LibreNMSの開発チームは24.10.0にて修正を実施し、入力値の適切なサニタイズ処理を実装している。

【CVE-2024-49764】LibreNMS 24.10.0未満にStoredXSS脆弱性...

2024年11月22日

GitHubは2024年11月15日、オープンソースのネットワーク監視システムLibreNMSにおけるStoredXSS脆弱性を公開した。「Capture Debug Information」ページの「hostname」パラメータを介して任意のJavaScriptを注入可能で、認証済みユーザーによる非HTTPonlyクッキーの窃取が可能。CVSS v3.1で基本値4.8（Medium）と評価され、24.10.0で修正された。早急なアップデートが推奨される。

【CVE-2024-49764】LibreNMS 24.10.0未満にStoredXSS脆弱性...

2024年11月22日

GitHubは2024年11月15日、オープンソースのネットワーク監視システムLibreNMSにおけるStoredXSS脆弱性を公開した。「Capture Debug Information」ページの「hostname」パラメータを介して任意のJavaScriptを注入可能で、認証済みユーザーによる非HTTPonlyクッキーの窃取が可能。CVSS v3.1で基本値4.8（Medium）と評価され、24.10.0で修正された。早急なアップデートが推奨される。

【CVE-2024-48898】Moodleに深刻な権限昇格の脆弱性、複数バージョンでセキュリ...

2024年11月22日

Moodleにおいて、ユーザーが本来アクセス権限を持たない報告書のオーディエンスを削除できる深刻な脆弱性が発見された。【CVE-2024-48898】として識別されるこの問題は、Moodle 4.4.0から4.4.4を含む複数のバージョンに影響を及ぼしており、CVSSスコア6.5（Medium）に分類される。権限管理の不備により、低い特権レベルでの攻撃が可能となる危険性がある。

【CVE-2024-48898】Moodleに深刻な権限昇格の脆弱性、複数バージョンでセキュリ...

2024年11月22日

Moodleにおいて、ユーザーが本来アクセス権限を持たない報告書のオーディエンスを削除できる深刻な脆弱性が発見された。【CVE-2024-48898】として識別されるこの問題は、Moodle 4.4.0から4.4.4を含む複数のバージョンに影響を及ぼしており、CVSSスコア6.5（Medium）に分類される。権限管理の不備により、低い特権レベルでの攻撃が可能となる危険性がある。

【CVE-2024-48896】Moodleでメッセージング機能の脆弱性が発覚、ユーザー名情報...

2024年11月22日

学習管理システムMoodleにおいて、メッセージング機能に関する脆弱性【CVE-2024-48896】が発見された。メッセージ送信権限を持つユーザーが、本来アクセスできないはずのユーザー名をエラーメッセージから閲覧できる問題が判明。CVSSスコアは4.3で中程度の深刻度と評価されているものの、教育機関での利用を考慮すると早急な対応が望まれる。

【CVE-2024-48896】Moodleでメッセージング機能の脆弱性が発覚、ユーザー名情報...

2024年11月22日

学習管理システムMoodleにおいて、メッセージング機能に関する脆弱性【CVE-2024-48896】が発見された。メッセージ送信権限を持つユーザーが、本来アクセスできないはずのユーザー名をエラーメッセージから閲覧できる問題が判明。CVSSスコアは4.3で中程度の深刻度と評価されているものの、教育機関での利用を考慮すると早急な対応が望まれる。

【CVE-2024-41678】GLPIに反映型XSSの脆弱性が発見、バージョン10.0.17...

2024年11月22日

資産・IT管理ソフトウェアパッケージのGLPIにおいて、反映型XSS（クロスサイトスクリプティング）の脆弱性が発見された。CVE-2024-41678として識別されるこの脆弱性は、認証されていないユーザーが技術者に悪意のあるリンクを送信可能で、CVSSスコアは6.5（中程度）と評価されている。影響を受けるバージョンは0.50から10.0.17未満で、早急なアップグレードが推奨される。

【CVE-2024-41678】GLPIに反映型XSSの脆弱性が発見、バージョン10.0.17...

2024年11月22日

資産・IT管理ソフトウェアパッケージのGLPIにおいて、反映型XSS（クロスサイトスクリプティング）の脆弱性が発見された。CVE-2024-41678として識別されるこの脆弱性は、認証されていないユーザーが技術者に悪意のあるリンクを送信可能で、CVSSスコアは6.5（中程度）と評価されている。影響を受けるバージョンは0.50から10.0.17未満で、早急なアップグレードが推奨される。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

2024年11月22日

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-52428】WordPressプラグインAds Booster by Ad...

2024年11月22日

WordPressプラグインAds Booster by Ads Pro 1.12以前のバージョンにPHP Remote File Inclusionの制御不備による深刻な脆弱性が発見された。CVSSスコア8.1の高リスクと評価され、特権やユーザー操作を必要としない点が深刻度を高めている。CWE-98に分類されるこの脆弱性は、システム全体のセキュリティに重大な影響を及ぼす可能性があり、早急な対応が求められる。

【CVE-2024-52428】WordPressプラグインAds Booster by Ad...

2024年11月22日

WordPressプラグインAds Booster by Ads Pro 1.12以前のバージョンにPHP Remote File Inclusionの制御不備による深刻な脆弱性が発見された。CVSSスコア8.1の高リスクと評価され、特権やユーザー操作を必要としない点が深刻度を高めている。CWE-98に分類されるこの脆弱性は、システム全体のセキュリティに重大な影響を及ぼす可能性があり、早急な対応が求められる。

【CVE-2024-11310】TRCore DVCにパストラバーサルの脆弱性、システムファイ...

2024年11月22日

TWCERT/CCは、TRCore社のDVCにパストラバーサル脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11310】として識別され、CVSSスコア7.5（High）と評価されている。影響を受けるバージョンはDVC 6.0から6.3までで、認証なしでシステムファイルの読み取りが可能となる深刻な脆弱性である。

【CVE-2024-11310】TRCore DVCにパストラバーサルの脆弱性、システムファイ...

2024年11月22日

TWCERT/CCは、TRCore社のDVCにパストラバーサル脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11310】として識別され、CVSSスコア7.5（High）と評価されている。影響を受けるバージョンはDVC 6.0から6.3までで、認証なしでシステムファイルの読み取りが可能となる深刻な脆弱性である。

【CVE-2024-52433】My Geo Posts Free 1.2にPHPオブジェクト...

2024年11月22日

WordPressプラグインMy Geo Posts Freeにおいて、信頼できないデータのデシリアライズ化に起因する深刻な脆弱性が発見された。CVE-2024-52433として識別されるこの脆弱性は、バージョン1.2以前に影響を与えるPHPオブジェクトインジェクションの問題であり、CVSSスコア9.8のクリティカルに分類される。ネットワーク経由での攻撃が可能で、特権や利用者の操作を必要としない点から、早急な対応が求められている。

【CVE-2024-52433】My Geo Posts Free 1.2にPHPオブジェクト...

2024年11月22日

WordPressプラグインMy Geo Posts Freeにおいて、信頼できないデータのデシリアライズ化に起因する深刻な脆弱性が発見された。CVE-2024-52433として識別されるこの脆弱性は、バージョン1.2以前に影響を与えるPHPオブジェクトインジェクションの問題であり、CVSSスコア9.8のクリティカルに分類される。ネットワーク経由での攻撃が可能で、特権や利用者の操作を必要としない点から、早急な対応が求められている。

【CVE-2024-52430】WordPress Lis Video Gallery 0.2...

2024年11月22日

WordPress用プラグインLis Video Gallery 0.2.1以前のバージョンにおいて、信頼性の低いデータのデシリアライズによるPHPオブジェクトインジェクションの脆弱性が発見された。CVSSスコア9.8のCriticalレベルで、特権やユーザー操作不要でネットワーク経由での攻撃が可能。CWE-502に分類されるこの脆弱性は、システム全体に重大な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2024-52430】WordPress Lis Video Gallery 0.2...

2024年11月22日

WordPress用プラグインLis Video Gallery 0.2.1以前のバージョンにおいて、信頼性の低いデータのデシリアライズによるPHPオブジェクトインジェクションの脆弱性が発見された。CVSSスコア9.8のCriticalレベルで、特権やユーザー操作不要でネットワーク経由での攻撃が可能。CWE-502に分類されるこの脆弱性は、システム全体に重大な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの...

2024年11月22日

MITREは2024年11月15日、オープンソースのGitホスティングサービスGogsのバージョン0.13.0以下にディレクトリトラバーサルの脆弱性が存在することを公開した。CVSSスコア8.8と高く評価されており、自動化可能な攻撃手法が存在し技術的な影響も重大である。CWE-22として分類され、機密性、整合性、可用性のすべてに高い影響があるとされている。

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの...

2024年11月22日

MITREは2024年11月15日、オープンソースのGitホスティングサービスGogsのバージョン0.13.0以下にディレクトリトラバーサルの脆弱性が存在することを公開した。CVSSスコア8.8と高く評価されており、自動化可能な攻撃手法が存在し技術的な影響も重大である。CWE-22として分類され、機密性、整合性、可用性のすべてに高い影響があるとされている。

【CVE-2024-52572】Tecnomatix Plant SimulationにWRL...

2024年11月22日

Siemens社はTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。この脆弱性は特別に細工されたWRLファイルを解析する際に発生するスタックベースのバッファオーバーフローに関するもので、攻撃者による任意のコード実行を可能にする。CVSSスコアは3.1版で7.8、4.0版で7.3と高い評価となっており、早急な対応が必要とされている。

【CVE-2024-52572】Tecnomatix Plant SimulationにWRL...

2024年11月22日

Siemens社はTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。この脆弱性は特別に細工されたWRLファイルを解析する際に発生するスタックベースのバッファオーバーフローに関するもので、攻撃者による任意のコード実行を可能にする。CVSSスコアは3.1版で7.8、4.0版で7.3と高い評価となっており、早急な対応が必要とされている。

【CVE-2024-52568】Tecnomatix Plant Simulationにuse...

2024年11月22日

Siemens社のTecnomatix Plant Simulation V2302およびV2404において、WRLファイルの解析時にuse-after-free脆弱性が発見された。特別に細工されたWRLファイルを介して現在のプロセスのコンテキストでコードが実行される可能性があり、CVSSスコアは7.8（HIGH）と評価。影響を受けるバージョンはV2302.0018未満とV2404.0007未満で、早急な更新が推奨される。

【CVE-2024-52568】Tecnomatix Plant Simulationにuse...

2024年11月22日

Siemens社のTecnomatix Plant Simulation V2302およびV2404において、WRLファイルの解析時にuse-after-free脆弱性が発見された。特別に細工されたWRLファイルを介して現在のプロセスのコンテキストでコードが実行される可能性があり、CVSSスコアは7.8（HIGH）と評価。影響を受けるバージョンはV2302.0018未満とV2404.0007未満で、早急な更新が推奨される。