Tech Insights

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24.10.0で修正完了

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能の不正利用が可能に

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...

MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。

【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...

MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題で複数バージョンに影響

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...

Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...

Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。

【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサイトスクリプティングの脆弱性、早急な対策が必要な状況に

【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...

IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。

【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...

IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正完了へ

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port Settings画面での不正なJavaScript実行が可能に

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...

オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。

【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が発見、データセキュリティへの懸念が浮上

【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が...

TRCoreのDVCにおいて、ファイルの暗号化にハードコード化されたキーが使用されていることが判明した。CVE-2024-11308として識別されたこの脆弱性は、DVC 6.0から6.3に影響を与え、CVSSスコア6.2と評価された。攻撃者は特権なしでローカルアクセスを利用し、暗号化されたファイルを復号できる可能性があり、早急な対応が求められている。

【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が...

TRCoreのDVCにおいて、ファイルの暗号化にハードコード化されたキーが使用されていることが判明した。CVE-2024-11308として識別されたこの脆弱性は、DVC 6.0から6.3に影響を与え、CVSSスコア6.2と評価された。攻撃者は特権なしでローカルアクセスを利用し、暗号化されたファイルを復号できる可能性があり、早急な対応が求められている。

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサイトスクリプティングの脆弱性、複数のパラメータで攻撃の可能性

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のadicionar-cliente.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。nome、cpf、dataNascimentoなどの引数操作によって攻撃が可能で、CVSS v4.0でMedium(5.3点)と評価されている。CWE-79とCWE-94に分類されるこの脆弱性は、既に公開されており早急な対策が必要となっている。

【CVE-2024-11246】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のadicionar-cliente.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。nome、cpf、dataNascimentoなどの引数操作によって攻撃が可能で、CVSS v4.0でMedium(5.3点)と評価されている。CWE-79とCWE-94に分類されるこの脆弱性は、既に公開されており早急な対策が必要となっている。

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユーザーによる不正コード実行の可能性

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユ...

オープンソースのネットワーク監視システムLibreNMSにおいて、認証済みユーザーが悪用可能なXSS脆弱性が発見された。bill_nameパラメータを介して任意のJavaScriptコードを注入できる問題で、CVSSスコアは4.8(MEDIUM)と評価。攻撃の複雑さは低いものの特権レベルが高く必要で、ユーザーの操作も必要。バージョン24.10.0で修正済みのため、影響を受けるバージョンを使用している組織は速やかなアップデートが推奨される。

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユ...

オープンソースのネットワーク監視システムLibreNMSにおいて、認証済みユーザーが悪用可能なXSS脆弱性が発見された。bill_nameパラメータを介して任意のJavaScriptコードを注入できる問題で、CVSSスコアは4.8(MEDIUM)と評価。攻撃の複雑さは低いものの特権レベルが高く必要で、ユーザーの操作も必要。バージョン24.10.0で修正済みのため、影響を受けるバージョンを使用している組織は速やかなアップデートが推奨される。

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessページでの任意コード実行が可能に

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessペー...

LibreNMSのAPI-Accessページに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。認証済みユーザーがAPIトークン作成時にJavaScriptコードを注入可能で、他ユーザーのセッション乗っ取りやデータアクセスのリスクがある。CVSSスコア7.5のHigh評価で、LibreNMS 24.10.0で修正済み。早急なアップデートが推奨される。

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessペー...

LibreNMSのAPI-Accessページに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。認証済みユーザーがAPIトークン作成時にJavaScriptコードを注入可能で、他ユーザーのセッション乗っ取りやデータアクセスのリスクがある。CVSSスコア7.5のHigh評価で、LibreNMS 24.10.0で修正済み。早急なアップデートが推奨される。

【CVE-2024-11241】code-projects Job Recruitment 1.0にSQLインジェクションの脆弱性、個人情報漏洩のリスクが深刻化

【CVE-2024-11241】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のreset.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11241として識別されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1および3.0で7.3(HIGH)と評価されている。リモートからの攻撃が可能で、特権やユーザー操作も不要なため、早急な対応が求められる状況だ。

【CVE-2024-11241】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のreset.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11241として識別されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1および3.0で7.3(HIGH)と評価されている。リモートからの攻撃が可能で、特権やユーザー操作も不要なため、早急な対応が求められる状況だ。

SolanaのRPCプロバイダERPCがgRPC対応を開始、世界300箇所以上のエッジサーバーでリアルタイムデータアクセスが可能に

SolanaのRPCプロバイダERPCがgRPC対応を開始、世界300箇所以上のエッジサーバー...

ELSOUL LABO B.V.とValidators DAOが運営するSolanaブロックチェーンネットワークの高速RPCプロバイダ「ERPC」がgRPC対応を開始した。スロット、ブロック、トランザクション、アカウントの更新通知をリアルタイムで高速に取得可能になり、世界300箇所以上のエッジサーバーを活用した最適なアクセス環境を提供する。Jupiter API専用エンドポイントの提供により、高速なトークンスワップも実現している。

SolanaのRPCプロバイダERPCがgRPC対応を開始、世界300箇所以上のエッジサーバー...

ELSOUL LABO B.V.とValidators DAOが運営するSolanaブロックチェーンネットワークの高速RPCプロバイダ「ERPC」がgRPC対応を開始した。スロット、ブロック、トランザクション、アカウントの更新通知をリアルタイムで高速に取得可能になり、世界300箇所以上のエッジサーバーを活用した最適なアクセス環境を提供する。Jupiter API専用エンドポイントの提供により、高速なトークンスワップも実現している。

【CVE-2024-52306】Laravel-Backpack FileManagerにデシリアライゼーションの脆弱性、バージョン3.0.9で修正完了

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱性、TLSパケットによるセグメンテーション違反の危険性が浮上

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による重大な脆弱性を発見した。CVSSスコア8.2の高リスク脆弱性として分類され、不正なTLSパケットの送信によりアプリケーションのセグメンテーション違反を引き起こす可能性がある。攻撃の複雑さは低く、特権やユーザーの操作も不要とされており、早急な対応が求められている。

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による重大な脆弱性を発見した。CVSSスコア8.2の高リスク脆弱性として分類され、不正なTLSパケットの送信によりアプリケーションのセグメンテーション違反を引き起こす可能性がある。攻撃の複雑さは低く、特権やユーザーの操作も不要とされており、早急な対応が求められている。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバーフローの脆弱性、セグメンテーション違反のリスクが判明

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

【CVE-2024-21541】dom-iteratorに任意コード実行の脆弱性、Function構文の不適切な使用により深刻な影響の可能性

【CVE-2024-21541】dom-iteratorに任意コード実行の脆弱性、Functi...

Snykは2024年11月13日、dom-iteratorパッケージのすべてのバージョンに任意コード実行の脆弱性を発見したことを公開した。CVSSv3.1で基本スコア7.3の高リスクと評価されており、Function構文を使用する際の入力値のサニタイズが不十分であることから、攻撃者によって制御された入力値がFunction構文に到達する可能性がある。

【CVE-2024-21541】dom-iteratorに任意コード実行の脆弱性、Functi...

Snykは2024年11月13日、dom-iteratorパッケージのすべてのバージョンに任意コード実行の脆弱性を発見したことを公開した。CVSSv3.1で基本スコア7.3の高リスクと評価されており、Function構文を使用する際の入力値のサニタイズが不十分であることから、攻撃者によって制御された入力値がFunction構文に到達する可能性がある。

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドXSS脆弱性、ユーザーアカウントとCookieの窃取リスクに警鐘

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドX...

Protect AIがcraigk5n/webcalendar 1.3.0における重大なストアドXSS脆弱性を報告した。この脆弱性はReport Name入力フィールドに存在し、悪意のあるスクリプトの実行によってユーザーアカウントとCookieの窃取が可能になる。CVSS3.0スコア7.6のHigh深刻度と評価され、現在も最新バージョンまで影響を受ける可能性があり、早急な対応が求められている。

【CVE-2024-1097】craigk5n/webcalendar 1.3.0でストアドX...

Protect AIがcraigk5n/webcalendar 1.3.0における重大なストアドXSS脆弱性を報告した。この脆弱性はReport Name入力フィールドに存在し、悪意のあるスクリプトの実行によってユーザーアカウントとCookieの窃取が可能になる。CVSS3.0スコア7.6のHigh深刻度と評価され、現在も最新バージョンまで影響を受ける可能性があり、早急な対応が求められている。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱性、TLSパケットによる不正メモリアクセスの危険性が浮上

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり攻撃のリスクが判明

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり...

IPアドレス管理ソフトウェアphpIPAM 1.5.1において、X-Forwarded-Forヘッダーを利用してIPブロックメカニズムを回避できる脆弱性が発見された。この脆弱性により、攻撃者は管理者を含むすべてのユーザーアカウントに対してパスワードの総当たり攻撃が可能となる。CVSSスコアは5.3(Medium)で評価され、バージョン1.7.0で修正されている。早急なアップデートが推奨される重要な問題だ。

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり...

IPアドレス管理ソフトウェアphpIPAM 1.5.1において、X-Forwarded-Forヘッダーを利用してIPブロックメカニズムを回避できる脆弱性が発見された。この脆弱性により、攻撃者は管理者を含むすべてのユーザーアカウントに対してパスワードの総当たり攻撃が可能となる。CVSSスコアは5.3(Medium)で評価され、バージョン1.7.0で修正されている。早急なアップデートが推奨される重要な問題だ。

【CVE-2024-42388】Mongoose Web Server v7.14でヒープメモリの脆弱性を発見、情報漏洩のリスクに警戒

【CVE-2024-42388】Mongoose Web Server v7.14でヒープメモ...

Nozomi Networks Incは2024年11月18日、Cesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による脆弱性を発見したことを公開した。CVE-2024-42388として特定されたこの脆弱性は、攻撃者が予期しないTLSパケットを送信することで意図しないヒープメモリ空間へのアクセスを強制できる問題が存在しており、早急な対策が求められている。

【CVE-2024-42388】Mongoose Web Server v7.14でヒープメモ...

Nozomi Networks Incは2024年11月18日、Cesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による脆弱性を発見したことを公開した。CVE-2024-42388として特定されたこの脆弱性は、攻撃者が予期しないTLSパケットを送信することで意図しないヒープメモリ空間へのアクセスを強制できる問題が存在しており、早急な対策が求められている。

【CVE-2024-10820】WooCommerce Upload Files 84.3の脆弱性が発覚、リモートコード実行のリスクで緊急対応が必要に

【CVE-2024-10820】WooCommerce Upload Files 84.3の脆...

WordPressのプラグインWooCommerce Upload Filesにおいて、バージョン84.3以前に深刻な脆弱性が発見された。upload_files()関数でのファイルタイプ検証の不備により、未認証の攻撃者が任意のファイルをアップロード可能な状態となっている。CVSSスコア9.8の重大な脆弱性であり、リモートコード実行のリスクも指摘されているため、早急な対応が求められる。

【CVE-2024-10820】WooCommerce Upload Files 84.3の脆...

WordPressのプラグインWooCommerce Upload Filesにおいて、バージョン84.3以前に深刻な脆弱性が発見された。upload_files()関数でのファイルタイプ検証の不備により、未認証の攻撃者が任意のファイルをアップロード可能な状態となっている。CVSSスコア9.8の重大な脆弱性であり、リモートコード実行のリスクも指摘されているため、早急な対応が求められる。

The Linux FoundationとJASAが組込みソフトウェアエンジニア育成で協業、2025年度に向けて包括的な教育プログラムを展開

The Linux FoundationとJASAが組込みソフトウェアエンジニア育成で協業、2...

The Linux FoundationとJASAは組込みソフトウェアエンジニアの育成とスキル向上を目的とした教育分野での協業を発表。両組織の強みを活かしたトレーニングプログラムと認定試験を共同開発し、2025年度にかけて段階的に展開する。クラウドからエッジまでの一気通貫のコネクティビティやサイバーセキュリティ対策など、現代の組込みシステム開発に必要なスキルの習得を支援する。

The Linux FoundationとJASAが組込みソフトウェアエンジニア育成で協業、2...

The Linux FoundationとJASAは組込みソフトウェアエンジニアの育成とスキル向上を目的とした教育分野での協業を発表。両組織の強みを活かしたトレーニングプログラムと認定試験を共同開発し、2025年度にかけて段階的に展開する。クラウドからエッジまでの一気通貫のコネクティビティやサイバーセキュリティ対策など、現代の組込みシステム開発に必要なスキルの習得を支援する。

【CVE-2024-7295】Progress Telerik Report Serverに暗号化の脆弱性、ローカルアセットデータの保護に課題

【CVE-2024-7295】Progress Telerik Report Serverに暗...

Progress SoftwareはTelerik Report Server 10.3.24.1112未満のバージョンにおいて、ローカルアセットデータの暗号化アルゴリズムに脆弱性が発見されたことを公表した。CVE-2024-7295として識別されたこの脆弱性は、CVSSスコア7.1のHigh評価を受けており、熟練した攻撃者による情報の復号化を可能にする可能性がある。2024 Q4リリースで修正された。

【CVE-2024-7295】Progress Telerik Report Serverに暗...

Progress SoftwareはTelerik Report Server 10.3.24.1112未満のバージョンにおいて、ローカルアセットデータの暗号化アルゴリズムに脆弱性が発見されたことを公表した。CVE-2024-7295として識別されたこの脆弱性は、CVSSスコア7.1のHigh評価を受けており、熟練した攻撃者による情報の復号化を可能にする可能性がある。2024 Q4リリースで修正された。

【CVE-2024-52299】XWikiのPDFビューワーマクロに深刻な脆弱性、アクセス権限チェックの不備で添付ファイルが閲覧可能に

【CVE-2024-52299】XWikiのPDFビューワーマクロに深刻な脆弱性、アクセス権限...

XWikiのPDFビューワーマクロにおいて、アクセス権限のチェック機能が正しく動作せず、XWiki.PDFViewerServiceの閲覧権限を持つユーザーが任意の添付ファイルにアクセスできる脆弱性が発見された。CVSSスコア7.5の高深刻度であり、影響を受けるバージョンは1.6.2以上2.5.6未満。修正版となる2.5.6が公開されており、早急なアップデートが推奨される。

【CVE-2024-52299】XWikiのPDFビューワーマクロに深刻な脆弱性、アクセス権限...

XWikiのPDFビューワーマクロにおいて、アクセス権限のチェック機能が正しく動作せず、XWiki.PDFViewerServiceの閲覧権限を持つユーザーが任意の添付ファイルにアクセスできる脆弱性が発見された。CVSSスコア7.5の高深刻度であり、影響を受けるバージョンは1.6.2以上2.5.6未満。修正版となる2.5.6が公開されており、早急なアップデートが推奨される。

【CVE-2024-51593】WordPress用プラグインKурс валют UAHにXSS脆弱性、バージョン2.0以前に影響

【CVE-2024-51593】WordPress用プラグインKурс валют UAHにX...

WordPress用プラグインKурс валют UAHにStored XSS脆弱性が発見され、CVE-2024-51593として識別された。この脆弱性はバージョン2.0以前に影響を与え、CVSSスコア6.5と中程度の深刻度と評価されている。Webページ生成時の不適切な入力の無効化が原因で、攻撃者は低い特権レベルでこの脆弱性を悪用できる可能性があるため、早急な対応が求められている。

【CVE-2024-51593】WordPress用プラグインKурс валют UAHにX...

WordPress用プラグインKурс валют UAHにStored XSS脆弱性が発見され、CVE-2024-51593として識別された。この脆弱性はバージョン2.0以前に影響を与え、CVSSスコア6.5と中程度の深刻度と評価されている。Webページ生成時の不適切な入力の無効化が原因で、攻撃者は低い特権レベルでこの脆弱性を悪用できる可能性があるため、早急な対応が求められている。

【CVE-2024-50968】Agri-Trading Online Shopping System 1.0に価格操作の脆弱性、カート機能での不正な価格設定が可能に

【CVE-2024-50968】Agri-Trading Online Shopping Sy...

itsourcecode Agri-Trading Online Shopping System 1.0のAdd to Cart機能に深刻なビジネスロジックの脆弱性が発見された。攻撃者はquantパラメータを-0に設定することで合計金額を0円にできる問題が確認されており、早急な対策が必要とされている。MITREは本脆弱性をCVE-2024-50968として公開し、製品の状態を「Information not provided」としている。

【CVE-2024-50968】Agri-Trading Online Shopping Sy...

itsourcecode Agri-Trading Online Shopping System 1.0のAdd to Cart機能に深刻なビジネスロジックの脆弱性が発見された。攻撃者はquantパラメータを-0に設定することで合計金額を0円にできる問題が確認されており、早急な対策が必要とされている。MITREは本脆弱性をCVE-2024-50968として公開し、製品の状態を「Information not provided」としている。

【CVE-2024-50834】KASHIPARA E-learning Management System Project 1.0にSQLインジェクションの脆弱性が発見、教育機関のデータ漏洩リスクに

【CVE-2024-50834】KASHIPARA E-learning Management...

KASHIPARA E-learning Management System Project 1.0の管理者向けページteachers.phpにSQLインジェクションの脆弱性が発見された。CVE-2024-50834として識別されたこの問題は、firstnameとlastnameパラメータを介して攻撃が可能で、CVSSスコアは3.5(Low)と評価された。特権ユーザーによる攻撃リスクが存在し、教育機関の機密情報漏洩につながる可能性があるため、早急な対応が求められている。

【CVE-2024-50834】KASHIPARA E-learning Management...

KASHIPARA E-learning Management System Project 1.0の管理者向けページteachers.phpにSQLインジェクションの脆弱性が発見された。CVE-2024-50834として識別されたこの問題は、firstnameとlastnameパラメータを介して攻撃が可能で、CVSSスコアは3.5(Low)と評価された。特権ユーザーによる攻撃リスクが存在し、教育機関の機密情報漏洩につながる可能性があるため、早急な対応が求められている。

【CVE-2024-50830】kashipara E-learning Management System 1.0にSQLインジェクションの脆弱性、管理者機能に影響

【CVE-2024-50830】kashipara E-learning Management...

MITREは2024年11月14日、kashipara E-learning Management System 1.0の管理者向けカレンダー機能にSQLインジェクションの脆弱性が存在することを公開した。CVE-2024-50830として識別されたこの脆弱性は、date_startやdate_end、titleパラメータを介して攻撃が可能であり、CVSSスコアは3.5(Low)と評価されている。攻撃には管理者権限とユーザーの関与が必要となるため、深刻度は低く評価された。

【CVE-2024-50830】kashipara E-learning Management...

MITREは2024年11月14日、kashipara E-learning Management System 1.0の管理者向けカレンダー機能にSQLインジェクションの脆弱性が存在することを公開した。CVE-2024-50830として識別されたこの脆弱性は、date_startやdate_end、titleパラメータを介して攻撃が可能であり、CVSSスコアは3.5(Low)と評価されている。攻撃には管理者権限とユーザーの関与が必要となるため、深刻度は低く評価された。

【CVE-2024-50828】kashipara E-learning Management System 1.0にSQL Injection脆弱性が発見、管理者ページが影響を受ける可能性

【CVE-2024-50828】kashipara E-learning Management...

MITRE Corporationは2024年11月14日、kashipara E-learning Management System Project 1.0の管理者ページに存在するSQL Injection脆弱性(CVE-2024-50828)を公開した。この脆弱性は/admin/edit_department.phpのdパラメータに存在し、CVSSスコア3.5のLowレベルに分類される。攻撃には管理者権限とユーザーの関与が必要となるため、即時の大規模な被害は想定されていない。

【CVE-2024-50828】kashipara E-learning Management...

MITRE Corporationは2024年11月14日、kashipara E-learning Management System Project 1.0の管理者ページに存在するSQL Injection脆弱性(CVE-2024-50828)を公開した。この脆弱性は/admin/edit_department.phpのdパラメータに存在し、CVSSスコア3.5のLowレベルに分類される。攻撃には管理者権限とユーザーの関与が必要となるため、即時の大規模な被害は想定されていない。

【CVE-2024-50824】kashipara E-learning Management System 1.0にSQLインジェクションの脆弱性、教育システムのセキュリティ対策強化が急務に

【CVE-2024-50824】kashipara E-learning Management...

kashipara E-learning Management System Project 1.0のadmin/class.phpにおいて、class_nameパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア3.5の低リスクと評価されているが、教育システムにおける個人情報保護の観点から、早急な対策が求められている。特権とユーザーの関与が必要な攻撃条件だが、自動化可能な攻撃手法であることから、継続的なセキュリティ監視が重要となる。

【CVE-2024-50824】kashipara E-learning Management...

kashipara E-learning Management System Project 1.0のadmin/class.phpにおいて、class_nameパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア3.5の低リスクと評価されているが、教育システムにおける個人情報保護の観点から、早急な対策が求められている。特権とユーザーの関与が必要な攻撃条件だが、自動化可能な攻撃手法であることから、継続的なセキュリティ監視が重要となる。