Tech Insights

【CVE-2024-53689】Linuxカーネル6.11-6.12系にデッドロック脆弱性、queue_attr_store関数のロック処理に問題

【CVE-2024-53689】Linuxカーネル6.11-6.12系にデッドロック脆弱性、q...

Linuxカーネルの開発チームは、ブロックデバイスのキューフリーズ処理とsysfs_lockの取得順序に関する重要な脆弱性を発見した。この問題はqueue_attr_store関数内での処理順序の不適切さに起因し、デバッグファイルシステムへのアクセス時にデッドロックを引き起こす可能性がある。特にLinux 6.11から6.12系のバージョンに影響を及ぼすため、早急な対応が必要とされている。

【CVE-2024-53689】Linuxカーネル6.11-6.12系にデッドロック脆弱性、q...

Linuxカーネルの開発チームは、ブロックデバイスのキューフリーズ処理とsysfs_lockの取得順序に関する重要な脆弱性を発見した。この問題はqueue_attr_store関数内での処理順序の不適切さに起因し、デバッグファイルシステムへのアクセス時にデッドロックを引き起こす可能性がある。特にLinux 6.11から6.12系のバージョンに影響を及ぼすため、早急な対応が必要とされている。

Code IntelligenceがAIテストエージェントSparkを発表、人間の介在なしで自律的なソフトウェアテストを実現し脆弱性を発見

Code IntelligenceがAIテストエージェントSparkを発表、人間の介在なしで自...

ドイツのCode Intelligenceは、生成AIによる自律的なソフトウェアテストツールSparkを発表した。人間の介在なしでテストを生成・実行し、10万行のコードで最大1000時間の工数を削減。すでにWolfSSLの脆弱性を発見して修正まで完了しており、2025年1月28日には公式ローンチイベントを開催予定だ。

Code IntelligenceがAIテストエージェントSparkを発表、人間の介在なしで自...

ドイツのCode Intelligenceは、生成AIによる自律的なソフトウェアテストツールSparkを発表した。人間の介在なしでテストを生成・実行し、10万行のコードで最大1000時間の工数を削減。すでにWolfSSLの脆弱性を発見して修正まで完了しており、2025年1月28日には公式ローンチイベントを開催予定だ。

GitHubがパブリックリポジトリ向けにCobalt 100搭載のArm64ホステッドランナーを無料提供、クラウドネイティブ開発の効率化に貢献

GitHubがパブリックリポジトリ向けにCobalt 100搭載のArm64ホステッドランナー...

GitHubは2025年1月16日、パブリックリポジトリの無料プランユーザーに対してMicrosoftのCobalt 100プロセッサを搭載したLinux Arm64ホステッドランナーの提供を開始した。4つの仮想CPUコアを備え、従来比40%のパフォーマンス向上を実現。Ubuntu 24.04と22.04に対応し、Armネイティブな開発環境を提供することで、開発者の生産性向上に貢献する。

GitHubがパブリックリポジトリ向けにCobalt 100搭載のArm64ホステッドランナー...

GitHubは2025年1月16日、パブリックリポジトリの無料プランユーザーに対してMicrosoftのCobalt 100プロセッサを搭載したLinux Arm64ホステッドランナーの提供を開始した。4つの仮想CPUコアを備え、従来比40%のパフォーマンス向上を実現。Ubuntu 24.04と22.04に対応し、Armネイティブな開発環境を提供することで、開発者の生産性向上に貢献する。

MicrosoftがAutoGen 0.4をリリース、AIエージェントフレームワークが完全刷新され開発効率が向上

MicrosoftがAutoGen 0.4をリリース、AIエージェントフレームワークが完全刷新...

MicrosoftがAIエージェントフレームワークAutoGen 0.4を2025年1月17日にリリースした。非同期メッセージングによるエージェント間コミュニケーションやプラグ可能なコンポーネントによる拡張性の向上、コード品質の改善とワークフローのスケーラビリティが強化された。さらにPythonと.NETの両言語対応やコミュニティ拡張機能のサポートも実現している。

MicrosoftがAutoGen 0.4をリリース、AIエージェントフレームワークが完全刷新...

MicrosoftがAIエージェントフレームワークAutoGen 0.4を2025年1月17日にリリースした。非同期メッセージングによるエージェント間コミュニケーションやプラグ可能なコンポーネントによる拡張性の向上、コード品質の改善とワークフローのスケーラビリティが強化された。さらにPythonと.NETの両言語対応やコミュニティ拡張機能のサポートも実現している。

【CVE-2025-23022】FreeType 2.8.1に整数オーバーフローの脆弱性が発見、アプリケーションへの影響が懸念される状況に

【CVE-2025-23022】FreeType 2.8.1に整数オーバーフローの脆弱性が発見...

MITRE Corporationは2025年1月10日、FreeType 2.8.1のcf2_doFlex機能に整数オーバーフローの脆弱性が存在することを公開した。CVSSスコア4.0でMedium評価とされており、ローカル環境からの攻撃により、サービス可用性への影響が懸念される。GitLabのイシュートラッカーやDebianセキュリティチームによる追跡が行われており、早急な対策が必要な状況となっている。

【CVE-2025-23022】FreeType 2.8.1に整数オーバーフローの脆弱性が発見...

MITRE Corporationは2025年1月10日、FreeType 2.8.1のcf2_doFlex機能に整数オーバーフローの脆弱性が存在することを公開した。CVSSスコア4.0でMedium評価とされており、ローカル環境からの攻撃により、サービス可用性への影響が懸念される。GitLabのイシュートラッカーやDebianセキュリティチームによる追跡が行われており、早急な対策が必要な状況となっている。

クラウドット株式会社がAIエージェント「Cloudot AI」ベータ版をリリース、企業のAIトランスフォーメーションを加速する独自ナレッジ活用型プラットフォームを提供

クラウドット株式会社がAIエージェント「Cloudot AI」ベータ版をリリース、企業のAIト...

長野県松本市のクラウドット株式会社が、企業のAIトランスフォーメーション促進を目指すAIエージェント「Cloudot AI」ベータ版を2025年1月15日にリリースした。Open AIやGeminiなど複数のLLMモデルに対応し、オープンソースRAGエンジンを活用することで、企業独自のナレッジを活用したカスタマイズ可能なAIアプリケーションの構築を実現する。月額10,000円からの導入が可能で、既存システムとのAPI連携にも対応している。

クラウドット株式会社がAIエージェント「Cloudot AI」ベータ版をリリース、企業のAIト...

長野県松本市のクラウドット株式会社が、企業のAIトランスフォーメーション促進を目指すAIエージェント「Cloudot AI」ベータ版を2025年1月15日にリリースした。Open AIやGeminiなど複数のLLMモデルに対応し、オープンソースRAGエンジンを活用することで、企業独自のナレッジを活用したカスタマイズ可能なAIアプリケーションの構築を実現する。月額10,000円からの導入が可能で、既存システムとのAPI連携にも対応している。

renueが生成AIを活用したベンダーロックイン解除サービスを開始、企業のシステム自律性向上に貢献

renueが生成AIを活用したベンダーロックイン解除サービスを開始、企業のシステム自律性向上に貢献

株式会社renueは生成AIを活用したベンダーロックイン解除サービスを2025年1月15日に開始した。既存システムの分析から開発、ドキュメント整理、さらにクライアント企業の内製化までを包括的に支援し、特定ベンダーやレガシーシステムへの依存からの脱却を実現する。成果報酬型の料金体系を採用しており、年商1,000億円の企業では初年度で2.8億円の実質メリットが見込まれる。

renueが生成AIを活用したベンダーロックイン解除サービスを開始、企業のシステム自律性向上に貢献

株式会社renueは生成AIを活用したベンダーロックイン解除サービスを2025年1月15日に開始した。既存システムの分析から開発、ドキュメント整理、さらにクライアント企業の内製化までを包括的に支援し、特定ベンダーやレガシーシステムへの依存からの脱却を実現する。成果報酬型の料金体系を採用しており、年商1,000億円の企業では初年度で2.8億円の実質メリットが見込まれる。

【CVE-2024-56770】Linuxカーネルのnetemモジュールにバックログ管理の脆弱性、ネットワークスケジューリングに影響

【CVE-2024-56770】Linuxカーネルのnetemモジュールにバックログ管理の脆弱...

Linuxカーネルのネットワークスケジューリング機能において、netemモジュールのバックログ管理に重大な脆弱性が発見された。子qdiscによるパケット更新をqlenカウンターが適切に反映できない問題により、特定の条件下でパケット転送が完全に停止する可能性がある。この問題はCVE-2024-56770として報告され、tfifoのエントリーカウンター追加による修正パッチが提供されている。

【CVE-2024-56770】Linuxカーネルのnetemモジュールにバックログ管理の脆弱...

Linuxカーネルのネットワークスケジューリング機能において、netemモジュールのバックログ管理に重大な脆弱性が発見された。子qdiscによるパケット更新をqlenカウンターが適切に反映できない問題により、特定の条件下でパケット転送が完全に停止する可能性がある。この問題はCVE-2024-56770として報告され、tfifoのエントリーカウンター追加による修正パッチが提供されている。

【CVE-2024-56718】LinuxカーネルのSMCにメモリ管理の脆弱性、システムクラッシュのリスクに対応

【CVE-2024-56718】LinuxカーネルのSMCにメモリ管理の脆弱性、システムクラッ...

Linuxカーネルのnet/smcコンポーネントに重大な脆弱性が発見された。リンクダウンワークがlgr解放後に実行される可能性があり、システムクラッシュを引き起こす危険性が指摘されている。Linux 5.8以降の特定バージョンが影響を受け、開発チームは参照カウント管理による修正パッチを提供。適切なリソース管理によって問題を解決している。

【CVE-2024-56718】LinuxカーネルのSMCにメモリ管理の脆弱性、システムクラッ...

Linuxカーネルのnet/smcコンポーネントに重大な脆弱性が発見された。リンクダウンワークがlgr解放後に実行される可能性があり、システムクラッシュを引き起こす危険性が指摘されている。Linux 5.8以降の特定バージョンが影響を受け、開発チームは参照カウント管理による修正パッチを提供。適切なリソース管理によって問題を解決している。

【CVE-2025-0228】Local Storage Todo App 1.0にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2025-0228】Local Storage Todo App 1.0にクロスサイ...

code-projects社のLocal Storage Todo App 1.0のindex.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。Add引数の操作により攻撃が可能で、CVSSスコアは最大5.1を記録。既に攻撃手法が公開されており、リモートからの攻撃も可能な状態。CWE-79とCWE-94に分類される深刻な脆弱性として、開発者の早急な対応が求められている。

【CVE-2025-0228】Local Storage Todo App 1.0にクロスサイ...

code-projects社のLocal Storage Todo App 1.0のindex.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。Add引数の操作により攻撃が可能で、CVSSスコアは最大5.1を記録。既に攻撃手法が公開されており、リモートからの攻撃も可能な状態。CWE-79とCWE-94に分類される深刻な脆弱性として、開発者の早急な対応が求められている。

Git for Windowsがセキュリティアップデートをリリース、資格情報漏洩の脆弱性に対処し安全性が向上

Git for Windowsがセキュリティアップデートをリリース、資格情報漏洩の脆弱性に対処...

分散型バージョン管理システムGit for Windowsが2025年1月15日にセキュリティアップデートを公開。最大深刻度「High」の脆弱性CVE-2024-50338を含む5件の脆弱性に対処。Git Credential Managerの改行解釈の不一致による資格情報漏洩の問題を修正し、Git LFSの認証情報フローも改善。現在はGit for Windows 2.47.1(2)などの新バージョンが利用可能。

Git for Windowsがセキュリティアップデートをリリース、資格情報漏洩の脆弱性に対処...

分散型バージョン管理システムGit for Windowsが2025年1月15日にセキュリティアップデートを公開。最大深刻度「High」の脆弱性CVE-2024-50338を含む5件の脆弱性に対処。Git Credential Managerの改行解釈の不一致による資格情報漏洩の問題を修正し、Git LFSの認証情報フローも改善。現在はGit for Windows 2.47.1(2)などの新バージョンが利用可能。

Google ChromeがWindows/Mac/Linux向けに安定版v132をリリース、16件のセキュリティ修正を実施

Google ChromeがWindows/Mac/Linux向けに安定版v132をリリース、...

米Googleは2025年1月14日、デスクトップ向けGoogle Chromeの安定版チャネルをv132.0.6834.83/84へアップデートした。本バージョンではV8エンジンのメモリアクセス問題など16件のセキュリティ修正を実施し、最大7,000ドルの報奨金を設定。Windows/Mac/Linux環境向けに順次展開される。

Google ChromeがWindows/Mac/Linux向けに安定版v132をリリース、...

米Googleは2025年1月14日、デスクトップ向けGoogle Chromeの安定版チャネルをv132.0.6834.83/84へアップデートした。本バージョンではV8エンジンのメモリアクセス問題など16件のセキュリティ修正を実施し、最大7,000ドルの報奨金を設定。Windows/Mac/Linux環境向けに順次展開される。

Zoom Workplace App for Linux 6.2.10未満でType Confusion脆弱性が発見され権限昇格の危険性が浮上

Zoom Workplace App for Linux 6.2.10未満でType Conf...

Zoomは2025年1月14日、Linux版Zoom Workplace Appに深刻な脆弱性(CVE-2025-0147)を公開した。CVSSスコア8.8の高リスクと評価される本脆弱性は、バージョン6.2.10未満のZoom Workplace App for Linux、Zoom Meeting SDK for Linux、Zoom Video SDK for Linuxに影響を与える。Type Confusionによる権限昇格の可能性があり、早急な最新版へのアップデートが推奨される。

Zoom Workplace App for Linux 6.2.10未満でType Conf...

Zoomは2025年1月14日、Linux版Zoom Workplace Appに深刻な脆弱性(CVE-2025-0147)を公開した。CVSSスコア8.8の高リスクと評価される本脆弱性は、バージョン6.2.10未満のZoom Workplace App for Linux、Zoom Meeting SDK for Linux、Zoom Video SDK for Linuxに影響を与える。Type Confusionによる権限昇格の可能性があり、早急な最新版へのアップデートが推奨される。

【CVE-2025-0213】Campcodes Project Management System 1.0に無制限アップロードの脆弱性が発見、リモート攻撃のリスクが拡大

【CVE-2025-0213】Campcodes Project Management Sys...

Campcodes Project Management System 1.0のupdate_forms.phpファイルに重大な脆弱性が発見され、無制限のファイルアップロードが可能となることが判明した。CVE-2025-0213として識別されるこの脆弱性は、CWE-434(無制限アップロード)とCWE-284(アクセス制御の不適切な実装)に分類され、CVSSスコア6.3(MEDIUM)を記録している。既に攻撃コードが公開されており、早急なセキュリティ対策が求められている。

【CVE-2025-0213】Campcodes Project Management Sys...

Campcodes Project Management System 1.0のupdate_forms.phpファイルに重大な脆弱性が発見され、無制限のファイルアップロードが可能となることが判明した。CVE-2025-0213として識別されるこの脆弱性は、CWE-434(無制限アップロード)とCWE-284(アクセス制御の不適切な実装)に分類され、CVSSスコア6.3(MEDIUM)を記録している。既に攻撃コードが公開されており、早急なセキュリティ対策が求められている。

【CVE-2025-0207】code-projects Online Shoe Store 1.0にSQLインジェクションの脆弱性、早急な対応が必要な事態に

【CVE-2025-0207】code-projects Online Shoe Store ...

code-projects Online Shoe Store 1.0のlogin.phpファイルにおいて、パスワードパラメータに関連するSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2025-0207として識別され、CVSS 4.0で6.9(Medium)、CVSS 3.1および3.0で7.3(High)、CVSS 2.0で7.5と評価されている。リモートからの攻撃が可能で、特権レベルや利用者の関与は不要とされており、早急な対応が必要とされている。

【CVE-2025-0207】code-projects Online Shoe Store ...

code-projects Online Shoe Store 1.0のlogin.phpファイルにおいて、パスワードパラメータに関連するSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2025-0207として識別され、CVSS 4.0で6.9(Medium)、CVSS 3.1および3.0で7.3(High)、CVSS 2.0で7.5と評価されている。リモートからの攻撃が可能で、特権レベルや利用者の関与は不要とされており、早急な対応が必要とされている。

【CVE-2024-54122】HarmonyOS 5.0.0に競合状態の脆弱性、可用性への影響に注意

【CVE-2024-54122】HarmonyOS 5.0.0に競合状態の脆弱性、可用性への影...

Huawei Technologiesは2024年12月12日、HarmonyOS 5.0.0のability moduleに競合状態の脆弱性が存在することを公開した。CVE-2024-54122として識別されたこの脆弱性は、CVSS v3.1で6.2点の中程度の深刻度と評価されており、システムの可用性に影響を与える可能性がある。攻撃にはローカルアクセスが必要だが、特権は不要とされている。

【CVE-2024-54122】HarmonyOS 5.0.0に競合状態の脆弱性、可用性への影...

Huawei Technologiesは2024年12月12日、HarmonyOS 5.0.0のability moduleに競合状態の脆弱性が存在することを公開した。CVE-2024-54122として識別されたこの脆弱性は、CVSS v3.1で6.2点の中程度の深刻度と評価されており、システムの可用性に影響を与える可能性がある。攻撃にはローカルアクセスが必要だが、特権は不要とされている。

かっこ株式会社がO-PLUXをWooCommerceと連携、世界のECサイトの不正注文対策が容易に

かっこ株式会社がO-PLUXをWooCommerceと連携、世界のECサイトの不正注文対策が容易に

かっこ株式会社は不正注文検知サービス「O-PLUX」とECプラットフォーム「WooCommerce」との連携プラグインの提供を開始した。世界上位100万のECサイトのうち30%が採用するWooCommerceとの連携により、システムの追加開発なしにプラグインをダウンロードするだけで不正注文対策が可能になる。東南アジアを中心としたグローバル展開を目指す。

かっこ株式会社がO-PLUXをWooCommerceと連携、世界のECサイトの不正注文対策が容易に

かっこ株式会社は不正注文検知サービス「O-PLUX」とECプラットフォーム「WooCommerce」との連携プラグインの提供を開始した。世界上位100万のECサイトのうち30%が採用するWooCommerceとの連携により、システムの追加開発なしにプラグインをダウンロードするだけで不正注文対策が可能になる。東南アジアを中心としたグローバル展開を目指す。

【CVE-2024-55663】XWiki Platform 6.3-milestone-2以降のSQLインジェクション脆弱性、パスワードハッシュ漏洩のリスクが判明

【CVE-2024-55663】XWiki Platform 6.3-milestone-2以...

XWiki Platformでgetdocuments.vmのSQLインジェクション脆弱性が発見された。この脆弱性は【CVE-2024-55663】として識別され、バージョン6.3-milestone-2以降から13.10.5未満、および14.0-rc-1以降から14.3-rc-1未満に影響を及ぼす。機密情報の漏洩やデータベースの改ざんが可能となるため、最新バージョンへのアップデートが推奨される。

【CVE-2024-55663】XWiki Platform 6.3-milestone-2以...

XWiki Platformでgetdocuments.vmのSQLインジェクション脆弱性が発見された。この脆弱性は【CVE-2024-55663】として識別され、バージョン6.3-milestone-2以降から13.10.5未満、および14.0-rc-1以降から14.3-rc-1未満に影響を及ぼす。機密情報の漏洩やデータベースの改ざんが可能となるため、最新バージョンへのアップデートが推奨される。

【CVE-2024-50339】GLPIに認証なしセッション乗っ取りの脆弱性、バージョン10.0.17で修正パッチを提供

【CVE-2024-50339】GLPIに認証なしセッション乗っ取りの脆弱性、バージョン10....

フリーのIT資産管理ソフトウェアパッケージGLPIにおいて、バージョン9.5.0以降10.0.17未満に深刻な認証バイパスの脆弱性が発見された。認証されていないユーザーが全てのセッションIDを取得し、有効なセッションを乗っ取ることが可能な状態となっていた。この脆弱性はCVSS v4.0で9.3のクリティカルな深刻度に分類され、バージョン10.0.17で修正パッチが提供される。

【CVE-2024-50339】GLPIに認証なしセッション乗っ取りの脆弱性、バージョン10....

フリーのIT資産管理ソフトウェアパッケージGLPIにおいて、バージョン9.5.0以降10.0.17未満に深刻な認証バイパスの脆弱性が発見された。認証されていないユーザーが全てのセッションIDを取得し、有効なセッションを乗っ取ることが可能な状態となっていた。この脆弱性はCVSS v4.0で9.3のクリティカルな深刻度に分類され、バージョン10.0.17で修正パッチが提供される。

【CVE-2024-12788】Codezips Technical Discussion Forum 1.0でSQLインジェクションの脆弱性が発見、即時対応が必要に

【CVE-2024-12788】Codezips Technical Discussion F...

Codezips Technical Discussion Forum 1.0のsigninpost.phpファイルにおいて、usernameパラメータを操作することでSQLインジェクション攻撃が可能となる重大な脆弱性が発見された。CVE-2024-12788として識別されたこの脆弱性は、リモートからの攻撃が可能で特別な認証も不要。CVSSスコアは3.1バージョンで7.3と評価され、データベースの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2024-12788】Codezips Technical Discussion F...

Codezips Technical Discussion Forum 1.0のsigninpost.phpファイルにおいて、usernameパラメータを操作することでSQLインジェクション攻撃が可能となる重大な脆弱性が発見された。CVE-2024-12788として識別されたこの脆弱性は、リモートからの攻撃が可能で特別な認証も不要。CVSSスコアは3.1バージョンで7.3と評価され、データベースの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2024-12787】1000 Projects Attendance Tracking Management System 1.0にSQLインジェクションの脆弱性が発覚、迅速な対応が必要に

【CVE-2024-12787】1000 Projects Attendance Tracki...

1000 Projects社のAttendance Tracking Management System 1.0において、SQLインジェクションの脆弱性が発見された。student/check_student_login.phpファイルのstudent_emailidパラメータを介した攻撃が可能で、既にエクスプロイトコードが公開されている状況だ。CVSSスコアは最大7.3(HIGH)と評価されており、早急なセキュリティ対策の実施が推奨される。

【CVE-2024-12787】1000 Projects Attendance Tracki...

1000 Projects社のAttendance Tracking Management System 1.0において、SQLインジェクションの脆弱性が発見された。student/check_student_login.phpファイルのstudent_emailidパラメータを介した攻撃が可能で、既にエクスプロイトコードが公開されている状況だ。CVSSスコアは最大7.3(HIGH)と評価されており、早急なセキュリティ対策の実施が推奨される。

【CVE-2024-12883】code-projects Job Recruitment 1.0にクロスサイトスクリプティングの脆弱性、遠隔攻撃のリスクが増大

【CVE-2024-12883】code-projects Job Recruitment 1...

code-projects社のJob Recruitment 1.0において、_email.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はCVSS 4.0で6.9点(MEDIUM)と評価され、リモートからの攻撃が可能で特権が不要という特徴を持つ。すでにエクスプロイトコードが公開されており、早急な対応が必要とされている。

【CVE-2024-12883】code-projects Job Recruitment 1...

code-projects社のJob Recruitment 1.0において、_email.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はCVSS 4.0で6.9点(MEDIUM)と評価され、リモートからの攻撃が可能で特権が不要という特徴を持つ。すでにエクスプロイトコードが公開されており、早急な対応が必要とされている。

【CVE-2025-0230】code-projects Responsive Hotel Siteにおける深刻なSQLインジェクション脆弱性が発見、早急な対応が必要に

【CVE-2025-0230】code-projects Responsive Hotel S...

2025年1月5日、code-projects Responsive Hotel Site 1.0の管理者向けファイル/admin/print.phpにおいて、SQLインジェクションの脆弱性が発見された。CVSSスコアは6.3(Medium)と評価され、pidパラメータを介したリモートからの攻撃が可能であることが判明。既に脆弱性の詳細が公開されており、早急なセキュリティ対策の実施が求められている。

【CVE-2025-0230】code-projects Responsive Hotel S...

2025年1月5日、code-projects Responsive Hotel Site 1.0の管理者向けファイル/admin/print.phpにおいて、SQLインジェクションの脆弱性が発見された。CVSSスコアは6.3(Medium)と評価され、pidパラメータを介したリモートからの攻撃が可能であることが判明。既に脆弱性の詳細が公開されており、早急なセキュリティ対策の実施が求められている。

【CVE-2024-13137】wangl1989 mysiteforme 1.0にクロスサイトスクリプティングの脆弱性が発見、遠隔攻撃のリスクが浮上

【CVE-2024-13137】wangl1989 mysiteforme 1.0にクロスサイ...

wangl1989 mysiteforme 1.0のSiteControllerに含まれるRestResponse機能にクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13137として識別されるこの脆弱性は、CVSSスコア5.1のMediumレベルで、遠隔からの攻撃が可能であり、システムの整合性に影響を及ぼす可能性がある。高い特権レベルを必要とするものの、攻撃条件の複雑さは低く、早急な対応が求められる。

【CVE-2024-13137】wangl1989 mysiteforme 1.0にクロスサイ...

wangl1989 mysiteforme 1.0のSiteControllerに含まれるRestResponse機能にクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13137として識別されるこの脆弱性は、CVSSスコア5.1のMediumレベルで、遠隔からの攻撃が可能であり、システムの整合性に影響を及ぼす可能性がある。高い特権レベルを必要とするものの、攻撃条件の複雑さは低く、早急な対応が求められる。

【CVE-2024-13141】LightPictureにXSS脆弱性が発見、遠隔からの攻撃が可能な状態に

【CVE-2024-13141】LightPictureにXSS脆弱性が発見、遠隔からの攻撃が...

osuuu社が開発するLightPictureのSVG File Upload機能にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性は遠隔から攻撃可能で、既にエクスプロイトが公開されている。バージョン1.2.0から1.2.2が影響を受けており、CVSSスコアは最大で5.3を記録。fileパラメータを操作することでXSS攻撃が可能となるため、早急な対応が求められている。

【CVE-2024-13141】LightPictureにXSS脆弱性が発見、遠隔からの攻撃が...

osuuu社が開発するLightPictureのSVG File Upload機能にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性は遠隔から攻撃可能で、既にエクスプロイトが公開されている。バージョン1.2.0から1.2.2が影響を受けており、CVSSスコアは最大で5.3を記録。fileパラメータを操作することでXSS攻撃が可能となるため、早急な対応が求められている。

マジセミ株式会社が生成AIセキュリティリスクに関するウェビナーを開催、Netskopeの多層防御策による情報漏えい対策を解説

マジセミ株式会社が生成AIセキュリティリスクに関するウェビナーを開催、Netskopeの多層防...

マジセミ株式会社は2025年1月14日に生成AIセキュリティに関するウェビナーを開催する。従業員による意図しない機密情報の入力がAIに学習されることで発生する情報漏えいリスクの実態と、Netskopeの多層防御策を活用したDLP機能による効果的な対策について具体的な解説が行われる予定だ。NECソリューションイノベータ株式会社が主催し、リアルタイム制御機能を組み合わせたセキュリティ戦略が示される。

マジセミ株式会社が生成AIセキュリティリスクに関するウェビナーを開催、Netskopeの多層防...

マジセミ株式会社は2025年1月14日に生成AIセキュリティに関するウェビナーを開催する。従業員による意図しない機密情報の入力がAIに学習されることで発生する情報漏えいリスクの実態と、Netskopeの多層防御策を活用したDLP機能による効果的な対策について具体的な解説が行われる予定だ。NECソリューションイノベータ株式会社が主催し、リアルタイム制御機能を組み合わせたセキュリティ戦略が示される。

【CVE-2024-56653】Linux kernelのbtmtkドライバにおけるUAF脆弱性、Bluetoothスタックのセキュリティに影響

【CVE-2024-56653】Linux kernelのbtmtkドライバにおけるUAF脆弱...

Linux kernelコミュニティは2024年12月27日、Bluetoothスタックのbtmtkドライバに重大な脆弱性を発見し修正を実施した。この脆弱性はbtmtk_process_coredump関数内でのUse-After-Free(UAF)の問題であり、解放済みメモリへのアクセスによるシステムクラッシュやメモリ破損のリスクが指摘されている。影響を受けるバージョンはLinux kernel 6.6であり、6.6.67以降のバージョンで修正が適用されている。

【CVE-2024-56653】Linux kernelのbtmtkドライバにおけるUAF脆弱...

Linux kernelコミュニティは2024年12月27日、Bluetoothスタックのbtmtkドライバに重大な脆弱性を発見し修正を実施した。この脆弱性はbtmtk_process_coredump関数内でのUse-After-Free(UAF)の問題であり、解放済みメモリへのアクセスによるシステムクラッシュやメモリ破損のリスクが指摘されている。影響を受けるバージョンはLinux kernel 6.6であり、6.6.67以降のバージョンで修正が適用されている。

【CVE-2024-13142】ZeroWdd studentmanager 1.0でクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクに警戒

【CVE-2024-13142】ZeroWdd studentmanager 1.0でクロスサ...

2025年1月5日、学生管理システムZeroWdd studentmanager 1.0において、クロスサイトスクリプティングの脆弱性が発見された。RoleController.javaのsubmitAddRole機能に影響を与えるこの脆弱性は、CVE-2024-13142として識別され、CVSSスコア最大5.1のMEDIUMレベルの深刻度を記録。リモートからの攻撃が可能であり、教育機関のセキュリティ対策の重要性が改めて注目されている。

【CVE-2024-13142】ZeroWdd studentmanager 1.0でクロスサ...

2025年1月5日、学生管理システムZeroWdd studentmanager 1.0において、クロスサイトスクリプティングの脆弱性が発見された。RoleController.javaのsubmitAddRole機能に影響を与えるこの脆弱性は、CVE-2024-13142として識別され、CVSSスコア最大5.1のMEDIUMレベルの深刻度を記録。リモートからの攻撃が可能であり、教育機関のセキュリティ対策の重要性が改めて注目されている。

ELSOUL LABOとValidators DAOがSolana ERPCのプロキシをPingoraベースに刷新し性能が3倍に向上

ELSOUL LABOとValidators DAOがSolana ERPCのプロキシをPin...

ELSOUL LABO B.V.とValidators DAOは、Solana ERPCのプロキシシステムをNginxベースからRust製の高性能ネットワークシステムフレームワークPingoraベースに換装する実装実験を実施。世界300以上のエッジサーバーを活用するグローバルプロキシにより、ピーク時に3倍を超える性能向上を達成。DeFiトレードやNFTミントなど、高負荷時のトランザクション処理性能が大幅に改善された。

ELSOUL LABOとValidators DAOがSolana ERPCのプロキシをPin...

ELSOUL LABO B.V.とValidators DAOは、Solana ERPCのプロキシシステムをNginxベースからRust製の高性能ネットワークシステムフレームワークPingoraベースに換装する実装実験を実施。世界300以上のエッジサーバーを活用するグローバルプロキシにより、ピーク時に3倍を超える性能向上を達成。DeFiトレードやNFTミントなど、高負荷時のトランザクション処理性能が大幅に改善された。

GoogleとLinux Foundationが新イニシアチブを発表、Chromiumエコシステムの開発強化へ向け大手企業が参画

GoogleとLinux Foundationが新イニシアチブを発表、Chromiumエコシス...

GoogleとLinux Foundationは2025年1月9日、Chromiumエコシステムの開発強化を目的とした新イニシアチブ「Supporters of Chromium-Based Browsers」を発表した。Meta、Microsoft、Operaなどの大手企業が参画を表明し、Linux Foundationが中立的な立場で運営を担当。技術諮問委員会を設置し、幅広いコミュニティのニーズに応える形で開発方針を決定する。

GoogleとLinux Foundationが新イニシアチブを発表、Chromiumエコシス...

GoogleとLinux Foundationは2025年1月9日、Chromiumエコシステムの開発強化を目的とした新イニシアチブ「Supporters of Chromium-Based Browsers」を発表した。Meta、Microsoft、Operaなどの大手企業が参画を表明し、Linux Foundationが中立的な立場で運営を担当。技術諮問委員会を設置し、幅広いコミュニティのニーズに応える形で開発方針を決定する。