Tech Insights

【CVE-2024-53069】Linux kernelのfirmware qcom scmにNULLポインタ参照の脆弱性が発見、kernel.orgが修正パッチを提供

【CVE-2024-53069】Linux kernelのfirmware qcom scmに...

kernel.orgは2024年11月19日、Linux kernelのfirmware qcom scmドライバーにNULLポインタ参照の脆弱性が発見されたと発表した。この脆弱性はCVE-2024-53069として識別され、デバイスツリーにSCMエントリが存在しない場合にドライバーがプローブされない状況で発生する可能性がある。Linux kernel 6.11未満のバージョンおよび6.11.8以降の6.11.xシリーズ、6.12以降のバージョンでは影響を受けない。

【CVE-2024-53069】Linux kernelのfirmware qcom scmに...

kernel.orgは2024年11月19日、Linux kernelのfirmware qcom scmドライバーにNULLポインタ参照の脆弱性が発見されたと発表した。この脆弱性はCVE-2024-53069として識別され、デバイスツリーにSCMエントリが存在しない場合にドライバーがプローブされない状況で発生する可能性がある。Linux kernel 6.11未満のバージョンおよび6.11.8以降の6.11.xシリーズ、6.12以降のバージョンでは影響を受けない。

Sysdigが新CEOにウィリアム・ウェルチを任命、クラウドセキュリティ市場のグローバル展開を加速

Sysdigが新CEOにウィリアム・ウェルチを任命、クラウドセキュリティ市場のグローバル展開を加速

クラウドセキュリティのリーダー企業Sysdigが、ウィリアム・ウェルチを新CEOに任命した。Duo Security、Zscaler、Symantecでの経験を持つウェルチの就任により、CNAPPにおけるグローバルな影響力の拡大を目指す。急成長するクラウドセキュリティ市場で、オープンソースのFalcoを基盤に、AIクラウドセキュリティアナリストSysdig Sageを展開し、さらなる成長を加速させる。

Sysdigが新CEOにウィリアム・ウェルチを任命、クラウドセキュリティ市場のグローバル展開を加速

クラウドセキュリティのリーダー企業Sysdigが、ウィリアム・ウェルチを新CEOに任命した。Duo Security、Zscaler、Symantecでの経験を持つウェルチの就任により、CNAPPにおけるグローバルな影響力の拡大を目指す。急成長するクラウドセキュリティ市場で、オープンソースのFalcoを基盤に、AIクラウドセキュリティアナリストSysdig Sageを展開し、さらなる成長を加速させる。

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホットプラグ処理の安定性が向上へ

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...

Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...

Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。

Meta Heroesが大阪で3DCGモデリング体験会を開催、約70名の子どもたちがデジタルものづくりを体験

Meta Heroesが大阪で3DCGモデリング体験会を開催、約70名の子どもたちがデジタルも...

株式会社Meta Heroesが「みらいのたからばこ2024 in 大阪」にて3DCGモデリング体験会を開催した。無料3Dモデリングソフト「Blender」を活用し、約70名の子どもたちとその家族がデジタルものづくりを体験。今後もなんばパークス1階「Hero Egg」で定期的な体験会を実施し、子どもたちのデジタルスキル育成を支援していく予定だ。

Meta Heroesが大阪で3DCGモデリング体験会を開催、約70名の子どもたちがデジタルも...

株式会社Meta Heroesが「みらいのたからばこ2024 in 大阪」にて3DCGモデリング体験会を開催した。無料3Dモデリングソフト「Blender」を活用し、約70名の子どもたちとその家族がデジタルものづくりを体験。今後もなんばパークス1階「Hero Egg」で定期的な体験会を実施し、子どもたちのデジタルスキル育成を支援していく予定だ。

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既にエクスプロイトコード公開で対応急務に

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...

Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...

Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。

【CVE-2024-42391】Mongoose Web Server v7.14に発見された脆弱性、ヒープメモリ読み取りのリスクが明らかに

【CVE-2024-42391】Mongoose Web Server v7.14に発見された...

Nozomi Networks Inc.がCesanta社のMongoose Web Server v7.14において範囲外のポインタオフセット使用の脆弱性を発見。攻撃者が特別に細工したTLSパケットを送信することで、意図しないヒープメモリ空間の読み取りが可能となる。CVSSスコア4.3の中程度の深刻度と評価され、バージョン0から7.14までの全てのバージョンが影響を受ける。

【CVE-2024-42391】Mongoose Web Server v7.14に発見された...

Nozomi Networks Inc.がCesanta社のMongoose Web Server v7.14において範囲外のポインタオフセット使用の脆弱性を発見。攻撃者が特別に細工したTLSパケットを送信することで、意図しないヒープメモリ空間の読み取りが可能となる。CVSSスコア4.3の中程度の深刻度と評価され、バージョン0から7.14までの全てのバージョンが影響を受ける。

【CVE-2024-52613】tsMuxerにヒープバッファ不足の脆弱性、MOV動画ファイルによるDoS攻撃のリスクが浮上

【CVE-2024-52613】tsMuxerにヒープバッファ不足の脆弱性、MOV動画ファイル...

tsMuxer version nightly-2024-05-12-02-01-18において、ヒープベースのバッファ不足の脆弱性が発見された。この脆弱性は特殊に細工されたMOV形式の動画ファイルを介してサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは5.5のミディアムレベルで、攻撃には特権は不要だがユーザーの関与が必要とされる。SSVCによる評価では技術的影響は部分的で、自動化された攻撃は不可能とされている。

【CVE-2024-52613】tsMuxerにヒープバッファ不足の脆弱性、MOV動画ファイル...

tsMuxer version nightly-2024-05-12-02-01-18において、ヒープベースのバッファ不足の脆弱性が発見された。この脆弱性は特殊に細工されたMOV形式の動画ファイルを介してサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは5.5のミディアムレベルで、攻撃には特権は不要だがユーザーの関与が必要とされる。SSVCによる評価では技術的影響は部分的で、自動化された攻撃は不可能とされている。

【CVE-2024-43598】MicrosoftがLightGBMの重大な脆弱性を発見、リモートコード実行の危険性が判明

【CVE-2024-43598】MicrosoftがLightGBMの重大な脆弱性を発見、リモ...

MicrosoftがLightGBMにおいて重大な脆弱性CVE-2024-43598を発見した。この脆弱性はリモートコード実行が可能なヒープベースのバッファオーバーフローであり、CVSSスコア8.1と高く評価されている。影響を受けるバージョンは1.0.0から4.6.0未満で、ネットワークからのアクセスが可能な状態であり、特権不要で攻撃可能なため、早急な対応が求められている。

【CVE-2024-43598】MicrosoftがLightGBMの重大な脆弱性を発見、リモ...

MicrosoftがLightGBMにおいて重大な脆弱性CVE-2024-43598を発見した。この脆弱性はリモートコード実行が可能なヒープベースのバッファオーバーフローであり、CVSSスコア8.1と高く評価されている。影響を受けるバージョンは1.0.0から4.6.0未満で、ネットワークからのアクセスが可能な状態であり、特権不要で攻撃可能なため、早急な対応が求められている。

【CVE-2024-52305】UnoPim 0.1.5未満に深刻なStoredXSS脆弱性、プロフィール画像機能での攻撃に注意

【CVE-2024-52305】UnoPim 0.1.5未満に深刻なStoredXSS脆弱性、...

オープンソースのPIMシステムUnoPimにおいて、管理者アカウント作成時のプロフィール画像アップロード機能に重大な脆弱性が発見された。悪意のあるスクリプトを含むSVGファイルをアップロードすることでセッションクッキーが窃取される可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。この問題はバージョン0.1.5で修正され、画像ファイルの検証プロセスが強化された。

【CVE-2024-52305】UnoPim 0.1.5未満に深刻なStoredXSS脆弱性、...

オープンソースのPIMシステムUnoPimにおいて、管理者アカウント作成時のプロフィール画像アップロード機能に重大な脆弱性が発見された。悪意のあるスクリプトを含むSVGファイルをアップロードすることでセッションクッキーが窃取される可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。この問題はバージョン0.1.5で修正され、画像ファイルの検証プロセスが強化された。

【CVE-2024-45610】GLPIのバージョン10.0.0-10.0.16に未認証XSS脆弱性が発見、アップデートによる対策が必要に

【CVE-2024-45610】GLPIのバージョン10.0.0-10.0.16に未認証XSS...

オープンソースのIT資産管理ソフトウェアGLPIにおいて、Cable.phpのフォームに反映型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、未認証の攻撃者が技術者に悪意のあるリンクを送信することで攻撃が可能となる。CVSSスコアは6.5(中)と評価されており、対策としてバージョン10.0.17へのアップデートが推奨される。

【CVE-2024-45610】GLPIのバージョン10.0.0-10.0.16に未認証XSS...

オープンソースのIT資産管理ソフトウェアGLPIにおいて、Cable.phpのフォームに反映型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、未認証の攻撃者が技術者に悪意のあるリンクを送信することで攻撃が可能となる。CVSSスコアは6.5(中)と評価されており、対策としてバージョン10.0.17へのアップデートが推奨される。

【CVE-2024-42389】Mongoose Web Server v7.14に深刻な脆弱性、TLSパケットによるメモリ読み取りの危険性が判明

【CVE-2024-42389】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外のポインタオフセット使用の脆弱性を発見。CVE-2024-42389として識別されたこの脆弱性は、攻撃者が特別に細工したTLSパケットを送信することでヒープメモリの意図しない読み取りを可能にする。CVSSスコア5.3のミディアムリスクと評価され、認証不要でネットワークを介した攻撃が可能なため、早急な対応が必要。

【CVE-2024-42389】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外のポインタオフセット使用の脆弱性を発見。CVE-2024-42389として識別されたこの脆弱性は、攻撃者が特別に細工したTLSパケットを送信することでヒープメモリの意図しない読み取りを可能にする。CVSSスコア5.3のミディアムリスクと評価され、認証不要でネットワークを介した攻撃が可能なため、早急な対応が必要。

【CVE-2024-3760】lunary-ai/lunary 1.2.7でメール爆撃の脆弱性が発見、1.2.8で修正済み

【CVE-2024-3760】lunary-ai/lunary 1.2.7でメール爆撃の脆弱性...

lunary-ai/lunaryのバージョン1.2.7において、パスワード忘れページにレート制限がない重大な脆弱性が発見された。この脆弱性により、攻撃者は特別な権限なしにパスワードリセットリクエストを自動化し、標的ユーザーのメールボックスを大量のリセットメールで溢れさせることが可能となっていた。CVSS v3.0で深刻度7.5(High)と評価される本脆弱性は、バージョン1.2.8で修正された。

【CVE-2024-3760】lunary-ai/lunary 1.2.7でメール爆撃の脆弱性...

lunary-ai/lunaryのバージョン1.2.7において、パスワード忘れページにレート制限がない重大な脆弱性が発見された。この脆弱性により、攻撃者は特別な権限なしにパスワードリセットリクエストを自動化し、標的ユーザーのメールボックスを大量のリセットメールで溢れさせることが可能となっていた。CVSS v3.0で深刻度7.5(High)と評価される本脆弱性は、バージョン1.2.8で修正された。

【CVE-2024-11208】Apereo CAS 6.6にセッション有効期限切れの脆弱性、セキュリティリスクの対応が急務に

【CVE-2024-11208】Apereo CAS 6.6にセッション有効期限切れの脆弱性、...

Apereo CAS 6.6において、ログインサービス機能のセッション有効期限切れに関する脆弱性が発見された。CVE-2024-11208として識別されるこの問題は、/login?serviceファイルの処理に影響を及ぼし、CVSSスコア6.3のMEDIUM評価となっている。攻撃の複雑性は高いものの、既に公開されており早急な対応が求められている。

【CVE-2024-11208】Apereo CAS 6.6にセッション有効期限切れの脆弱性、...

Apereo CAS 6.6において、ログインサービス機能のセッション有効期限切れに関する脆弱性が発見された。CVE-2024-11208として識別されるこの問題は、/login?serviceファイルの処理に影響を及ぼし、CVSSスコア6.3のMEDIUM評価となっている。攻撃の複雑性は高いものの、既に公開されており早急な対応が求められている。

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医療情報システムのセキュリティに警鐘

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...

OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...

OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。

【CVE-2024-42383】Mongoose Web Server v7.14にポインタオフセットの脆弱性、ホスト名フィールドのメモリ領域外にNULL値書き込みが可能に

【CVE-2024-42383】Mongoose Web Server v7.14にポインタオ...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14における重要な脆弱性を報告した。CVE-2024-42383として識別されるこの脆弱性は、ホスト名フィールドのメモリ領域外にNULL値を書き込むことが可能なOut-of-range Pointer Offsetの問題だ。CVSSスコア4.2で中程度の深刻度と評価されており、特権は不要だがユーザーの操作と高度な技術知識が必要となる。

【CVE-2024-42383】Mongoose Web Server v7.14にポインタオ...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14における重要な脆弱性を報告した。CVE-2024-42383として識別されるこの脆弱性は、ホスト名フィールドのメモリ領域外にNULL値を書き込むことが可能なOut-of-range Pointer Offsetの問題だ。CVSSスコア4.2で中程度の深刻度と評価されており、特権は不要だがユーザーの操作と高度な技術知識が必要となる。

【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性、平文漏洩のリスクで即時アップデートを推奨

【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性...

Mozilla CorporationはThunderbirdのOpenPGP暗号化機能に重大な脆弱性【CVE-2024-11159】を発見したと発表した。この脆弱性は暗号化メッセージ内でリモートコンテンツを使用した際に平文が漏洩する可能性があり、Thunderbird 128.4.3未満および132.0.1未満のバージョンが影響を受ける。セキュリティアドバイザリMFSA2024-61およびMFSA2024-62を通じて詳細な情報が提供されている。

【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性...

Mozilla CorporationはThunderbirdのOpenPGP暗号化機能に重大な脆弱性【CVE-2024-11159】を発見したと発表した。この脆弱性は暗号化メッセージ内でリモートコンテンツを使用した際に平文が漏洩する可能性があり、Thunderbird 128.4.3未満および132.0.1未満のバージョンが影響を受ける。セキュリティアドバイザリMFSA2024-61およびMFSA2024-62を通じて詳細な情報が提供されている。

【CVE-2024-11245】code-projects Farmacia 1.0でSQL injection脆弱性が発見、リモートからの攻撃が可能に

【CVE-2024-11245】code-projects Farmacia 1.0でSQL ...

code-projects Farmacia 1.0のeditar-produto.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは5.3-6.5で中程度の評価となっているが、リモートからの攻撃が可能で、特別な権限を必要としない点が危険視されている。既に攻撃コードが公開されており、データベースへの不正アクセスのリスクが指摘されている。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-11245】code-projects Farmacia 1.0でSQL ...

code-projects Farmacia 1.0のeditar-produto.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは5.3-6.5で中程度の評価となっているが、リモートからの攻撃が可能で、特別な権限を必要としない点が危険視されている。既に攻撃コードが公開されており、データベースへの不正アクセスのリスクが指摘されている。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-50355】LibreNMSに永続的XSSの脆弱性、デバイス表示名の入力処理に不備が発見される

【CVE-2024-50355】LibreNMSに永続的XSSの脆弱性、デバイス表示名の入力処...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス表示名の入力処理に関する重大な脆弱性が発見された。Admin権限を持つユーザーがデバイスの表示名を編集する際にJavaScriptコードを含めることで、Persistent XSS攻撃が可能となる脆弱性が判明。LibreNMSの開発チームは24.10.0にて修正を実施し、入力値の適切なサニタイズ処理を実装している。

【CVE-2024-50355】LibreNMSに永続的XSSの脆弱性、デバイス表示名の入力処...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス表示名の入力処理に関する重大な脆弱性が発見された。Admin権限を持つユーザーがデバイスの表示名を編集する際にJavaScriptコードを含めることで、Persistent XSS攻撃が可能となる脆弱性が判明。LibreNMSの開発チームは24.10.0にて修正を実施し、入力値の適切なサニタイズ処理を実装している。

【CVE-2024-49764】LibreNMS 24.10.0未満にStoredXSS脆弱性、認証済みユーザーによる任意コード実行が可能に

【CVE-2024-49764】LibreNMS 24.10.0未満にStoredXSS脆弱性...

GitHubは2024年11月15日、オープンソースのネットワーク監視システムLibreNMSにおけるStoredXSS脆弱性を公開した。「Capture Debug Information」ページの「hostname」パラメータを介して任意のJavaScriptを注入可能で、認証済みユーザーによる非HTTPonlyクッキーの窃取が可能。CVSS v3.1で基本値4.8(Medium)と評価され、24.10.0で修正された。早急なアップデートが推奨される。

【CVE-2024-49764】LibreNMS 24.10.0未満にStoredXSS脆弱性...

GitHubは2024年11月15日、オープンソースのネットワーク監視システムLibreNMSにおけるStoredXSS脆弱性を公開した。「Capture Debug Information」ページの「hostname」パラメータを介して任意のJavaScriptを注入可能で、認証済みユーザーによる非HTTPonlyクッキーの窃取が可能。CVSS v3.1で基本値4.8(Medium)と評価され、24.10.0で修正された。早急なアップデートが推奨される。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overviewページでの不正コード実行が可能に

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの脆弱性、重大な影響のリスクに

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの...

MITREは2024年11月15日、オープンソースのGitホスティングサービスGogsのバージョン0.13.0以下にディレクトリトラバーサルの脆弱性が存在することを公開した。CVSSスコア8.8と高く評価されており、自動化可能な攻撃手法が存在し技術的な影響も重大である。CWE-22として分類され、機密性、整合性、可用性のすべてに高い影響があるとされている。

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの...

MITREは2024年11月15日、オープンソースのGitホスティングサービスGogsのバージョン0.13.0以下にディレクトリトラバーサルの脆弱性が存在することを公開した。CVSSスコア8.8と高く評価されており、自動化可能な攻撃手法が存在し技術的な影響も重大である。CWE-22として分類され、機密性、整合性、可用性のすべてに高い影響があるとされている。

【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセキュリティに懸念

【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセ...

Red Hat社が学習管理システムMoodleにおける重大な脆弱性【CVE-2024-48901】を公開した。この脆弱性は、レポートスケジュールへのアクセス制御が不適切であり、権限のないユーザーがスケジュール情報にアクセス可能となる問題を引き起こす。CVSSスコアは4.3(Medium)で、複数のバージョンに影響が及ぶため、早急なアップデートが推奨される。

【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセ...

Red Hat社が学習管理システムMoodleにおける重大な脆弱性【CVE-2024-48901】を公開した。この脆弱性は、レポートスケジュールへのアクセス制御が不適切であり、権限のないユーザーがスケジュール情報にアクセス可能となる問題を引き起こす。CVSSスコアは4.3(Medium)で、複数のバージョンに影響が及ぶため、早急なアップデートが推奨される。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイトスクリプティング攻撃のリスクが浮上

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が発見、ExamplePluginのデバイスNotes機能に深刻な影響

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサイトスクリプティングの脆弱性、医療システムのセキュリティ対策が急務に

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認証不要で任意のスクリプト実行が可能に

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-11244】code-projects Farmacia 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11257】Beauty Parlour Management System 1.0でSQLインジェクションの脆弱性が発見、パスワードリセット機能に深刻な問題

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリスクに対応するアップデートを実施

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正済み

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。