Tech Insights

TellusとMIERUNEが宙畑とQGISLABのメディア連携を開始、位置情報技術と衛星データの利活用促進へ向けた取り組みを強化

TellusとMIERUNEが宙畑とQGISLABのメディア連携を開始、位置情報技術と衛星デー...

株式会社TellusとMIERUNEは2024年11月11日より、宇宙ビジネスメディア「宙畑」とQGIS特化型メディア「QGISLAB」の連携を開始。衛星データの解析方法紹介やセミナー情報の共有を通じて、QGISを活用した位置情報技術の普及および衛星データの利活用促進を目指す。両社の強みを活かした取り組みにより、さまざまな分野での活用が期待される。

TellusとMIERUNEが宙畑とQGISLABのメディア連携を開始、位置情報技術と衛星デー...

株式会社TellusとMIERUNEは2024年11月11日より、宇宙ビジネスメディア「宙畑」とQGIS特化型メディア「QGISLAB」の連携を開始。衛星データの解析方法紹介やセミナー情報の共有を通じて、QGISを活用した位置情報技術の普及および衛星データの利活用促進を目指す。両社の強みを活かした取り組みにより、さまざまな分野での活用が期待される。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3.70に認証の脆弱性、アクセス制御の設定不備により権限昇格の可能性

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な更新が必要

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な...

SuiteCRMのプロフィール編集ページのPublish Keyフィールドに認証済みXSS脆弱性が発見された。この脆弱性により、攻撃者はCSRFトークンを窃取し管理者アカウントを不正に作成可能となる。影響を受けるバージョン7.14.6未満および8.0.0から8.7.1未満のユーザーは、セキュリティパッチの適用が推奨される。既知の回避策は存在せず、早急なアップデートが必要だ。

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な...

SuiteCRMのプロフィール編集ページのPublish Keyフィールドに認証済みXSS脆弱性が発見された。この脆弱性により、攻撃者はCSRFトークンを窃取し管理者アカウントを不正に作成可能となる。影響を受けるバージョン7.14.6未満および8.0.0から8.7.1未満のユーザーは、セキュリティパッチの適用が推奨される。既知の回避策は存在せず、早急なアップデートが必要だ。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXSS脆弱性、管理者権限での任意スクリプト実行が可能に

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-9594】Kubernetes Image Builder v0.1.37以前に脆弱性、デフォルト認証情報によるルートアクセスが可能に

【CVE-2024-9594】Kubernetes Image Builder v0.1.37...

Kubernetesは2024年10月15日、Image Builderのバージョン0.1.37以前に存在する重要な脆弱性を公開した。Nutanix、OVA、QEMU、rawプロバイダーを使用したVMイメージのビルド時にデフォルトの認証情報が有効化され、ルートアクセスが可能になるという問題が発見された。CVSSスコアは6.3のMEDIUMと評価され、v0.1.38で修正された。

【CVE-2024-9594】Kubernetes Image Builder v0.1.37...

Kubernetesは2024年10月15日、Image Builderのバージョン0.1.37以前に存在する重要な脆弱性を公開した。Nutanix、OVA、QEMU、rawプロバイダーを使用したVMイメージのビルド時にデフォルトの認証情報が有効化され、ルートアクセスが可能になるという問題が発見された。CVSSスコアは6.3のMEDIUMと評価され、v0.1.38で修正された。

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱性、画像最適化機能の悪用でCPU過剰消費のリスク

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱...

Next.jsの画像最適化機能にDoS脆弱性が発見され、バージョン10.x~14.xの14.2.7未満が影響を受ける可能性がある。CVSSスコアは5.9でMediumと評価されており、攻撃者による悪用でCPUの過剰消費を引き起こす恐れがある。Vercelでホストされているアプリケーションや特定の設定では影響を受けず、Next.js 14.2.7へのアップデートで対策可能だ。

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱...

Next.jsの画像最適化機能にDoS脆弱性が発見され、バージョン10.x~14.xの14.2.7未満が影響を受ける可能性がある。CVSSスコアは5.9でMediumと評価されており、攻撃者による悪用でCPUの過剰消費を引き起こす恐れがある。Vercelでホストされているアプリケーションや特定の設定では影響を受けず、Next.js 14.2.7へのアップデートで対策可能だ。

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9にXSS脆弱性、アップデートによる対応が必要に

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9に...

Patchstack OÜは2024年10月29日、WordPressプラグインAffiliateXにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。CVE-2024-49692として識別されるこの脆弱性は、バージョン1.2.9以前に影響し、CVSSスコア6.5の中程度の危険性を有している。セキュリティパッチを含むバージョン1.2.9.1への更新が推奨される。

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9に...

Patchstack OÜは2024年10月29日、WordPressプラグインAffiliateXにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。CVE-2024-49692として識別されるこの脆弱性は、バージョン1.2.9以前に影響し、CVSSスコア6.5の中程度の危険性を有している。セキュリティパッチを含むバージョン1.2.9.1への更新が推奨される。

【CVE-2024-49673】WordPress LaTeX2HTML 2.5.4にXSS脆弱性が発見、迅速な対応が必要に

【CVE-2024-49673】WordPress LaTeX2HTML 2.5.4にXSS脆...

WordPress用プラグインLaTeX2HTMLのバージョン2.5.4以前に、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価され、攻撃者は特権なしで攻撃を実行できる可能性がある。Webページ生成時の入力データの適切な無害化処理が実装されておらず、ユーザーの個人情報やセッション情報が窃取される危険性があるため、早急な対策が必要とされている。

【CVE-2024-49673】WordPress LaTeX2HTML 2.5.4にXSS脆...

WordPress用プラグインLaTeX2HTMLのバージョン2.5.4以前に、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価され、攻撃者は特権なしで攻撃を実行できる可能性がある。Webページ生成時の入力データの適切な無害化処理が実装されておらず、ユーザーの個人情報やセッション情報が窃取される危険性があるため、早急な対策が必要とされている。

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアップロードの脆弱性が発見、早急な対応が必要に

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアッ...

WordPressプラグインPlugin Propagatorにおいて、Webシェルをサーバーにアップロードできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-50495】として識別され、CVSS v3.1で最高レベルの10.0(CRITICAL)と評価されている。バージョン0.1以前に影響があり、攻撃者は特別な権限なく遠隔から攻撃可能なため、早急な対応が必要となる。

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアッ...

WordPressプラグインPlugin Propagatorにおいて、Webシェルをサーバーにアップロードできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-50495】として識別され、CVSS v3.1で最高レベルの10.0(CRITICAL)と評価されている。バージョン0.1以前に影響があり、攻撃者は特別な権限なく遠隔から攻撃可能なため、早急な対応が必要となる。

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱性を確認、サービスの機密性への影響に懸念

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱...

HuaweiはHarmonyOS 5.0.0のクリップボードモジュールにおける権限制御の脆弱性【CVE-2024-51525】を公開した。CVSSスコア6.2(Medium)で評価され、特にサービスの機密性への影響が懸念される。CWE-264として分類されるこの脆弱性は、適切な権限管理とアクセス制御の実装が求められる重要な問題である。

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱...

HuaweiはHarmonyOS 5.0.0のクリップボードモジュールにおける権限制御の脆弱性【CVE-2024-51525】を公開した。CVSSスコア6.2(Medium)で評価され、特にサービスの機密性への影響が懸念される。CWE-264として分類されるこの脆弱性は、適切な権限管理とアクセス制御の実装が求められる重要な問題である。

【CVE-2024-51408】AppSmith Community 1.8.3でSSRF脆弱性が発見、AWSメタデータの認証情報漏洩のリスクが明らかに

【CVE-2024-51408】AppSmith Community 1.8.3でSSRF脆弱...

MITREが2024年11月4日にAppSmith Community 1.8.3においてSSRF脆弱性を確認し、CVE-2024-51408として公開した。この脆弱性により、攻撃者は特権レベルが低い状態でもAWSメタデータの認証情報を不正に取得することが可能になる。CVSS 3.1で8.5(High)と評価された深刻な脆弱性であり、AppSmith Community 1.46でようやく修正された。CISAは自動化された攻撃の可能性も指摘しており、早急な対応が求められている。

【CVE-2024-51408】AppSmith Community 1.8.3でSSRF脆弱...

MITREが2024年11月4日にAppSmith Community 1.8.3においてSSRF脆弱性を確認し、CVE-2024-51408として公開した。この脆弱性により、攻撃者は特権レベルが低い状態でもAWSメタデータの認証情報を不正に取得することが可能になる。CVSS 3.1で8.5(High)と評価された深刻な脆弱性であり、AppSmith Community 1.46でようやく修正された。CISAは自動化された攻撃の可能性も指摘しており、早急な対応が求められている。

【CVE-2024-10845】1000 Projects Bookstore Management System1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが深刻化

【CVE-2024-10845】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のbook_detail.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10845として識別されるこの脆弱性は、リモートから認証なしで攻撃可能であり、CVSSスコアはv4.0で6.9(MEDIUM)、v3.1とv3.0で7.3(HIGH)を記録。すでにエクスプロイトコードが公開されており、早急な対応が必要となっている。

【CVE-2024-10845】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のbook_detail.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10845として識別されるこの脆弱性は、リモートから認証なしで攻撃可能であり、CVSSスコアはv4.0で6.9(MEDIUM)、v3.1とv3.0で7.3(HIGH)を記録。すでにエクスプロイトコードが公開されており、早急な対応が必要となっている。

【CVE-2024-51519】HarmonyOS 5.0.0のHDCモジュールに脆弱性発見、システムの可用性に影響の恐れ

【CVE-2024-51519】HarmonyOS 5.0.0のHDCモジュールに脆弱性発見、...

Huawei TechnologiesはHarmonyOS 5.0.0のHDCモジュールにおいて、入力パラメータの検証が不十分な脆弱性を確認した。CVE-2024-51519として識別されるこの脆弱性は、CVSSスコア5.0のミディアムレベルで、システムの可用性に影響を与える可能性がある。攻撃には特権レベルとユーザーの関与が必要だが、適切な対策が求められる。

【CVE-2024-51519】HarmonyOS 5.0.0のHDCモジュールに脆弱性発見、...

Huawei TechnologiesはHarmonyOS 5.0.0のHDCモジュールにおいて、入力パラメータの検証が不十分な脆弱性を確認した。CVE-2024-51519として識別されるこの脆弱性は、CVSSスコア5.0のミディアムレベルで、システムの可用性に影響を与える可能性がある。攻撃には特権レベルとユーザーの関与が必要だが、適切な対策が求められる。

【CVE-2024-49370】Pimcore Portal Engineにパスワード平文保存の脆弱性、バージョン4.1.7と3.1.16で修正完了

【CVE-2024-49370】Pimcore Portal Engineにパスワード平文保存...

オープンソースのデータ管理プラットフォームPimcoreのPortal Engineにおいて、PortalUserObjectとPimcoreUserの連携時にパスワードが平文で保存される重大な脆弱性が発見された。CVSSスコア8.7と高い深刻度を示すこの問題は、バージョン4.1.7と3.1.16で修正され、最新版へのアップデートで対策が可能となっている。

【CVE-2024-49370】Pimcore Portal Engineにパスワード平文保存...

オープンソースのデータ管理プラットフォームPimcoreのPortal Engineにおいて、PortalUserObjectとPimcoreUserの連携時にパスワードが平文で保存される重大な脆弱性が発見された。CVSSスコア8.7と高い深刻度を示すこの問題は、バージョン4.1.7と3.1.16で修正され、最新版へのアップデートで対策が可能となっている。

【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQLインジェクション脆弱性を発見、遠隔からの攻撃が可能に

【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQL...

romadebrian WEB-Sekolah 1.0のMail Handlerコンポーネントに重大な脆弱性が発見された。/Proses_Kirim.phpファイルのName引数操作によるSQLインジェクションが可能で、CVSSスコアは中程度だが遠隔から攻撃実行が可能な状態となっている。既にエクスプロイトコードが公開されており、早急な対策が必要とされる。

【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQL...

romadebrian WEB-Sekolah 1.0のMail Handlerコンポーネントに重大な脆弱性が発見された。/Proses_Kirim.phpファイルのName引数操作によるSQLインジェクションが可能で、CVSSスコアは中程度だが遠隔から攻撃実行が可能な状態となっている。既にエクスプロイトコードが公開されており、早急な対策が必要とされる。

【CVE-2024-10805】code-projects University Event Management System 1.0でSQL injection脆弱性が発見、教育機関のデータセキュ

【CVE-2024-10805】code-projects University Event ...

code-projects University Event Management System 1.0のdoedit.phpファイルにおいて、重大なSQL injection脆弱性が発見された。CVE-2024-10805として識別されたこの脆弱性は、リモートからの攻撃が可能で特別な権限を必要としない。CVSS v4.0で5.3(MEDIUM)と評価され、教育機関のデータセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2024-10805】code-projects University Event ...

code-projects University Event Management System 1.0のdoedit.phpファイルにおいて、重大なSQL injection脆弱性が発見された。CVE-2024-10805として識別されたこの脆弱性は、リモートからの攻撃が可能で特別な権限を必要としない。CVSS v4.0で5.3(MEDIUM)と評価され、教育機関のデータセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性、データ改変や喪失のリスクが深刻に

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...

lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...

lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。

【CVE-2024-51327】Travel Management System v1.0に認証バイパスの脆弱性、CVSSスコア9.8の緊急事態に

【CVE-2024-51327】Travel Management System v1.0に認...

ProjectWorldsのTravel Management System v1.0において、loginform.phpのユーザー名とパスワードフィールドにSQLインジェクションの脆弱性が発見された。CVSSスコア9.8を記録する重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。CISAの評価では攻撃の自動化も可能とされ、早急な対策が必要な状況だ。

【CVE-2024-51327】Travel Management System v1.0に認...

ProjectWorldsのTravel Management System v1.0において、loginform.phpのユーザー名とパスワードフィールドにSQLインジェクションの脆弱性が発見された。CVSSスコア9.8を記録する重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。CISAの評価では攻撃の自動化も可能とされ、早急な対策が必要な状況だ。

【CVE-2024-51136】openimaj v1.3.10のDmoz2CSVでXXE脆弱性が発見、情報漏洩のリスクに警鐘

【CVE-2024-51136】openimaj v1.3.10のDmoz2CSVでXXE脆弱...

MITREは2024年11月4日、openimaj v1.3.10のDmoz2CSVコンポーネントにXXE脆弱性が存在することを公開した。CVE-2024-51136として識別されるこの脆弱性は、CVSSスコア9.8のCRITICALに分類され、攻撃者が特権レベルやユーザーの操作なしで機密情報にアクセスできる可能性がある。CWE-91(XMLインジェクション)に分類され、早急な対策が必要とされている。

【CVE-2024-51136】openimaj v1.3.10のDmoz2CSVでXXE脆弱...

MITREは2024年11月4日、openimaj v1.3.10のDmoz2CSVコンポーネントにXXE脆弱性が存在することを公開した。CVE-2024-51136として識別されるこの脆弱性は、CVSSスコア9.8のCRITICALに分類され、攻撃者が特権レベルやユーザーの操作なしで機密情報にアクセスできる可能性がある。CWE-91(XMLインジェクション)に分類され、早急な対策が必要とされている。

【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、システム設定ファイルへのアクセスリスクが発生

【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、シ...

IceWhaleTechが開発するZimaOSのバージョン1.2.4以前において、APIエンドポイントに深刻なディレクトリトラバーサルの脆弱性が発見された。この脆弱性により、認証済みユーザーが任意のディレクトリ内容を一覧表示可能となり、重要なシステム設定ファイルが露出するリスクが確認されている。CVSSスコアは7.5(High)と評価され、現時点で修正パッチは未提供の状態である。

【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、シ...

IceWhaleTechが開発するZimaOSのバージョン1.2.4以前において、APIエンドポイントに深刻なディレクトリトラバーサルの脆弱性が発見された。この脆弱性により、認証済みユーザーが任意のディレクトリ内容を一覧表示可能となり、重要なシステム設定ファイルが露出するリスクが確認されている。CVSSスコアは7.5(High)と評価され、現時点で修正パッチは未提供の状態である。

【CVE-2024-49357】ZimaOS 1.2.4以前のバージョンで認証なし情報漏洩の脆弱性が発見、システムセキュリティに深刻な影響

【CVE-2024-49357】ZimaOS 1.2.4以前のバージョンで認証なし情報漏洩の脆...

ZimaOSのAPIエンドポイントにおいて、認証や承認なしで機密情報にアクセスできる重大な脆弱性が発見された。バージョン1.2.4以前の全バージョンが影響を受け、インストール済みアプリケーションやシステム情報が露出する可能性がある。CVSS v3.1で深刻度7.5(High)と評価されており、早急な対応が求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-49357】ZimaOS 1.2.4以前のバージョンで認証なし情報漏洩の脆...

ZimaOSのAPIエンドポイントにおいて、認証や承認なしで機密情報にアクセスできる重大な脆弱性が発見された。バージョン1.2.4以前の全バージョンが影響を受け、インストール済みアプリケーションやシステム情報が露出する可能性がある。CVSS v3.1で深刻度7.5(High)と評価されており、早急な対応が求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密ファイルの読み取りが可能に

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...

IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5(High)と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...

IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5(High)と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性、早急なアップデートが必要に

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性...

Webベースのサービス管理ツールCombodo iTopにおいて、CSVインポートのシミュレーション機能にCSRF脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、バージョン3.1.2および3.2.0で修正が実施された。現時点で回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性...

Webベースのサービス管理ツールCombodo iTopにおいて、CSVインポートのシミュレーション機能にCSRF脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、バージョン3.1.2および3.2.0で修正が実施された。現時点で回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-10810】E-Health Care System 1.0にSQLインジェクションの脆弱性、医療情報セキュリティに警鐘

【CVE-2024-10810】E-Health Care System 1.0にSQLインジ...

code-projectsが開発したE-Health Care System 1.0において、Doctor/app_request.phpファイルのapp_idパラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-10810として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。既に攻撃コードが公開されており、医療情報セキュリティの観点から早急な対応が必要とされている。

【CVE-2024-10810】E-Health Care System 1.0にSQLインジ...

code-projectsが開発したE-Health Care System 1.0において、Doctor/app_request.phpファイルのapp_idパラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-10810として識別されたこの脆弱性は、CVSS 4.0で5.3(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。既に攻撃コードが公開されており、医療情報セキュリティの観点から早急な対応が必要とされている。

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アップロード機能での入力値検証に課題

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アッ...

オープンソースCMSのInstantCMSにおいて、フォトアルバムページの写真アップロード機能にXSS脆弱性が発見された。CVE-2024-50348として識別されるこの脆弱性は、CVSS 3.1で5.4のミディアムスコアを記録。バージョン2.16.3未満が影響を受け、入力値の検証が不十分なことで攻撃者によるXSSペイロードの実行が可能な状態となっていた。開発チームは2024年10月29日に修正版をリリースし、対策を完了した。

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アッ...

オープンソースCMSのInstantCMSにおいて、フォトアルバムページの写真アップロード機能にXSS脆弱性が発見された。CVE-2024-50348として識別されるこの脆弱性は、CVSS 3.1で5.4のミディアムスコアを記録。バージョン2.16.3未満が影響を受け、入力値の検証が不十分なことで攻撃者によるXSSペイロードの実行が可能な状態となっていた。開発チームは2024年10月29日に修正版をリリースし、対策を完了した。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、ファイルシステムへの不正アクセスが可能に

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1(High)と評価されており、早急な対応が推奨される。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1(High)と評価されており、早急な対応が推奨される。

【CVE-2024-10808】E-Health Care System 1.0にSQL injection脆弱性、患者データ漏洩のリスクに警戒

【CVE-2024-10808】E-Health Care System 1.0にSQL in...

code-projectsのE-Health Care System 1.0のAdmin/req_detail.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは最大6.5で中程度の深刻度と評価されている。リモートからの攻撃が可能で既に手法が公開されており、患者の個人情報や医療記録の漏洩リスクが懸念される。システム管理者は早急な対策が必要だ。

【CVE-2024-10808】E-Health Care System 1.0にSQL in...

code-projectsのE-Health Care System 1.0のAdmin/req_detail.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは最大6.5で中程度の深刻度と評価されている。リモートからの攻撃が可能で既に手法が公開されており、患者の個人情報や医療記録の漏洩リスクが懸念される。システム管理者は早急な対策が必要だ。

【CVE-2024-10768】PHPGurukul Online Shopping Portal 2.0にXSS脆弱性、リモート攻撃のリスクが深刻化

【CVE-2024-10768】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理画面に存在するtwo_tables.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性は、リモートからの攻撃が可能で既に公開されている。スクリプト引数の操作により、攻撃者は任意のスクリプトを実行可能な状態となっている。

【CVE-2024-10768】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理画面に存在するtwo_tables.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性は、リモートからの攻撃が可能で既に公開されている。スクリプト引数の操作により、攻撃者は任意のスクリプトを実行可能な状態となっている。

【CVE-2024-10766】Free Exam Hall Seating Management System 1.0に脆弱性、制限のないアップロードの問題でリモート攻撃が可能に

【CVE-2024-10766】Free Exam Hall Seating Manageme...

Codezips社のFree Exam Hall Seating Management System 1.0において深刻な脆弱性が発見された。save_user.php機能における制限のないアップロード処理の問題が【CVE-2024-10766】として報告され、リモートからの攻撃が可能な状態となっている。CVSS 4.0で5.3(MEDIUM)と評価され、機密性と完全性、可用性に影響を及ぼす可能性が指摘されており、早急な対策が求められる。

【CVE-2024-10766】Free Exam Hall Seating Manageme...

Codezips社のFree Exam Hall Seating Management System 1.0において深刻な脆弱性が発見された。save_user.php機能における制限のないアップロード処理の問題が【CVE-2024-10766】として報告され、リモートからの攻撃が可能な状態となっている。CVSS 4.0で5.3(MEDIUM)と評価され、機密性と完全性、可用性に影響を及ぼす可能性が指摘されており、早急な対策が求められる。

【CVE-2024-10751】Codezips ISP Management System 1.0にSQL injection脆弱性、認証済みユーザーによる遠隔攻撃が可能な状態に

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。