Tech Insights

【CVE-2024-44309】Appleが複数OSのクッキー管理における脆弱性を修正、Intel搭載Macでの攻撃事例も確認

【CVE-2024-44309】Appleが複数OSのクッキー管理における脆弱性を修正、Int...

Appleは2024年11月19日、Safari、macOS、iOS、iPadOS、visionOSの各OSに対するセキュリティアップデートを公開した。クッキー管理の脆弱性により、クロスサイトスクリプティング攻撃が可能となる問題が修正された。特にIntel搭載のMacシステムでは実際の攻撃事例が確認されており、早急なアップデートの適用が推奨されている。

【CVE-2024-44309】Appleが複数OSのクッキー管理における脆弱性を修正、Int...

Appleは2024年11月19日、Safari、macOS、iOS、iPadOS、visionOSの各OSに対するセキュリティアップデートを公開した。クッキー管理の脆弱性により、クロスサイトスクリプティング攻撃が可能となる問題が修正された。特にIntel搭載のMacシステムでは実際の攻撃事例が確認されており、早急なアップデートの適用が推奨されている。

NordVPNのThreat Protection ProがAV-TESTの独立評価で最高位を獲得、マルウェア対策の性能が実証される

NordVPNのThreat Protection ProがAV-TESTの独立評価で最高位を...

NordVPNのThreat Protection Pro機能がドイツのITセキュリティ独立研究機関AV-TESTの評価で最高位に選出された。悪質なウェブサイトの83.42%をブロックする高い性能を実証し、2位のVPNプロバイダーの46.96%を大きく上回る。さらにWest Coast Labsのマルウェア対策検証でも最高評価AAAを獲得し、99.8%という驚異的な検出率を記録している。

NordVPNのThreat Protection ProがAV-TESTの独立評価で最高位を...

NordVPNのThreat Protection Pro機能がドイツのITセキュリティ独立研究機関AV-TESTの評価で最高位に選出された。悪質なウェブサイトの83.42%をブロックする高い性能を実証し、2位のVPNプロバイダーの46.96%を大きく上回る。さらにWest Coast Labsのマルウェア対策検証でも最高評価AAAを獲得し、99.8%という驚異的な検出率を記録している。

KnowBe4がThe Software Report上位100ソフトウェア企業に選出、19位にランクインしセキュリティ教育分野での存在感を示す

KnowBe4がThe Software Report上位100ソフトウェア企業に選出、19位...

セキュリティ意識向上トレーニングとフィッシングシミュレーション分析の世界最大の統合型プラットフォームを提供するKnowBe4が、The Software Report2024年度上位100ソフトウェア企業リストで19位にランクイン。製品品質、顧客満足度、企業評価など総合的な観点で高い評価を獲得し、7万社以上の導入実績を持つセキュリティ教育プラットフォームの価値が認められた。

KnowBe4がThe Software Report上位100ソフトウェア企業に選出、19位...

セキュリティ意識向上トレーニングとフィッシングシミュレーション分析の世界最大の統合型プラットフォームを提供するKnowBe4が、The Software Report2024年度上位100ソフトウェア企業リストで19位にランクイン。製品品質、顧客満足度、企業評価など総合的な観点で高い評価を獲得し、7万社以上の導入実績を持つセキュリティ教育プラットフォームの価値が認められた。

広島銀行を装った偽サイトによる不正送金被害が約4千万円に拡大、深夜帯の取引に注意喚起

広島銀行を装った偽サイトによる不正送金被害が約4千万円に拡大、深夜帯の取引に注意喚起

広島銀行は11月23日18時頃、同行を装った偽SMS・偽サイトの存在を確認した。新たな手口による不正送金被害は11月27日20時時点で約4千万円に達している。偽サイトは正規のインターネットバンキング画面を精巧に模倣しており、深夜帯のメッセージには特に注意が必要だ。同行は正規のSMSや電子メールでインターネットバンキングの入力画面を案内することは一切ないと強調している。

広島銀行を装った偽サイトによる不正送金被害が約4千万円に拡大、深夜帯の取引に注意喚起

広島銀行は11月23日18時頃、同行を装った偽SMS・偽サイトの存在を確認した。新たな手口による不正送金被害は11月27日20時時点で約4千万円に達している。偽サイトは正規のインターネットバンキング画面を精巧に模倣しており、深夜帯のメッセージには特に注意が必要だ。同行は正規のSMSや電子メールでインターネットバンキングの入力画面を案内することは一切ないと強調している。

トビラシステムズが首都圏での給湯器点検に関する不審電話の増加を発表、闇バイトを使用したアポ電の可能性を指摘

トビラシステムズが首都圏での給湯器点検に関する不審電話の増加を発表、闇バイトを使用したアポ電の...

特殊詐欺やフィッシング詐欺の対策サービスを提供するトビラシステムズが、首都圏における給湯器点検に関する不審電話の増加を発表した。東京都、神奈川県、千葉県、埼玉県の1都3県で8月下旬から10月下旬にかけて着信件数が増加しており、闇バイトを使用した犯行グループによるアポ電の可能性を指摘している。

トビラシステムズが首都圏での給湯器点検に関する不審電話の増加を発表、闇バイトを使用したアポ電の...

特殊詐欺やフィッシング詐欺の対策サービスを提供するトビラシステムズが、首都圏における給湯器点検に関する不審電話の増加を発表した。東京都、神奈川県、千葉県、埼玉県の1都3県で8月下旬から10月下旬にかけて着信件数が増加しており、闇バイトを使用した犯行グループによるアポ電の可能性を指摘している。

【CVE-2024-44308】AppleがSafari 18.1.1などで重大な脆弱性に対応、Intel搭載Macでの悪用を確認

【CVE-2024-44308】AppleがSafari 18.1.1などで重大な脆弱性に対応...

Appleは2024年11月19日、Safari 18.1.1をはじめとする複数の製品のセキュリティアップデートをリリースした。このアップデートではWebコンテンツ処理における任意のコード実行の脆弱性【CVE-2024-44308】に対応しており、特にIntel搭載Macシステムでの実際の悪用が確認されている。CVSSスコア8.8の高リスク脆弱性であり、早急な対応が推奨される。

【CVE-2024-44308】AppleがSafari 18.1.1などで重大な脆弱性に対応...

Appleは2024年11月19日、Safari 18.1.1をはじめとする複数の製品のセキュリティアップデートをリリースした。このアップデートではWebコンテンツ処理における任意のコード実行の脆弱性【CVE-2024-44308】に対応しており、特にIntel搭載Macシステムでの実際の悪用が確認されている。CVSSスコア8.8の高リスク脆弱性であり、早急な対応が推奨される。

RSAがFIDO対応の新認証デバイスiShield Key2を発表、FIDOアライアンス東京セミナーで最新情報を公開へ

RSAがFIDO対応の新認証デバイスiShield Key2を発表、FIDOアライアンス東京セ...

RSA Security Japanは、FIDO対応の多要素認証デバイス「RSA iShield Key2」を発表した。Swissbit社のプラットフォームを採用し、FIPS 140-3レベル3認定の暗号化モジュールに準拠した高度なセキュリティを実現。12月12日開催のFIDO東京セミナーでは、パスキーの最新動向や導入事例について詳しく解説される予定だ。

RSAがFIDO対応の新認証デバイスiShield Key2を発表、FIDOアライアンス東京セ...

RSA Security Japanは、FIDO対応の多要素認証デバイス「RSA iShield Key2」を発表した。Swissbit社のプラットフォームを採用し、FIPS 140-3レベル3認定の暗号化モジュールに準拠した高度なセキュリティを実現。12月12日開催のFIDO東京セミナーでは、パスキーの最新動向や導入事例について詳しく解説される予定だ。

【CVE-2024-9768】Formidable Forms 6.14.1未満でXSS脆弱性が発見、マルチサイト環境での影響が深刻に

【CVE-2024-9768】Formidable Forms 6.14.1未満でXSS脆弱性...

WordPressプラグインFormidable Forms 6.14.1未満において、管理者権限を持つユーザーがストアドXSS攻撃を実行可能な脆弱性が発見された。特にマルチサイト環境でunfiltered_html機能が制限されている場合でも攻撃が可能であり、CVSSスコア4.8の中程度の深刻度と評価されている。発見者はKrugov Artyomで、WPScanが調整機関として関与している。

【CVE-2024-9768】Formidable Forms 6.14.1未満でXSS脆弱性...

WordPressプラグインFormidable Forms 6.14.1未満において、管理者権限を持つユーザーがストアドXSS攻撃を実行可能な脆弱性が発見された。特にマルチサイト環境でunfiltered_html機能が制限されている場合でも攻撃が可能であり、CVSSスコア4.8の中程度の深刻度と評価されている。発見者はKrugov Artyomで、WPScanが調整機関として関与している。

【CVE-2024-9778】ImagePress – Image Galleryに深刻な脆弱性、WordPressサイトの管理者に警戒呼びかけ

【CVE-2024-9778】ImagePress – Image Galleryに深刻な脆弱...

WordPressプラグイン「ImagePress – Image Gallery」のバージョン1.2.2以前に、Cross-Site Request Forgeryの脆弱性が発見された。未認証の攻撃者が管理者に偽装されたリクエストをクリックさせることで、プラグインの設定を不正に更新可能となる。CVSSスコアは4.3(MEDIUM)で、特に管理者権限での設定変更が可能となることから、早急な対応が求められている。

【CVE-2024-9778】ImagePress – Image Galleryに深刻な脆弱...

WordPressプラグイン「ImagePress – Image Gallery」のバージョン1.2.2以前に、Cross-Site Request Forgeryの脆弱性が発見された。未認証の攻撃者が管理者に偽装されたリクエストをクリックさせることで、プラグインの設定を不正に更新可能となる。CVSSスコアは4.3(MEDIUM)で、特に管理者権限での設定変更が可能となることから、早急な対応が求められている。

【CVE-2024-9775】Anih WordPress Theme 2024にXSS脆弱性、管理者権限で任意のスクリプト実行が可能に

【CVE-2024-9775】Anih WordPress Theme 2024にXSS脆弱性...

WordPressテーマ「Anih - Creative Agency WordPress Theme」において、2024年以前のバージョンに深刻なXSS脆弱性が発見された。この脆弱性により、管理者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、マルチサイトインストールとunfiltered_html無効環境で影響を受ける。CVSSスコアは5.5(MEDIUM)と評価され、適切なセキュリティ対策が求められている。

【CVE-2024-9775】Anih WordPress Theme 2024にXSS脆弱性...

WordPressテーマ「Anih - Creative Agency WordPress Theme」において、2024年以前のバージョンに深刻なXSS脆弱性が発見された。この脆弱性により、管理者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、マルチサイトインストールとunfiltered_html無効環境で影響を受ける。CVSSスコアは5.5(MEDIUM)と評価され、適切なセキュリティ対策が求められている。

【CVE-2024-9653】WordPress用Restaurant Menuプラグインに深刻なXSS脆弱性が発見、バージョン2.4.2まで影響

【CVE-2024-9653】WordPress用Restaurant Menuプラグインに深...

WordPressプラグイン「Restaurant Menu – Food Ordering System – Table Reservation」のバージョン2.4.2以前にReflected Cross-Site Scriptingの脆弱性が発見された。CVE-2024-9653として識別されるこの脆弱性は、CVSSスコア6.1のMedium評価となっており、認証不要で攻撃可能だが、ユーザーの操作を必要とする。

【CVE-2024-9653】WordPress用Restaurant Menuプラグインに深...

WordPressプラグイン「Restaurant Menu – Food Ordering System – Table Reservation」のバージョン2.4.2以前にReflected Cross-Site Scriptingの脆弱性が発見された。CVE-2024-9653として識別されるこの脆弱性は、CVSSスコア6.1のMedium評価となっており、認証不要で攻撃可能だが、ユーザーの操作を必要とする。

【CVE-2024-11277】WordPress用404 Solutionプラグインに脆弱性、反射型XSSの危険性が浮上

【CVE-2024-11277】WordPress用404 Solutionプラグインに脆弱性...

WordFenceが2024年11月20日、WordPressプラグイン「404 Solution」にリフレクテッドクロスサイトスクリプティングの脆弱性が存在することを公開した。バージョン2.35.19以前のすべてのバージョンに影響を及ぼすこの脆弱性は、CVE-2024-11277として識別され、CVSSスコア6.1(Medium)と評価されている。攻撃者は特別な権限を必要とせずにWebスクリプトを注入できる可能性がある。

【CVE-2024-11277】WordPress用404 Solutionプラグインに脆弱性...

WordFenceが2024年11月20日、WordPressプラグイン「404 Solution」にリフレクテッドクロスサイトスクリプティングの脆弱性が存在することを公開した。バージョン2.35.19以前のすべてのバージョンに影響を及ぼすこの脆弱性は、CVE-2024-11277として識別され、CVSSスコア6.1(Medium)と評価されている。攻撃者は特別な権限を必要とせずにWebスクリプトを注入できる可能性がある。

【CVE-2024-11365】Crypto and DeFi Widgetsにクロスサイトスクリプティングの脆弱性、WordPress環境のセキュリティリスクが浮き彫りに

【CVE-2024-11365】Crypto and DeFi Widgetsにクロスサイトス...

WordPressプラグイン「Crypto and DeFi Widgets – Web3 Cryptocurrency Shortcodes」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.6以前の全バージョンが影響を受け、認証不要で攻撃可能。CVSSスコアは6.1でMEDIUMと評価され、適切なエスケープ処理の実装が求められる。ユーザーの操作を必要とするものの、悪意のあるスクリプトが実行される可能性があり、早急な対応が必要だ。

【CVE-2024-11365】Crypto and DeFi Widgetsにクロスサイトス...

WordPressプラグイン「Crypto and DeFi Widgets – Web3 Cryptocurrency Shortcodes」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.6以前の全バージョンが影響を受け、認証不要で攻撃可能。CVSSスコアは6.1でMEDIUMと評価され、適切なエスケープ処理の実装が求められる。ユーザーの操作を必要とするものの、悪意のあるスクリプトが実行される可能性があり、早急な対応が必要だ。

【CVE-2024-11371】Theater for WordPressプラグインに反射型XSS脆弱性、バージョン0.18.6.2まで影響

【CVE-2024-11371】Theater for WordPressプラグインに反射型X...

WordfenceはTheater for WordPressプラグインにおいて、バージョン0.18.6.2までに反射型クロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコアは6.1で、未認証の攻撃者がURLに悪意のあるスクリプトを埋め込み、ユーザーの操作を介して実行される可能性がある。早急なアップデートが推奨される。

【CVE-2024-11371】Theater for WordPressプラグインに反射型X...

WordfenceはTheater for WordPressプラグインにおいて、バージョン0.18.6.2までに反射型クロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコアは6.1で、未認証の攻撃者がURLに悪意のあるスクリプトを埋め込み、ユーザーの操作を介して実行される可能性がある。早急なアップデートが推奨される。

【CVE-2024-11370】Subaccounts For WooCommerceに反射型XSSの脆弱性、バージョン1.6.0以前が影響を受ける状態に

【CVE-2024-11370】Subaccounts For WooCommerceに反射型...

WordPressのSubaccounts for WooCommerceプラグインにおいて、バージョン1.6.0以前の全バージョンに反射型クロスサイトスクリプティングの脆弱性が発見された。URLにおけるadd_query_argの不適切なエスケープ処理に起因する脆弱性が確認されており、未認証の攻撃者によって悪意のあるスクリプトが実行される可能性がある。CVSSスコアは6.1(中)と評価されている。

【CVE-2024-11370】Subaccounts For WooCommerceに反射型...

WordPressのSubaccounts for WooCommerceプラグインにおいて、バージョン1.6.0以前の全バージョンに反射型クロスサイトスクリプティングの脆弱性が発見された。URLにおけるadd_query_argの不適切なエスケープ処理に起因する脆弱性が確認されており、未認証の攻撃者によって悪意のあるスクリプトが実行される可能性がある。CVSSスコアは6.1(中)と評価されている。

【CVE-2024-9738】Tungsten Automation Power PDFに深刻な脆弱性、メモリ破損による任意のコード実行が可能に

【CVE-2024-9738】Tungsten Automation Power PDFに深刻...

Zero Day InitiativeはTungsten Automation Power PDFにおいてPDFファイルの解析処理に起因する脆弱性を公開した。CVSSスコア7.8のHIGH評価で、ユーザーが悪意のあるページを訪問するかファイルを開くことで任意のコードが実行される可能性がある。Power PDF 5.0.0.10.0.23307が影響を受け、機密性、整合性、可用性のすべてにおいて高い影響度を持つ。

【CVE-2024-9738】Tungsten Automation Power PDFに深刻...

Zero Day InitiativeはTungsten Automation Power PDFにおいてPDFファイルの解析処理に起因する脆弱性を公開した。CVSSスコア7.8のHIGH評価で、ユーザーが悪意のあるページを訪問するかファイルを開くことで任意のコードが実行される可能性がある。Power PDF 5.0.0.10.0.23307が影響を受け、機密性、整合性、可用性のすべてにおいて高い影響度を持つ。

【CVE-2024-9753】Tungsten Automation Power PDFに範囲外読み取りの脆弱性が発見、情報漏洩のリスクが指摘される

【CVE-2024-9753】Tungsten Automation Power PDFに範囲...

Zero Day Initiativeは2024年11月22日、Tungsten Automation Power PDFにおいてPDFファイル解析時の範囲外読み取りによる情報漏洩の脆弱性を確認したと発表した。CVE-2024-9753として識別されるこの脆弱性は、ユーザーが悪意のあるページを訪問するかファイルを開くことで攻撃が可能となり、他の脆弱性と組み合わせることで任意のコード実行につながる危険性も指摘されている。

【CVE-2024-9753】Tungsten Automation Power PDFに範囲...

Zero Day Initiativeは2024年11月22日、Tungsten Automation Power PDFにおいてPDFファイル解析時の範囲外読み取りによる情報漏洩の脆弱性を確認したと発表した。CVE-2024-9753として識別されるこの脆弱性は、ユーザーが悪意のあるページを訪問するかファイルを開くことで攻撃が可能となり、他の脆弱性と組み合わせることで任意のコード実行につながる危険性も指摘されている。

森永製菓が詐欺メール被害の注意喚起、6月の情報流出を受けた二次被害への対策を強化

森永製菓が詐欺メール被害の注意喚起、6月の情報流出を受けた二次被害への対策を強化

森永製菓は2024年11月20日、同社およびグループ会社の社名や役職員名をかたった詐欺メールが確認されたとして注意喚起を実施した。6月の不正アクセスで流出した4882件の情報が悪用された可能性があり、振り込め詐欺やフィッシング詐欺などの被害防止を呼びかけている。メール受信時は返信せずに削除するよう注意を促している。

森永製菓が詐欺メール被害の注意喚起、6月の情報流出を受けた二次被害への対策を強化

森永製菓は2024年11月20日、同社およびグループ会社の社名や役職員名をかたった詐欺メールが確認されたとして注意喚起を実施した。6月の不正アクセスで流出した4882件の情報が悪用された可能性があり、振り込め詐欺やフィッシング詐欺などの被害防止を呼びかけている。メール受信時は返信せずに削除するよう注意を促している。

三菱UFJ銀行が貸金庫取引を装う詐欺メールに注意喚起、不祥事に便乗した新たな手口による個人情報の窃取を警告

三菱UFJ銀行が貸金庫取引を装う詐欺メールに注意喚起、不祥事に便乗した新たな手口による個人情報...

三菱UFJ銀行は貸金庫取引を装った不審なメールによる詐欺被害の防止に向けて注意を呼びかけた。元行員による貸金庫不祥事に便乗した手口で、メール受信者を虚偽のWebページに誘導し暗証番号などの個人情報を窃取しようとするものだ。銀行側は現時点で貸金庫取引に関するメール連絡を行っていないことを強調し、不審なリンクでの情報入力を控えるよう呼びかけている。

三菱UFJ銀行が貸金庫取引を装う詐欺メールに注意喚起、不祥事に便乗した新たな手口による個人情報...

三菱UFJ銀行は貸金庫取引を装った不審なメールによる詐欺被害の防止に向けて注意を呼びかけた。元行員による貸金庫不祥事に便乗した手口で、メール受信者を虚偽のWebページに誘導し暗証番号などの個人情報を窃取しようとするものだ。銀行側は現時点で貸金庫取引に関するメール連絡を行っていないことを強調し、不審なリンクでの情報入力を控えるよう呼びかけている。

【CVE-2024-9739】Tungsten Automation Power PDFにメモリ破損の脆弱性、リモートコード実行のリスクが発覚

【CVE-2024-9739】Tungsten Automation Power PDFにメモ...

Zero Day InitiativeがTungsten Automation Power PDFのPDFファイル解析処理においてメモリ破損の脆弱性を発見。CVSSスコア7.8の深刻度で、ユーザーが悪意のあるページやファイルにアクセスすることで攻撃者による任意のコード実行が可能。バージョン5.0.0.10.0.23307に影響し、ユーザー入力データの検証不足が原因とされている。

【CVE-2024-9739】Tungsten Automation Power PDFにメモ...

Zero Day InitiativeがTungsten Automation Power PDFのPDFファイル解析処理においてメモリ破損の脆弱性を発見。CVSSスコア7.8の深刻度で、ユーザーが悪意のあるページやファイルにアクセスすることで攻撃者による任意のコード実行が可能。バージョン5.0.0.10.0.23307に影響し、ユーザー入力データの検証不足が原因とされている。

【CVE-2024-11587】idcCMS 1.60でクロスサイトスクリプティングの脆弱性が発見、リモート攻撃の可能性も

【CVE-2024-11587】idcCMS 1.60でクロスサイトスクリプティングの脆弱性が...

2024年11月21日、idcCMS 1.60の「/inc/classProvCity.php」ファイルにおいて、GetCityOptionJs関数の引数idNameに関連するクロスサイトスクリプティングの脆弱性が公開された。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、リモートからの攻撃が可能な状態。エクスプロイトコードも公開されており、早急な対応が必要とされている。

【CVE-2024-11587】idcCMS 1.60でクロスサイトスクリプティングの脆弱性が...

2024年11月21日、idcCMS 1.60の「/inc/classProvCity.php」ファイルにおいて、GetCityOptionJs関数の引数idNameに関連するクロスサイトスクリプティングの脆弱性が公開された。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、リモートからの攻撃が可能な状態。エクスプロイトコードも公開されており、早急な対応が必要とされている。

【CVE-2024-52595】lxml_html_cleanにXSS脆弱性、特殊タグでスクリプト実行が可能に

【CVE-2024-52595】lxml_html_cleanにXSS脆弱性、特殊タグでスクリ...

GitHubは2024年11月19日、HTMLクリーニングライブラリlxml_html_cleanにおいて深刻な脆弱性を発見したことを公表した。特殊なHTMLタグを用いることでスクリプトを実行可能な状態であることが判明し、セキュリティ上重要な用途で使用している場合はバージョン0.4.0への更新が強く推奨されている。CVSSスコアは7.7(HIGH)と評価されており、早急な対応が必要となっている。

【CVE-2024-52595】lxml_html_cleanにXSS脆弱性、特殊タグでスクリ...

GitHubは2024年11月19日、HTMLクリーニングライブラリlxml_html_cleanにおいて深刻な脆弱性を発見したことを公表した。特殊なHTMLタグを用いることでスクリプトを実行可能な状態であることが判明し、セキュリティ上重要な用途で使用している場合はバージョン0.4.0への更新が強く推奨されている。CVSSスコアは7.7(HIGH)と評価されており、早急な対応が必要となっている。

【CVE-2024-10928】MonoCMS 20240528にクロスサイトスクリプティングの脆弱性、ベンダーの対応が課題に

【CVE-2024-10928】MonoCMS 20240528にクロスサイトスクリプティング...

MonoCMSのバージョン20240528以前において、Posts Pageコンポーネントの/monofiles/opensaved.phpファイルに深刻な脆弱性が発見された。filtcategoryやfiltstatusパラメータの操作によってクロスサイトスクリプティング攻撃が可能となり、CVSSスコアは5.3(MEDIUM)と評価された。ベンダーへの報告後も返答がなく、既に攻撃コードが公開されている状況だ。

【CVE-2024-10928】MonoCMS 20240528にクロスサイトスクリプティング...

MonoCMSのバージョン20240528以前において、Posts Pageコンポーネントの/monofiles/opensaved.phpファイルに深刻な脆弱性が発見された。filtcategoryやfiltstatusパラメータの操作によってクロスサイトスクリプティング攻撃が可能となり、CVSSスコアは5.3(MEDIUM)と評価された。ベンダーへの報告後も返答がなく、既に攻撃コードが公開されている状況だ。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダーの対応の遅れに懸念

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1.0にStored XSSの脆弱性が発見、Author以上の権限で任意のスクリプト実行が可能に

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1...

WordPressプラグインのEasy SVG Uploadにおいて、バージョン1.0以前の全バージョンでStored Cross-Site Scriptingの脆弱性が確認された。この脆弱性はCVE-2024-9708として識別され、CVSS v3.1で深刻度6.4(MEDIUM)と評価。Author以上の権限を持つ攻撃者がSVGファイルを介して悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行される可能性がある。

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1...

WordPressプラグインのEasy SVG Uploadにおいて、バージョン1.0以前の全バージョンでStored Cross-Site Scriptingの脆弱性が確認された。この脆弱性はCVE-2024-9708として識別され、CVSS v3.1で深刻度6.4(MEDIUM)と評価。Author以上の権限を持つ攻撃者がSVGファイルを介して悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行される可能性がある。

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以前にXSS脆弱性、Contributor権限で攻撃実行の可能性

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以...

WordPressプラグインSocial Sharing (By Danny)において、バージョン1.3.7以前に深刻な脆弱性が発見された。dvk_social_sharingショートコードでの入力検証とエスケープ処理の不備により、Contributor以上の権限を持つユーザーがCross-Site Scripting攻撃を実行可能。CVSS Score 6.4の中程度の脆弱性として評価され、早急な対応が推奨される。

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以...

WordPressプラグインSocial Sharing (By Danny)において、バージョン1.3.7以前に深刻な脆弱性が発見された。dvk_social_sharingショートコードでの入力検証とエスケープ処理の不備により、Contributor以上の権限を持つユーザーがCross-Site Scripting攻撃を実行可能。CVSS Score 6.4の中程度の脆弱性として評価され、早急な対応が推奨される。

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクが明らかに

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...

WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...

WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。

【CVE-2024-11493】115cms v20240807でクロスサイトスクリプティングの脆弱性が発見、ベンダーの対応が課題に

【CVE-2024-11493】115cms v20240807でクロスサイトスクリプティング...

115cms v20240807以前のバージョンにおいて、/index.php/setpage/admin/pageAE.htmlファイルのtid引数に関する深刻な脆弱性が発見された。CVE-2024-11493として識別されるこの脆弱性は、クロスサイトスクリプティング攻撃を可能にし、CVSS v4.0で5.3(MEDIUM)と評価されている。早期の脆弱性情報開示にもかかわらずベンダーの対応が行われていない状況が続いており、セキュリティリスクが高まっている。

【CVE-2024-11493】115cms v20240807でクロスサイトスクリプティング...

115cms v20240807以前のバージョンにおいて、/index.php/setpage/admin/pageAE.htmlファイルのtid引数に関する深刻な脆弱性が発見された。CVE-2024-11493として識別されるこの脆弱性は、クロスサイトスクリプティング攻撃を可能にし、CVSS v4.0で5.3(MEDIUM)と評価されている。早期の脆弱性情報開示にもかかわらずベンダーの対応が行われていない状況が続いており、セキュリティリスクが高まっている。

【CVE-2024-11070】PublicCMS 5.202406.dにクロスサイトスクリプティングの脆弱性が発見、リモート攻撃のリスクに対応急務

【CVE-2024-11070】PublicCMS 5.202406.dにクロスサイトスクリプ...

Sanluan社のPublicCMS 5.202406.dにおいて、Tag Type Handlerコンポーネントの/admin/cmsTagType/save機能にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSS 4.0で中程度(5.3)と評価されたこの脆弱性は、リモートからの攻撃が可能で、既に公開されている。対策が急務となっているが、自動化された攻撃は困難とされている。

【CVE-2024-11070】PublicCMS 5.202406.dにクロスサイトスクリプ...

Sanluan社のPublicCMS 5.202406.dにおいて、Tag Type Handlerコンポーネントの/admin/cmsTagType/save機能にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSS 4.0で中程度(5.3)と評価されたこの脆弱性は、リモートからの攻撃が可能で、既に公開されている。対策が急務となっているが、自動化された攻撃は困難とされている。

【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベンダーの対応が課題に

【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...

115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。

【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...

115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。