Tech Insights

【CVE-2024-50265】Linuxカーネルのocfs2コンポーネントでNULLポインタ参照の脆弱性を修正、システムの安定性向上へ

【CVE-2024-50265】Linuxカーネルのocfs2コンポーネントでNULLポインタ...

Linuxカーネルの開発チームは2024年11月19日、ocfs2コンポーネントにおけるNULLポインタ参照の脆弱性を修正するアップデートを公開した。Syzkallerによって発見された問題では、ocfs2_xa_remove関数内でのNULLポインタ参照により、システムの安定性が損なわれる可能性が指摘されている。修正により、エントリ削除処理が適切に制御され、システムの信頼性が向上した。

【CVE-2024-50265】Linuxカーネルのocfs2コンポーネントでNULLポインタ...

Linuxカーネルの開発チームは2024年11月19日、ocfs2コンポーネントにおけるNULLポインタ参照の脆弱性を修正するアップデートを公開した。Syzkallerによって発見された問題では、ocfs2_xa_remove関数内でのNULLポインタ参照により、システムの安定性が損なわれる可能性が指摘されている。修正により、エントリ削除処理が適切に制御され、システムの信頼性が向上した。

【CVE-2024-50264】Linuxカーネルvsockのダングリングポインタ脆弱性、複数バージョンに影響し修正パッチを提供

【CVE-2024-50264】Linuxカーネルvsockのダングリングポインタ脆弱性、複数...

2024年11月19日、kernel.orgはLinuxカーネルのvsockモジュールにおけるダングリングポインタによるUse-After-Free脆弱性を修正した。この脆弱性はループバック通信時にvsk->transで発生する可能性があり、バージョン4.8以降のシステムに影響を及ぼしていた。修正はvsk->transをNULLで初期化することで対応し、4.19.324以降、5.4.286以降などの各バージョンで脆弱性が修正されている。

【CVE-2024-50264】Linuxカーネルvsockのダングリングポインタ脆弱性、複数...

2024年11月19日、kernel.orgはLinuxカーネルのvsockモジュールにおけるダングリングポインタによるUse-After-Free脆弱性を修正した。この脆弱性はループバック通信時にvsk->transで発生する可能性があり、バージョン4.8以降のシステムに影響を及ぼしていた。修正はvsk->transをNULLで初期化することで対応し、4.19.324以降、5.4.286以降などの各バージョンで脆弱性が修正されている。

【CVE-2024-50142】Linuxカーネルのxfrmコンポーネントに脆弱性、プレフィックス長の検証に関する重要な更新が必要に

【CVE-2024-50142】Linuxカーネルのxfrmコンポーネントに脆弱性、プレフィッ...

kernel.orgは2024年11月7日、Linuxカーネルのxfrmコンポーネントにおいてプレフィックス長の検証に関する重要な脆弱性を公開した。この脆弱性は【CVE-2024-50142】として特定され、特にバージョン2.6.12以降の環境に影響を及ぼす。kernel.orgは各バージョン向けに修正パッチを提供し、4.19.323以降や5.4.285以降のバージョンでは既に対策が実施されている。

【CVE-2024-50142】Linuxカーネルのxfrmコンポーネントに脆弱性、プレフィッ...

kernel.orgは2024年11月7日、Linuxカーネルのxfrmコンポーネントにおいてプレフィックス長の検証に関する重要な脆弱性を公開した。この脆弱性は【CVE-2024-50142】として特定され、特にバージョン2.6.12以降の環境に影響を及ぼす。kernel.orgは各バージョン向けに修正パッチを提供し、4.19.323以降や5.4.285以降のバージョンでは既に対策が実施されている。

【CVE-2024-10928】MonoCMS 20240528にクロスサイトスクリプティングの脆弱性、ベンダーの対応が課題に

【CVE-2024-10928】MonoCMS 20240528にクロスサイトスクリプティング...

MonoCMSのバージョン20240528以前において、Posts Pageコンポーネントの/monofiles/opensaved.phpファイルに深刻な脆弱性が発見された。filtcategoryやfiltstatusパラメータの操作によってクロスサイトスクリプティング攻撃が可能となり、CVSSスコアは5.3(MEDIUM)と評価された。ベンダーへの報告後も返答がなく、既に攻撃コードが公開されている状況だ。

【CVE-2024-10928】MonoCMS 20240528にクロスサイトスクリプティング...

MonoCMSのバージョン20240528以前において、Posts Pageコンポーネントの/monofiles/opensaved.phpファイルに深刻な脆弱性が発見された。filtcategoryやfiltstatusパラメータの操作によってクロスサイトスクリプティング攻撃が可能となり、CVSSスコアは5.3(MEDIUM)と評価された。ベンダーへの報告後も返答がなく、既に攻撃コードが公開されている状況だ。

Grafana LabsがObservabilityCON on the Road Tokyo 2025を初開催、オブザーバビリティの最新トレンドと製品情報を共有へ

Grafana LabsがObservabilityCON on the Road Tokyo...

Grafana Labsが2025年2月25日に東京ポートシティ竹芝のポートホールでObservabilityCON on the Road Tokyo 2025を開催する。CTOのTom Wilkieをはじめとする世界各国のGrafanaチームメンバーが登壇し、オブザーバビリティの最新トレンドやGrafana Labsの製品情報、オープンソースプロジェクトの最新情報を共有する予定だ。グリー株式会社などの導入企業による成功事例の紹介も行われる見込みである。

Grafana LabsがObservabilityCON on the Road Tokyo...

Grafana Labsが2025年2月25日に東京ポートシティ竹芝のポートホールでObservabilityCON on the Road Tokyo 2025を開催する。CTOのTom Wilkieをはじめとする世界各国のGrafanaチームメンバーが登壇し、オブザーバビリティの最新トレンドやGrafana Labsの製品情報、オープンソースプロジェクトの最新情報を共有する予定だ。グリー株式会社などの導入企業による成功事例の紹介も行われる見込みである。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダーの対応の遅れに懸念

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。

【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メモリ破損のリスクに対応

【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メ...

kernel.orgが2024年10月21日に公開したLinuxカーネルのiceドライバの脆弱性情報によると、VF上でのMSI-X値増加時に無効なメモリ操作が発生する問題が確認された。この脆弱性はCVE-2024-50042として識別され、デフォルト値の16を超えるMSI-X設定時にメモリ破損のリスクが高まる。修正パッチではice_vsi_rebuild()を使用して配列の再割り当てを適切に行うことで対応している。

【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メ...

kernel.orgが2024年10月21日に公開したLinuxカーネルのiceドライバの脆弱性情報によると、VF上でのMSI-X値増加時に無効なメモリ操作が発生する問題が確認された。この脆弱性はCVE-2024-50042として識別され、デフォルト値の16を超えるMSI-X設定時にメモリ破損のリスクが高まる。修正パッチではice_vsi_rebuild()を使用して配列の再割り当てを適切に行うことで対応している。

【CVE-2024-11486】Code4Berry Decoration Management System 1.0に権限の脆弱性、ベンダー対応なく公開状態が継続

【CVE-2024-11486】Code4Berry Decoration Managemen...

Code4Berry Decoration Management System 1.0のuser_permission.phpファイルにおいて深刻な権限の脆弱性が発見された。CVE-2024-11486として識別されたこの脆弱性は、リモートからの攻撃が可能でCVSSスコアは最大5.3を記録。ベンダーへの早期通知にも関わらず対応がなく、脆弱性が一般に公開された状態が続いている。システム管理者による迅速な対応が求められる状況だ。

【CVE-2024-11486】Code4Berry Decoration Managemen...

Code4Berry Decoration Management System 1.0のuser_permission.phpファイルにおいて深刻な権限の脆弱性が発見された。CVE-2024-11486として識別されたこの脆弱性は、リモートからの攻撃が可能でCVSSスコアは最大5.3を記録。ベンダーへの早期通知にも関わらず対応がなく、脆弱性が一般に公開された状態が続いている。システム管理者による迅速な対応が求められる状況だ。

【CVE-2024-11484】Code4Berry Decoration Management Systemにアクセス制御の脆弱性、ベンダーの対応に課題

【CVE-2024-11484】Code4Berry Decoration Managemen...

VulDBが2024年11月20日、Code4Berry Decoration Management System 1.0の重大な脆弱性を公開した。update_image.phpファイル内のユーザー画像ハンドラーコンポーネントに存在する脆弱性で、productimage1パラメータの操作により不適切なアクセス制御を引き起こす可能性がある。CVSSスコアは最新のバージョン4.0で5.3を記録しており、早急な対応が求められる。

【CVE-2024-11484】Code4Berry Decoration Managemen...

VulDBが2024年11月20日、Code4Berry Decoration Management System 1.0の重大な脆弱性を公開した。update_image.phpファイル内のユーザー画像ハンドラーコンポーネントに存在する脆弱性で、productimage1パラメータの操作により不適切なアクセス制御を引き起こす可能性がある。CVSSスコアは最新のバージョン4.0で5.3を記録しており、早急な対応が求められる。

【CVE-2024-53076】Linux kernelのiio_gts_build_avail_scale_tableにメモリリーク脆弱性が発見、複数バージョンに影響

【CVE-2024-53076】Linux kernelのiio_gts_build_avai...

Linux kernelのiio_gts_build_avail_scale_table関数においてメモリリークの脆弱性が発見された。この問題はper_time_scalesやper_time_gainsのkcalloc処理に起因しており、特にforループ内でのメモリ解放が適切に行われない状況が確認されている。影響を受けるバージョンはLinux 6.4から6.6.60までの範囲で、セキュリティアップデートによる対応が進められている。

【CVE-2024-53076】Linux kernelのiio_gts_build_avai...

Linux kernelのiio_gts_build_avail_scale_table関数においてメモリリークの脆弱性が発見された。この問題はper_time_scalesやper_time_gainsのkcalloc処理に起因しており、特にforループ内でのメモリ解放が適切に行われない状況が確認されている。影響を受けるバージョンはLinux 6.4から6.6.60までの範囲で、セキュリティアップデートによる対応が進められている。

【CVE-2024-11070】PublicCMS 5.202406.dにクロスサイトスクリプティングの脆弱性が発見、リモート攻撃のリスクに対応急務

【CVE-2024-11070】PublicCMS 5.202406.dにクロスサイトスクリプ...

Sanluan社のPublicCMS 5.202406.dにおいて、Tag Type Handlerコンポーネントの/admin/cmsTagType/save機能にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSS 4.0で中程度(5.3)と評価されたこの脆弱性は、リモートからの攻撃が可能で、既に公開されている。対策が急務となっているが、自動化された攻撃は困難とされている。

【CVE-2024-11070】PublicCMS 5.202406.dにクロスサイトスクリプ...

Sanluan社のPublicCMS 5.202406.dにおいて、Tag Type Handlerコンポーネントの/admin/cmsTagType/save機能にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSS 4.0で中程度(5.3)と評価されたこの脆弱性は、リモートからの攻撃が可能で、既に公開されている。対策が急務となっているが、自動化された攻撃は困難とされている。

【CVE-2024-50166】Linuxカーネルのfman関連デバイスに参照カウント処理の脆弱性、複数バージョンで修正パッチをリリース

【CVE-2024-50166】Linuxカーネルのfman関連デバイスに参照カウント処理の脆...

Linuxカーネルのfman関連デバイスにおいて参照カウント処理の脆弱性が発見され、2024年11月7日に修正パッチがリリースされた。mac_probe()関数内での参照カウント処理の不備により、システムリソースのリークが発生する可能性がある。Linux 4.5以降のバージョンが影響を受けるが、6.6.59以降の6.6系列、6.11.6以降の6.11系列、6.12以降のバージョンではすでに修正が適用されている。

【CVE-2024-50166】Linuxカーネルのfman関連デバイスに参照カウント処理の脆...

Linuxカーネルのfman関連デバイスにおいて参照カウント処理の脆弱性が発見され、2024年11月7日に修正パッチがリリースされた。mac_probe()関数内での参照カウント処理の不備により、システムリソースのリークが発生する可能性がある。Linux 4.5以降のバージョンが影響を受けるが、6.6.59以降の6.6系列、6.11.6以降の6.11系列、6.12以降のバージョンではすでに修正が適用されている。

ERPCがGeyser gRPCコネクションの提供を開始、Solanaネットワークのリアルタイムデータアクセスが大幅に向上へ

ERPCがGeyser gRPCコネクションの提供を開始、Solanaネットワークのリアルタイ...

ELSOUL LABO B.V.とValidators DAOが運営するグローバルRPCプロバイダERPCは、Solanaネットワークのリアルタイムデータアクセスを強化するGeyser gRPCコネクションの提供を開始した。月額199ユーロのプレミアムプランでは、トランザクションデータのリアルタイムストリーミングやイベント駆動型アクションの実装が可能になり、開発者や運用者の効率性が大幅に向上する。

ERPCがGeyser gRPCコネクションの提供を開始、Solanaネットワークのリアルタイ...

ELSOUL LABO B.V.とValidators DAOが運営するグローバルRPCプロバイダERPCは、Solanaネットワークのリアルタイムデータアクセスを強化するGeyser gRPCコネクションの提供を開始した。月額199ユーロのプレミアムプランでは、トランザクションデータのリアルタイムストリーミングやイベント駆動型アクションの実装が可能になり、開発者や運用者の効率性が大幅に向上する。

ZOZOが衣服の物理シミュレーション論文をSIGGRAPH Asia 2024で発表、アパレル生産の自動化に向け技術革新

ZOZOが衣服の物理シミュレーション論文をSIGGRAPH Asia 2024で発表、アパレル...

株式会社ZOZOは、着衣シミュレーションにおける衝突処理技術に関する論文「A Cubic Barrier with Elasticity-Inclusive Dynamic Stiffness」がSIGGRAPH Asia 2024で採択された。本技術により、布地の挙動を正確に計算し、アパレル生産工程の自動化を実現。2024年12月3日から6日に東京国際フォーラムで開催される学会にて発表予定。

ZOZOが衣服の物理シミュレーション論文をSIGGRAPH Asia 2024で発表、アパレル...

株式会社ZOZOは、着衣シミュレーションにおける衝突処理技術に関する論文「A Cubic Barrier with Elasticity-Inclusive Dynamic Stiffness」がSIGGRAPH Asia 2024で採択された。本技術により、布地の挙動を正確に計算し、アパレル生産工程の自動化を実現。2024年12月3日から6日に東京国際フォーラムで開催される学会にて発表予定。

Trans-NがオープンソースLLMを活用した企業向けシステム開発を開始、GPT-4並のユーザーエクスペリエンスを実現へ

Trans-NがオープンソースLLMを活用した企業向けシステム開発を開始、GPT-4並のユーザ...

トランスエヌ株式会社は2024年11月25日、オープンソースLLMを活用した企業向けシステム開発の提供を開始した。日本語能力が評価されているQwen2.5を採用し、企業内プライベート環境でのシステム構築を実現。情報セキュリティを確保しながら、企業固有の知識やデータを学習させることで、業務や習慣をより深く理解し、高精度な回答を提供することが可能になる。

Trans-NがオープンソースLLMを活用した企業向けシステム開発を開始、GPT-4並のユーザ...

トランスエヌ株式会社は2024年11月25日、オープンソースLLMを活用した企業向けシステム開発の提供を開始した。日本語能力が評価されているQwen2.5を採用し、企業内プライベート環境でのシステム構築を実現。情報セキュリティを確保しながら、企業固有の知識やデータを学習させることで、業務や習慣をより深く理解し、高精度な回答を提供することが可能になる。

【CVE-2024-11589】itsourcecode Tailoring Management System 1.0にSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-11589】itsourcecode Tailoring Manageme...

itsourcecodeのTailoring Management System 1.0のexpcatedit.phpファイルに深刻な脆弱性が発見された。CVE-2024-11589として報告されたこの脆弱性は、SQLインジェクションによるものであり、リモートからの攻撃が可能。CVSS 4.0スコアは5.3で深刻度は「MEDIUM」と評価され、機密性、完全性、可用性への影響が指摘されている。既に公開されており、早急な対応が求められる。

【CVE-2024-11589】itsourcecode Tailoring Manageme...

itsourcecodeのTailoring Management System 1.0のexpcatedit.phpファイルに深刻な脆弱性が発見された。CVE-2024-11589として報告されたこの脆弱性は、SQLインジェクションによるものであり、リモートからの攻撃が可能。CVSS 4.0スコアは5.3で深刻度は「MEDIUM」と評価され、機密性、完全性、可用性への影響が指摘されている。既に公開されており、早急な対応が求められる。

【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベンダーの対応が課題に

【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...

115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。

【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...

115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。

【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、wireless・healthエンドポイントのmetricパラメータに深刻な問題

【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、w...

オープンソースのネットワーク監視システムLibreNMSにおいて、"/wireless"および"/health"エンドポイントの"metric"パラメータにReflected XSS(反射型クロスサイトスクリプティング)の脆弱性が発見された。CVSSスコアは4.8(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。バージョン24.10.0未満が影響を受け、最新版へのアップデートが推奨される。

【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、w...

オープンソースのネットワーク監視システムLibreNMSにおいて、"/wireless"および"/health"エンドポイントの"metric"パラメータにReflected XSS(反射型クロスサイトスクリプティング)の脆弱性が発見された。CVSSスコアは4.8(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。バージョン24.10.0未満が影響を受け、最新版へのアップデートが推奨される。

【CVE-2024-9341】Red HatがContainers共通ライブラリの重大な脆弱性を発表、コンテナセキュリティの強化が急務に

【CVE-2024-9341】Red HatがContainers共通ライブラリの重大な脆弱性...

Red Hatは2024年10月1日、Containers共通ライブラリにFIPSモード有効時のファイルパス検証の脆弱性が存在することを発表した。この脆弱性により攻撃者はシンボリックリンクを悪用してホストの重要なディレクトリをコンテナ内にマウントすることが可能となる。Podman、Buildah、Cri-Oなどの主要なコンテナランタイムに影響があり、RHEL 8/9およびOpenShift Container Platform 4.12-4.17向けに修正パッチが提供されている。

【CVE-2024-9341】Red HatがContainers共通ライブラリの重大な脆弱性...

Red Hatは2024年10月1日、Containers共通ライブラリにFIPSモード有効時のファイルパス検証の脆弱性が存在することを発表した。この脆弱性により攻撃者はシンボリックリンクを悪用してホストの重要なディレクトリをコンテナ内にマウントすることが可能となる。Podman、Buildah、Cri-Oなどの主要なコンテナランタイムに影響があり、RHEL 8/9およびOpenShift Container Platform 4.12-4.17向けに修正パッチが提供されている。

【CVE-2024-50351】LibreNMSにReflected XSSの脆弱性が発見、バージョン24.10.0で修正完了

【CVE-2024-50351】LibreNMSにReflected XSSの脆弱性が発見、バ...

オープンソースのネットワーク監視システムLibreNMSにおいて、Reflected XSSの脆弱性(CVE-2024-50351)が発見された。この脆弱性はlogsタブのsectionパラメータに存在し、report_this関数での入力値の無害化処理が不十分であることが原因。CVSSスコアは4.8(MEDIUM)と評価され、バージョン24.10.0で修正が完了している。

【CVE-2024-50351】LibreNMSにReflected XSSの脆弱性が発見、バ...

オープンソースのネットワーク監視システムLibreNMSにおいて、Reflected XSSの脆弱性(CVE-2024-50351)が発見された。この脆弱性はlogsタブのsectionパラメータに存在し、report_this関数での入力値の無害化処理が不十分であることが原因。CVSSスコアは4.8(MEDIUM)と評価され、バージョン24.10.0で修正が完了している。

【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプティングの脆弱性が発見、ベンダー対応に課題

【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプ...

VulDBは2024年11月20日、115cmsのバージョン20240807以前に存在するクロスサイトスクリプティングの脆弱性を公開した。/app/admin/view/web_user.htmlファイルのks引数の処理に関連する脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、既に一般に公開され悪用される可能性が指摘されている。

【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプ...

VulDBは2024年11月20日、115cmsのバージョン20240807以前に存在するクロスサイトスクリプティングの脆弱性を公開した。/app/admin/view/web_user.htmlファイルのks引数の処理に関連する脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、既に一般に公開され悪用される可能性が指摘されている。

【CVE-2024-10920】mariazevedo88のtravels-java-apiにJWT認証の脆弱性が発見、ハードコードされた暗号化キーが問題に

【CVE-2024-10920】mariazevedo88のtravels-java-apiに...

mariazevedo88のtravels-java-apiにおいて、JwtAuthenticationTokenFilter.javaのdoFilterInternal関数で使用されているハードコードされた暗号化キーに関する脆弱性が発見された。この問題はバージョン5.0.0から5.0.1まで影響を与える可能性があり、CVSS 4.0では低リスクと評価されているものの、リモートからの攻撃の可能性が指摘されている。

【CVE-2024-10920】mariazevedo88のtravels-java-apiに...

mariazevedo88のtravels-java-apiにおいて、JwtAuthenticationTokenFilter.javaのdoFilterInternal関数で使用されているハードコードされた暗号化キーに関する脆弱性が発見された。この問題はバージョン5.0.0から5.0.1まで影響を与える可能性があり、CVSS 4.0では低リスクと評価されているものの、リモートからの攻撃の可能性が指摘されている。

【CVE-2024-11590】1000 Projects Bookstore Management Systemにリモート攻撃可能な脆弱性、パスワードリセット機能に深刻な問題

【CVE-2024-11590】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。

【CVE-2024-11590】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。

【CVE-2024-50267】LinuxカーネルのUSBシリアルドライバーにuse-after-free脆弱性、複数バージョンで修正パッチをリリース

【CVE-2024-50267】LinuxカーネルのUSBシリアルドライバーにuse-afte...

Linuxカーネルの開発チームは2024年11月19日、USBシリアルドライバーio_edgeportにおけるuse-after-free脆弱性を修正した。この脆弱性は【CVE-2024-50267】として識別され、デバッグ出力処理でメモリ解放後のポインタアクセスが問題となっていた。修正パッチは4.19.324、5.4.286、5.10.230などの複数バージョンで提供されており、影響を受けるユーザーは最新のセキュリティアップデートの適用が推奨される。

【CVE-2024-50267】LinuxカーネルのUSBシリアルドライバーにuse-afte...

Linuxカーネルの開発チームは2024年11月19日、USBシリアルドライバーio_edgeportにおけるuse-after-free脆弱性を修正した。この脆弱性は【CVE-2024-50267】として識別され、デバッグ出力処理でメモリ解放後のポインタアクセスが問題となっていた。修正パッチは4.19.324、5.4.286、5.10.230などの複数バージョンで提供されており、影響を受けるユーザーは最新のセキュリティアップデートの適用が推奨される。

【CVE-2024-50281】LinuxカーネルのKEYSコンポーネントにNULL参照の脆弱性、暗号化操作の安全性向上へ

【CVE-2024-50281】LinuxカーネルのKEYSコンポーネントにNULL参照の脆弱...

Linuxカーネルの開発チームが、KEYSコンポーネントのtrusted dcpモジュールにおけるNULL参照の脆弱性【CVE-2024-50281】を修正した。この脆弱性は暗号化操作の完了待機処理が不適切だったことに起因しており、システムの高負荷時にNULLポインタ参照エラーが発生する可能性があった。修正により、AEAD暗号操作の完了を確実に待機するよう改善された。

【CVE-2024-50281】LinuxカーネルのKEYSコンポーネントにNULL参照の脆弱...

Linuxカーネルの開発チームが、KEYSコンポーネントのtrusted dcpモジュールにおけるNULL参照の脆弱性【CVE-2024-50281】を修正した。この脆弱性は暗号化操作の完了待機処理が不適切だったことに起因しており、システムの高負荷時にNULLポインタ参照エラーが発生する可能性があった。修正により、AEAD暗号操作の完了を確実に待機するよう改善された。

【CVE-2024-11261】Student Record Management System 1.0にメモリ破損の脆弱性、学生情報管理システムのセキュリティに課題

【CVE-2024-11261】Student Record Management Syste...

SourceCodester社のStudent Record Management System 1.0において、StudentRecordManagementSystem.cppファイルに重大な脆弱性が発見された。メモリ破損を引き起こす可能性があり、CVSSスコアでは中程度の評価となっている。ローカル環境での攻撃が条件となるが、既に公開されており早急な対応が必要な状況だ。教育機関での使用を考慮すると、個人情報保護の観点から重要な課題となっている。

【CVE-2024-11261】Student Record Management Syste...

SourceCodester社のStudent Record Management System 1.0において、StudentRecordManagementSystem.cppファイルに重大な脆弱性が発見された。メモリ破損を引き起こす可能性があり、CVSSスコアでは中程度の評価となっている。ローカル環境での攻撃が条件となるが、既に公開されており早急な対応が必要な状況だ。教育機関での使用を考慮すると、個人情報保護の観点から重要な課題となっている。

【CVE-2024-11078】code-projects Job Recruitment 1.0にクロスサイトスクリプティングの脆弱性が発見、リモート攻撃が可能に

【CVE-2024-11078】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。

【CVE-2024-11078】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。

【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの脆弱性、管理者インターフェースのセキュリティに影響

【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの...

115cmsのバージョン20240807において、管理者インターフェースのset.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(5.3点)、CVSS 3.1で低(3.5点)と評価されており、typeパラメータの操作によってリモートから攻撃が可能。ベンダーへの報告に対する返答がない状態が続いており、早急な対応が必要とされている。

【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの...

115cmsのバージョン20240807において、管理者インターフェースのset.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(5.3点)、CVSS 3.1で低(3.5点)と評価されており、typeパラメータの操作によってリモートから攻撃が可能。ベンダーへの報告に対する返答がない状態が続いており、早急な対応が必要とされている。

【CVE-2024-50282】LinuxカーネルのAMDGPUドライバにバッファオーバーフロー対策を実装、システムセキュリティが向上

【CVE-2024-50282】LinuxカーネルのAMDGPUドライバにバッファオーバーフロ...

Linuxカーネルの開発チームは2024年11月19日、AMDGPUドライバのセキュリティアップデートを実施した。このアップデートではamdgpu_debugfs_gprwave_read()関数にサイズチェック機能が追加され、4KB以上のバッファオーバーフローを防止する対策が実装された。この脆弱性は【CVE-2024-50282】として識別されており、4.19.324から6.12までの各バージョンで修正が展開されている。

【CVE-2024-50282】LinuxカーネルのAMDGPUドライバにバッファオーバーフロ...

Linuxカーネルの開発チームは2024年11月19日、AMDGPUドライバのセキュリティアップデートを実施した。このアップデートではamdgpu_debugfs_gprwave_read()関数にサイズチェック機能が追加され、4KB以上のバッファオーバーフローを防止する対策が実装された。この脆弱性は【CVE-2024-50282】として識別されており、4.19.324から6.12までの各バージョンで修正が展開されている。

【CVE-2024-53061】Linux kernelのs5p-jpegにバッファオーバーフロー脆弱性、複数バージョンに影響

【CVE-2024-53061】Linux kernelのs5p-jpegにバッファオーバーフ...

Linux kernelのmediaサブシステムにおいて、s5p-jpegコンポーネントに深刻なバッファオーバーフロー脆弱性が発見された。この脆弱性はwordが2未満になることを許可してしまう問題で、特にバージョン4.4では全てのユーザーが影響を受ける可能性がある。対策パッチは複数のカーネルブランチに適用され、最新バージョンでは脆弱性が修正されている。

【CVE-2024-53061】Linux kernelのs5p-jpegにバッファオーバーフ...

Linux kernelのmediaサブシステムにおいて、s5p-jpegコンポーネントに深刻なバッファオーバーフロー脆弱性が発見された。この脆弱性はwordが2未満になることを許可してしまう問題で、特にバージョン4.4では全てのユーザーが影響を受ける可能性がある。対策パッチは複数のカーネルブランチに適用され、最新バージョンでは脆弱性が修正されている。