Tech Insights

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

2024年11月21日

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

2024年11月21日

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSR...

2024年11月21日

WordPressプラグインのAppointmind 4.0.0以前のバージョンにおいて、クロスサイトリクエストフォージェリ（CSRF）の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、攻撃者がネットワーク経由でStored XSSを実行可能。GentleSourceは対策版となるバージョン4.1.0をリリースしており、管理者は直ちにアップデートを実施することが推奨されている。

【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSR...

2024年11月21日

WordPressプラグインのAppointmind 4.0.0以前のバージョンにおいて、クロスサイトリクエストフォージェリ（CSRF）の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、攻撃者がネットワーク経由でStored XSSを実行可能。GentleSourceは対策版となるバージョン4.1.0をリリースしており、管理者は直ちにアップデートを実施することが推奨されている。

【CVE-2024-48284】PHPGurukul User Registration 3....

2024年11月21日

PHPGurukul User Registration & Login and User Management System 3.2において、/search-result.phpページのsearchkeyパラメータを介したリフレクテッドXSS脆弱性が発見された。CISAの評価によるとCVSS v3.1で深刻度は6.1（MEDIUM）とされ、攻撃にはネットワークアクセスと低特権が必要。この脆弱性はCWE-79に分類され、Webページ生成時の入力の不適切な無害化が原因となっている。

【CVE-2024-48284】PHPGurukul User Registration 3....

2024年11月21日

PHPGurukul User Registration & Login and User Management System 3.2において、/search-result.phpページのsearchkeyパラメータを介したリフレクテッドXSS脆弱性が発見された。CISAの評価によるとCVSS v3.1で深刻度は6.1（MEDIUM）とされ、攻撃にはネットワークアクセスと低特権が必要。この脆弱性はCWE-79に分類され、Webページ生成時の入力の不適切な無害化が原因となっている。

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱...

2024年11月21日

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による重大な脆弱性を発見した。CVSSスコア8.2の高リスク脆弱性として分類され、不正なTLSパケットの送信によりアプリケーションのセグメンテーション違反を引き起こす可能性がある。攻撃の複雑さは低く、特権やユーザーの操作も不要とされており、早急な対応が求められている。

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱...

2024年11月21日

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による重大な脆弱性を発見した。CVSSスコア8.2の高リスク脆弱性として分類され、不正なTLSパケットの送信によりアプリケーションのセグメンテーション違反を引き起こす可能性がある。攻撃の複雑さは低く、特権やユーザーの操作も不要とされており、早急な対応が求められている。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

2024年11月21日

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

2024年11月21日

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

【CVE-2024-21541】dom-iteratorに任意コード実行の脆弱性、Functi...

2024年11月21日

Snykは2024年11月13日、dom-iteratorパッケージのすべてのバージョンに任意コード実行の脆弱性を発見したことを公開した。CVSSv3.1で基本スコア7.3の高リスクと評価されており、Function構文を使用する際の入力値のサニタイズが不十分であることから、攻撃者によって制御された入力値がFunction構文に到達する可能性がある。

【CVE-2024-21541】dom-iteratorに任意コード実行の脆弱性、Functi...

2024年11月21日

Snykは2024年11月13日、dom-iteratorパッケージのすべてのバージョンに任意コード実行の脆弱性を発見したことを公開した。CVSSv3.1で基本スコア7.3の高リスクと評価されており、Function構文を使用する際の入力値のサニタイズが不十分であることから、攻撃者によって制御された入力値がFunction構文に到達する可能性がある。

【CVE-2024-11237】TP-Link VN020 F3v(T)に重大な脆弱性、バッフ...

2024年11月21日

TP-Link VN020 F3v(T)のDHCP DISCOVER Packet Parserに重大な脆弱性が発見された。CVE-2024-11237として特定されたこの脆弱性は、スタックベースのバッファオーバーフローを引き起こす可能性があり、遠隔からの攻撃が可能。認証や特権が不要なため、深刻度の高い脆弱性としてCVSSスコア8.7を記録している。早急な対策が求められる状況だ。

【CVE-2024-11237】TP-Link VN020 F3v(T)に重大な脆弱性、バッフ...

2024年11月21日

TP-Link VN020 F3v(T)のDHCP DISCOVER Packet Parserに重大な脆弱性が発見された。CVE-2024-11237として特定されたこの脆弱性は、スタックベースのバッファオーバーフローを引き起こす可能性があり、遠隔からの攻撃が可能。認証や特権が不要なため、深刻度の高い脆弱性としてCVSSスコア8.7を記録している。早急な対策が求められる状況だ。

wevnalがBOTCHAN AIで顧客体験を革新、アスティーダエグゼクティブサロン2024で...

2024年11月21日

株式会社wevnalが「アスティーダエグゼクティブサロン 2024 in 沖縄」に登壇することを発表した。Microsoft Azure OpenAI Serviceと連携したBOTCHAN AIにより、24時間365日の自動顧客対応を実現。800社以上の導入実績を持つBXプラットフォーム「BOTCHAN」の活用事例と、AIとデータ活用による競争力強化戦略について深い知見が共有される。

wevnalがBOTCHAN AIで顧客体験を革新、アスティーダエグゼクティブサロン2024で...

2024年11月21日

株式会社wevnalが「アスティーダエグゼクティブサロン 2024 in 沖縄」に登壇することを発表した。Microsoft Azure OpenAI Serviceと連携したBOTCHAN AIにより、24時間365日の自動顧客対応を実現。800社以上の導入実績を持つBXプラットフォーム「BOTCHAN」の活用事例と、AIとデータ活用による競争力強化戦略について深い知見が共有される。

IBMがIBM Consulting Advantageを拡張、IBM Granite 3.0...

2024年11月21日

IBMは2024年11月20日、AI実用化ソリューションのIBM Consulting Advantageの機能を大幅に拡張することを発表した。新たにリリースした大規模言語モデルのGranite 3.0をデフォルト・モデルとして採用し、16万人のコンサルタントが顧客サービスからITのモダナイゼーションまで、企業のAIへの投資対効果の最大化を支援する。

IBMがIBM Consulting Advantageを拡張、IBM Granite 3.0...

2024年11月21日

IBMは2024年11月20日、AI実用化ソリューションのIBM Consulting Advantageの機能を大幅に拡張することを発表した。新たにリリースした大規模言語モデルのGranite 3.0をデフォルト・モデルとして採用し、16万人のコンサルタントが顧客サービスからITのモダナイゼーションまで、企業のAIへの投資対効果の最大化を支援する。

HEMILLIONSがFHIR準拠ソフトウェアFRUCtoSを無償提供、医療データの標準化と相...

2024年11月21日

HEMILLIONSは2024年11月20日、FHIR規格に準拠した健康・医療データ管理ソフトウェアFRUCtoSの無償提供を開始した。医療機関や関連企業はコストを抑えながらFHIR規格への対応を進めることが可能になり、医療データの標準化と相互運用性の向上が期待される。FRUCtoSはオンプレミスとクラウドの両環境に対応し、既存の電子カルテシステムとのマッピングも実現可能である。

HEMILLIONSがFHIR準拠ソフトウェアFRUCtoSを無償提供、医療データの標準化と相...

2024年11月21日

HEMILLIONSは2024年11月20日、FHIR規格に準拠した健康・医療データ管理ソフトウェアFRUCtoSの無償提供を開始した。医療機関や関連企業はコストを抑えながらFHIR規格への対応を進めることが可能になり、医療データの標準化と相互運用性の向上が期待される。FRUCtoSはオンプレミスとクラウドの両環境に対応し、既存の電子カルテシステムとのマッピングも実現可能である。

環境省が国立公園オフィシャルパートナーシッププログラム第2回意見交換会を開催、官民連携による国...

2024年11月21日

環境省は2024年10月31日、国立公園オフィシャルパートナーとの令和6年度第2回意見交換会を都内で開催した。5社のパートナー企業によるピッチイベントや自治体連携事例の共有、環境保全ツアーや観光資源活用についてのグループトークが実施され、2016年から開始された本プログラムは現在137の企業・団体が参画している。

環境省が国立公園オフィシャルパートナーシッププログラム第2回意見交換会を開催、官民連携による国...

2024年11月21日

環境省は2024年10月31日、国立公園オフィシャルパートナーとの令和6年度第2回意見交換会を都内で開催した。5社のパートナー企業によるピッチイベントや自治体連携事例の共有、環境保全ツアーや観光資源活用についてのグループトークが実施され、2016年から開始された本プログラムは現在137の企業・団体が参画している。

枚方モールにArtbar Lab Hirakataが常設開始、タリーズコーヒーで気軽なアート体...

2024年11月21日

株式会社大伸社ディライトが、枚方モール内のTULLY'S COFFEEにてアート制作を楽しめる「Artbar Lab Hirakata」を2024年10月1日より常設展開。ゴッホやモネなどの名画を題材に、現役アーティストの指導のもと2時間で作品を完成させることができる。ドリンク付きで6,050円からと、手軽にアート体験を楽しめる環境を提供している。

枚方モールにArtbar Lab Hirakataが常設開始、タリーズコーヒーで気軽なアート体...

2024年11月21日

株式会社大伸社ディライトが、枚方モール内のTULLY'S COFFEEにてアート制作を楽しめる「Artbar Lab Hirakata」を2024年10月1日より常設展開。ゴッホやモネなどの名画を題材に、現役アーティストの指導のもと2時間で作品を完成させることができる。ドリンク付きで6,050円からと、手軽にアート体験を楽しめる環境を提供している。

奈良市が現地決済型ふるさと納税ならふるを開始、観光消費の活性化と事業者支援を実現へ

2024年11月21日

奈良市は公式アプリSHIKA no ASHIATOに現地決済型ふるさと納税機能ならふるを実装した。寄附者には3割相当のポイントが即時発行され、市内の観光施設での支払いに利用可能。参加店舗には利用額の15%が観光促進支援金として支給される。従来の地場産品に依存しない新たなふるさと納税の形として注目される。

奈良市が現地決済型ふるさと納税ならふるを開始、観光消費の活性化と事業者支援を実現へ

2024年11月21日

奈良市は公式アプリSHIKA no ASHIATOに現地決済型ふるさと納税機能ならふるを実装した。寄附者には3割相当のポイントが即時発行され、市内の観光施設での支払いに利用可能。参加店舗には利用額の15%が観光促進支援金として支給される。従来の地場産品に依存しない新たなふるさと納税の形として注目される。

PerplexityとミンカブがAI検索エンジンで協業、国内Webメディア初のパートナーとして...

2024年11月21日

ミンカブ・ジ・インフォノイドはPerplexity AIの「Perplexity パブリッシャープログラム」に国内Webメディア初のパートナーとして参画。広告収入のレベニューシェアやAPIアクセス、Perplexity Enterprise Proの無料提供を受け、ライブドアなどのグループメディアでPerplexity APIを活用。コンテンツの質向上とユーザー満足度の向上を目指す。

PerplexityとミンカブがAI検索エンジンで協業、国内Webメディア初のパートナーとして...

2024年11月21日

ミンカブ・ジ・インフォノイドはPerplexity AIの「Perplexity パブリッシャープログラム」に国内Webメディア初のパートナーとして参画。広告収入のレベニューシェアやAPIアクセス、Perplexity Enterprise Proの無料提供を受け、ライブドアなどのグループメディアでPerplexity APIを活用。コンテンツの質向上とユーザー満足度の向上を目指す。

リョーサンがトヨタ自動車のTOYOTA UPCYCLEに参画、環境配慮型コラボノベルティの開発...

2024年11月21日

エレクトロニクス商社のリョーサンが、トヨタ自動車のカーボンニュートラル推進プロジェクト「TOYOTA UPCYCLE」に初参画。自動車製造過程で発生する端材を活用し、ペンケスやIDカードホルダーなどのコラボノベルティを開発。LEXUSなどに使用される上質なレザーを採用し、環境配慮と高品質を両立した製品として注目を集めている。

リョーサンがトヨタ自動車のTOYOTA UPCYCLEに参画、環境配慮型コラボノベルティの開発...

2024年11月21日

エレクトロニクス商社のリョーサンが、トヨタ自動車のカーボンニュートラル推進プロジェクト「TOYOTA UPCYCLE」に初参画。自動車製造過程で発生する端材を活用し、ペンケスやIDカードホルダーなどのコラボノベルティを開発。LEXUSなどに使用される上質なレザーを採用し、環境配慮と高品質を両立した製品として注目を集めている。

パソナ日本総務部がウェルビーイング促進オンラインセミナーを開催、xR技術とバイオフィリアでオフ...

2024年11月21日

パソナ日本総務部は2024年12月13日にオンラインセミナー『ウェルビーイング×最新技術でオフィスを共創空間に』を開催する。xR技術とバイオフィリアを組み合わせた新しいオフィス空間の実現方法や、VRを活用して新たに製作したコモレビズのショールームを紹介。ハイブリッドワーク時代における従業員のウェルビーイング向上を目指した取り組みが展開される。

パソナ日本総務部がウェルビーイング促進オンラインセミナーを開催、xR技術とバイオフィリアでオフ...

2024年11月21日

パソナ日本総務部は2024年12月13日にオンラインセミナー『ウェルビーイング×最新技術でオフィスを共創空間に』を開催する。xR技術とバイオフィリアを組み合わせた新しいオフィス空間の実現方法や、VRを活用して新たに製作したコモレビズのショールームを紹介。ハイブリッドワーク時代における従業員のウェルビーイング向上を目指した取り組みが展開される。

ELSOUL LABO B.V.がSolanaメインネットで手数料0%のバリデータ運用を開始、...

2024年11月21日

ELSOUL LABO B.V.とEpics DAOは、Solanaエコシステムのセキュリティ向上とユーザーに最大TrueAPYを提供するため、メインネットで手数料完全0%のバリデータ運用を開始した。Jitoクライアントの採用でスパムトランザクションを削減し、高性能ハードウェアと最適なロケーションでの運用により、効率的なトランザクション処理を実現。ステーキングの分散化を促進し、ネットワークの健全性向上を目指す。

ELSOUL LABO B.V.がSolanaメインネットで手数料0%のバリデータ運用を開始、...

2024年11月21日

ELSOUL LABO B.V.とEpics DAOは、Solanaエコシステムのセキュリティ向上とユーザーに最大TrueAPYを提供するため、メインネットで手数料完全0%のバリデータ運用を開始した。Jitoクライアントの採用でスパムトランザクションを削減し、高性能ハードウェアと最適なロケーションでの運用により、効率的なトランザクション処理を実現。ステーキングの分散化を促進し、ネットワークの健全性向上を目指す。

【CVE-2024-11212】SourceCodester Best Employee Ma...

2024年11月21日

SourceCodesterのBest Employee Management System 1.0のfetch_product_details.phpファイルにSQLインジェクションの脆弱性が発見された。barcodeパラメータを操作することでリモートからの攻撃が可能で、既に一般に公開されている。CVSSスコアは中程度だが、認証情報があれば攻撃可能なため、早急なパッチ適用が推奨される。機密性・整合性・可用性への影響は限定的と評価されている。

【CVE-2024-11212】SourceCodester Best Employee Ma...

2024年11月21日

SourceCodesterのBest Employee Management System 1.0のfetch_product_details.phpファイルにSQLインジェクションの脆弱性が発見された。barcodeパラメータを操作することでリモートからの攻撃が可能で、既に一般に公開されている。CVSSスコアは中程度だが、認証情報があれば攻撃可能なため、早急なパッチ適用が推奨される。機密性・整合性・可用性への影響は限定的と評価されている。

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドX...

2024年11月21日

Protect AIがcraigk5n/webcalendar 1.3.0における重大なストアドXSS脆弱性を報告した。この脆弱性はReport Name入力フィールドに存在し、悪意のあるスクリプトの実行によってユーザーアカウントとCookieの窃取が可能になる。CVSS3.0スコア7.6のHigh深刻度と評価され、現在も最新バージョンまで影響を受ける可能性があり、早急な対応が求められている。

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドX...

2024年11月21日

Protect AIがcraigk5n/webcalendar 1.3.0における重大なストアドXSS脆弱性を報告した。この脆弱性はReport Name入力フィールドに存在し、悪意のあるスクリプトの実行によってユーザーアカウントとCookieの窃取が可能になる。CVSS3.0スコア7.6のHigh深刻度と評価され、現在も最新バージョンまで影響を受ける可能性があり、早急な対応が求められている。

【CVE-2024-10534】Dataprom InformaticsのPACS-ACSSに...

2024年11月21日

Dataprom InformaticsのPersonnel Attendance Control SystemsおよびAccess Control Security Systemsに深刻な脆弱性が発見された。CVE-2024-10534として特定されたこの脆弱性は、Origin Validation Errorに分類され、トラフィックインジェクションを可能にする。CVSSスコアは8.6と高く評価され、2024年より前のすべてのバージョンが影響を受ける。早急な対応が推奨されている。

【CVE-2024-10534】Dataprom InformaticsのPACS-ACSSに...

2024年11月21日

Dataprom InformaticsのPersonnel Attendance Control SystemsおよびAccess Control Security Systemsに深刻な脆弱性が発見された。CVE-2024-10534として特定されたこの脆弱性は、Origin Validation Errorに分類され、トラフィックインジェクションを可能にする。CVSSスコアは8.6と高く評価され、2024年より前のすべてのバージョンが影響を受ける。早急な対応が推奨されている。

【CVE-2024-10311】External Database Based Actions...

2024年11月21日

WordPressプラグインExternal Database Based Actionsのバージョン0.1以前に認証バイパスの脆弱性が発見された。edba_admin_handle関数における機能チェックの欠如により、サブスクライバー以上の権限を持つ攻撃者がプラグイン設定を更新し管理者として不正にログインできる状態となっている。CVSSスコアは7.5と高く、早急な対応が必要だ。

【CVE-2024-10311】External Database Based Actions...

2024年11月21日

WordPressプラグインExternal Database Based Actionsのバージョン0.1以前に認証バイパスの脆弱性が発見された。edba_admin_handle関数における機能チェックの欠如により、サブスクライバー以上の権限を持つ攻撃者がプラグイン設定を更新し管理者として不正にログインできる状態となっている。CVSSスコアは7.5と高く、早急な対応が必要だ。

【CVE-2024-9409】Schneider ElectricのPowerLogic製品に...

2024年11月21日

Schneider Electric社のPowerLogic PM5320、PM5340、PM5341において、IGMPパケットによるリソース消費の脆弱性が発見された。CVSS v4.0で8.7、v3.1で7.5と高い深刻度が評価され、特別な権限なく攻撃が可能。PowerLogic PM5320とPM5340はバージョン2.3.8以前、PM5341は2.6.6以前が影響を受け、デバイスの応答不能や通信途絶のリスクが指摘されている。

【CVE-2024-9409】Schneider ElectricのPowerLogic製品に...

2024年11月21日

Schneider Electric社のPowerLogic PM5320、PM5340、PM5341において、IGMPパケットによるリソース消費の脆弱性が発見された。CVSS v4.0で8.7、v3.1で7.5と高い深刻度が評価され、特別な権限なく攻撃が可能。PowerLogic PM5320とPM5340はバージョン2.3.8以前、PM5341は2.6.6以前が影響を受け、デバイスの応答不能や通信途絶のリスクが指摘されている。

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

2024年11月21日

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4（MEDIUM）と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

2024年11月21日

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4（MEDIUM）と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-9059】Royal Elementor Addons 1.7.1001に...

2024年11月21日

WordPressプラグインのRoyal Elementor Addons and Templates 1.7.1001以前のバージョンにおいて、Google Mapsウィジェットに重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能な状態となっており、閲覧者の環境で不正なスクリプトが実行される危険性がある。CVSSスコアは6.4でミディアムレベルの深刻度となっている。

【CVE-2024-9059】Royal Elementor Addons 1.7.1001に...

2024年11月21日

WordPressプラグインのRoyal Elementor Addons and Templates 1.7.1001以前のバージョンにおいて、Google Mapsウィジェットに重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能な状態となっており、閲覧者の環境で不正なスクリプトが実行される危険性がある。CVSSスコアは6.4でミディアムレベルの深刻度となっている。

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻な...

2024年11月21日

コンテンツ管理システムCraftにおいて、FileHelper::absolutePath関数のパス正規化機能の欠如により、Twig SSTIを介したリモートコード実行が可能となる脆弱性が発見された。CVE-2024-52293として識別されるこの問題は、CVSSスコア7.2のHigh評価を受け、バージョン4.12.2と5.4.3で修正された。影響を受けるバージョンのユーザーは速やかなアップデートが推奨される。

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻な...

2024年11月21日

コンテンツ管理システムCraftにおいて、FileHelper::absolutePath関数のパス正規化機能の欠如により、Twig SSTIを介したリモートコード実行が可能となる脆弱性が発見された。CVE-2024-52293として識別されるこの問題は、CVSSスコア7.2のHigh評価を受け、バージョン4.12.2と5.4.3で修正された。影響を受けるバージョンのユーザーは速やかなアップデートが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

2024年11月21日

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

2024年11月21日

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケ...

2024年11月21日

CesantaのMongoose Web Server v7.14において範囲外ポインタオフセットの使用に関する脆弱性が発見された。攻撃者は特別に細工されたTLSパケットを送信することで、アプリケーションに意図しないヒープメモリ空間の読み取りを強制することが可能である。CVSSスコアは4.3（ミディアム）と評価されており、攻撃には利用者の関与が必要だが特権は不要とされている。

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケ...

2024年11月21日

CesantaのMongoose Web Server v7.14において範囲外ポインタオフセットの使用に関する脆弱性が発見された。攻撃者は特別に細工されたTLSパケットを送信することで、アプリケーションに意図しないヒープメモリ空間の読み取りを強制することが可能である。CVSSスコアは4.3（ミディアム）と評価されており、攻撃には利用者の関与が必要だが特権は不要とされている。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

2024年11月21日

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3（MEDIUM）と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

2024年11月21日

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3（MEDIUM）と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-11211】EyouCMS 1.6.7に重大な脆弱性、Webサイトロゴの無...

2024年11月21日

VulDBはEyouCMSバージョン1.6.0から1.6.7に影響を及ぼす重大な脆弱性を報告した。Webサイトロゴハンドラーコンポーネントにおける無制限アップロードの脆弱性により、高い特権を持つ攻撃者によるリモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、ベンダーからの応答がないまま脆弱性情報が公開され、早急な対応が求められる状況となっている。

【CVE-2024-11211】EyouCMS 1.6.7に重大な脆弱性、Webサイトロゴの無...

2024年11月21日

VulDBはEyouCMSバージョン1.6.0から1.6.7に影響を及ぼす重大な脆弱性を報告した。Webサイトロゴハンドラーコンポーネントにおける無制限アップロードの脆弱性により、高い特権を持つ攻撃者によるリモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、ベンダーからの応答がないまま脆弱性情報が公開され、早急な対応が求められる状況となっている。

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり...

2024年11月21日

IPアドレス管理ソフトウェアphpIPAM 1.5.1において、X-Forwarded-Forヘッダーを利用してIPブロックメカニズムを回避できる脆弱性が発見された。この脆弱性により、攻撃者は管理者を含むすべてのユーザーアカウントに対してパスワードの総当たり攻撃が可能となる。CVSSスコアは5.3（Medium）で評価され、バージョン1.7.0で修正されている。早急なアップデートが推奨される重要な問題だ。

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり...

2024年11月21日

IPアドレス管理ソフトウェアphpIPAM 1.5.1において、X-Forwarded-Forヘッダーを利用してIPブロックメカニズムを回避できる脆弱性が発見された。この脆弱性により、攻撃者は管理者を含むすべてのユーザーアカウントに対してパスワードの総当たり攻撃が可能となる。CVSSスコアは5.3（Medium）で評価され、バージョン1.7.0で修正されている。早急なアップデートが推奨される重要な問題だ。