Tech Insights

【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、wireless・healthエンドポイントのmetricパラメータに深刻な問題

【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、w...

オープンソースのネットワーク監視システムLibreNMSにおいて、"/wireless"および"/health"エンドポイントの"metric"パラメータにReflected XSS(反射型クロスサイトスクリプティング)の脆弱性が発見された。CVSSスコアは4.8(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。バージョン24.10.0未満が影響を受け、最新版へのアップデートが推奨される。

【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、w...

オープンソースのネットワーク監視システムLibreNMSにおいて、"/wireless"および"/health"エンドポイントの"metric"パラメータにReflected XSS(反射型クロスサイトスクリプティング)の脆弱性が発見された。CVSSスコアは4.8(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。バージョン24.10.0未満が影響を受け、最新版へのアップデートが推奨される。

【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプティングの脆弱性が発見、ベンダー対応に課題

【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプ...

VulDBは2024年11月20日、115cmsのバージョン20240807以前に存在するクロスサイトスクリプティングの脆弱性を公開した。/app/admin/view/web_user.htmlファイルのks引数の処理に関連する脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、既に一般に公開され悪用される可能性が指摘されている。

【CVE-2024-11488】115cmsのweb_user.htmlにクロスサイトスクリプ...

VulDBは2024年11月20日、115cmsのバージョン20240807以前に存在するクロスサイトスクリプティングの脆弱性を公開した。/app/admin/view/web_user.htmlファイルのks引数の処理に関連する脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、既に一般に公開され悪用される可能性が指摘されている。

【CVE-2024-10872】WordPressプラグインGetwid – Gutenberg Blocks 2.0.12に深刻なXSS脆弱性、早急なアップデートが必要に

【CVE-2024-10872】WordPressプラグインGetwid – Gutenber...

WordPressプラグインGetwid – Gutenberg Blocks 2.0.12以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。template-post-custom-fieldブロックの入力サニタイズと出力エスケープが不十分で、投稿者以上の権限を持つユーザーにより悪用される可能性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-10872】WordPressプラグインGetwid – Gutenber...

WordPressプラグインGetwid – Gutenberg Blocks 2.0.12以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。template-post-custom-fieldブロックの入力サニタイズと出力エスケープが不十分で、投稿者以上の権限を持つユーザーにより悪用される可能性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-11078】code-projects Job Recruitment 1.0にクロスサイトスクリプティングの脆弱性が発見、リモート攻撃が可能に

【CVE-2024-11078】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。

【CVE-2024-11078】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。

【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの脆弱性、管理者インターフェースのセキュリティに影響

【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの...

115cmsのバージョン20240807において、管理者インターフェースのset.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(5.3点)、CVSS 3.1で低(3.5点)と評価されており、typeパラメータの操作によってリモートから攻撃が可能。ベンダーへの報告に対する返答がない状態が続いており、早急な対応が必要とされている。

【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの...

115cmsのバージョン20240807において、管理者インターフェースのset.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(5.3点)、CVSS 3.1で低(3.5点)と評価されており、typeパラメータの操作によってリモートから攻撃が可能。ベンダーへの報告に対する返答がない状態が続いており、早急な対応が必要とされている。

【CVE-2024-11050】AMTT Hotel Broadband Operation System 3.0.3.151204にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクが判明

【CVE-2024-11050】AMTT Hotel Broadband Operation ...

AMTT Hotel Broadband Operation Systemのversion 3.0.3.151204以前のバージョンにおいて、language.phpファイル内のLangID、LangName、LangENameパラメータの処理に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3(MEDIUM)で、リモートからの攻撃が可能であり、特に完全性への影響が懸念される。ベンダーへの早期通知にもかかわらず対応は確認されておらず、既に脆弱性の詳細が公開され悪用可能な状態となっている。

【CVE-2024-11050】AMTT Hotel Broadband Operation ...

AMTT Hotel Broadband Operation Systemのversion 3.0.3.151204以前のバージョンにおいて、language.phpファイル内のLangID、LangName、LangENameパラメータの処理に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3(MEDIUM)で、リモートからの攻撃が可能であり、特に完全性への影響が懸念される。ベンダーへの早期通知にもかかわらず対応は確認されておらず、既に脆弱性の詳細が公開され悪用可能な状態となっている。

かっこ株式会社が自治体向け情報漏洩対策ウェビナーを開催、ふるさと納税の安全運用を徹底解説

かっこ株式会社が自治体向け情報漏洩対策ウェビナーを開催、ふるさと納税の安全運用を徹底解説

かっこ株式会社、弁護士法人Authense法律事務所、志布志市役所が共同で情報漏洩対策ウェビナーを2024年12月4日に開催する。2024年4月改訂の情報セキュリティポリシーガイドラインを踏まえた自治体向け対策、フィッシングや不正アクセスへの最新対策、志布志市の実例から学ぶふるさと納税の安全運用について、専門家が詳しく解説する予定だ。

かっこ株式会社が自治体向け情報漏洩対策ウェビナーを開催、ふるさと納税の安全運用を徹底解説

かっこ株式会社、弁護士法人Authense法律事務所、志布志市役所が共同で情報漏洩対策ウェビナーを2024年12月4日に開催する。2024年4月改訂の情報セキュリティポリシーガイドラインを踏まえた自治体向け対策、フィッシングや不正アクセスへの最新対策、志布志市の実例から学ぶふるさと納税の安全運用について、専門家が詳しく解説する予定だ。

Windows 11最新ビルドがリリース、OneDriveのシームレス連携機能とパスキー対応APIを実装し操作性が向上

Windows 11最新ビルドがリリース、OneDriveのシームレス連携機能とパスキー対応A...

MicrosoftがWindows 11 Insider Preview Build 22635.4515をBetaチャネルで公開。OneDriveファイルをスマートフォンからPCへワンクリックで継続作業できる機能を実装し、Word、Excel、PowerPoint、OneNote、PDFファイルに対応。さらに、パスワードレス認証の促進に向けて、サードパーティのパスキープロバイダーに対応するAPIを追加。Windows Hello認証との連携により、セキュアで使いやすい認証環境を実現。

Windows 11最新ビルドがリリース、OneDriveのシームレス連携機能とパスキー対応A...

MicrosoftがWindows 11 Insider Preview Build 22635.4515をBetaチャネルで公開。OneDriveファイルをスマートフォンからPCへワンクリックで継続作業できる機能を実装し、Word、Excel、PowerPoint、OneNote、PDFファイルに対応。さらに、パスワードレス認証の促進に向けて、サードパーティのパスキープロバイダーに対応するAPIを追加。Windows Hello認証との連携により、セキュアで使いやすい認証環境を実現。

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

イオンカードは2024年11月22日、不正利用被害に対するセキュリティ対応の声明を発表した。カード利用停止後もオフライン取引による不正利用が継続する問題に対し、照会基準の見直しや店舗端末への停止情報登録などの対策を実施。24時間365日の異常検知モニタリングや本人認証サービスの導入など、セキュリティ体制の強化を進めている。

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

イオンカードは2024年11月22日、不正利用被害に対するセキュリティ対応の声明を発表した。カード利用停止後もオフライン取引による不正利用が継続する問題に対し、照会基準の見直しや店舗端末への停止情報登録などの対策を実施。24時間365日の異常検知モニタリングや本人認証サービスの導入など、セキュリティ体制の強化を進めている。

Authense法律事務所が自治体向け情報漏洩対策ウェビナーを開催、フィッシング対策とふるさと納税の安全運用に焦点

Authense法律事務所が自治体向け情報漏洩対策ウェビナーを開催、フィッシング対策とふるさと...

Authense法律事務所とかっこ株式会社、志布志市役所が共同で2024年12月4日に情報漏洩対策ウェビナーを開催する。デジタル庁出向経験のある弁護士による情報セキュリティガイドラインの解説や、フィッシング対策、実例に基づく安全なふるさと納税運用の取り組みなど、自治体が直面する情報セキュリティの課題と対策について詳しく解説される予定だ。

Authense法律事務所が自治体向け情報漏洩対策ウェビナーを開催、フィッシング対策とふるさと...

Authense法律事務所とかっこ株式会社、志布志市役所が共同で2024年12月4日に情報漏洩対策ウェビナーを開催する。デジタル庁出向経験のある弁護士による情報セキュリティガイドラインの解説や、フィッシング対策、実例に基づく安全なふるさと納税運用の取り組みなど、自治体が直面する情報セキュリティの課題と対策について詳しく解説される予定だ。

LRM株式会社のセキュリオがASPICクラウドアワード2024で社会貢献賞を受賞、セキュリティ教育の普及に貢献

LRM株式会社のセキュリオがASPICクラウドアワード2024で社会貢献賞を受賞、セキュリティ...

LRM株式会社のセキュリティ教育クラウド「セキュリオ」が総務省後援の第18回ASPICクラウドアワード2024で社会貢献賞を受賞。専門家監修の学習コンテンツ、定期的なミニテスト、標的型攻撃メール訓練機能など、包括的なセキュリティ教育環境を提供。1,800社以上の導入実績と年間580社のコンサルティング支援実績を持ち、企業のセキュリティ体制強化に貢献している。

LRM株式会社のセキュリオがASPICクラウドアワード2024で社会貢献賞を受賞、セキュリティ...

LRM株式会社のセキュリティ教育クラウド「セキュリオ」が総務省後援の第18回ASPICクラウドアワード2024で社会貢献賞を受賞。専門家監修の学習コンテンツ、定期的なミニテスト、標的型攻撃メール訓練機能など、包括的なセキュリティ教育環境を提供。1,800社以上の導入実績と年間580社のコンサルティング支援実績を持ち、企業のセキュリティ体制強化に貢献している。

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウントが乗っ取られ個人情報流出の可能性

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...

JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...

JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。

【CVE-2024-11182】MDaemon Email Server 24.5.1c未満にXSS脆弱性、Webメールユーザーに影響

【CVE-2024-11182】MDaemon Email Server 24.5.1c未満に...

MDaemon Email Serverにおいて、バージョン24.5.1c未満に影響を及ぼすストアード型XSSの脆弱性が発見された。攻撃者がHTMLメール内のimgタグにJavaScriptを埋め込むことで、Webメールユーザーのブラウザ上で任意のコードが実行可能となる。CVSSスコアは4.0バージョンで5.3、3.1バージョンで6.1を記録しており、早急な対応が求められる。

【CVE-2024-11182】MDaemon Email Server 24.5.1c未満に...

MDaemon Email Serverにおいて、バージョン24.5.1c未満に影響を及ぼすストアード型XSSの脆弱性が発見された。攻撃者がHTMLメール内のimgタグにJavaScriptを埋め込むことで、Webメールユーザーのブラウザ上で任意のコードが実行可能となる。CVSSスコアは4.0バージョンで5.3、3.1バージョンで6.1を記録しており、早急な対応が求められる。

【CVE-2024-9682】Royal Elementor Addons 1.7.1001にXSS脆弱性、Contributorレベル以上で任意スクリプト実行が可能に

【CVE-2024-9682】Royal Elementor Addons 1.7.1001に...

WordPressプラグインRoyal Elementor Addons and Templates 1.7.1001以前にStored XSSの脆弱性が発見された。Form Builder Widgetにおける不適切な入力処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスしたユーザーのブラウザ上でスクリプトが実行される可能性がある。

【CVE-2024-9682】Royal Elementor Addons 1.7.1001に...

WordPressプラグインRoyal Elementor Addons and Templates 1.7.1001以前にStored XSSの脆弱性が発見された。Form Builder Widgetにおける不適切な入力処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスしたユーザーのブラウザ上でスクリプトが実行される可能性がある。

【CVE-2024-41678】GLPIに反映型XSSの脆弱性が発見、バージョン10.0.17へのアップグレードで対応可能に

【CVE-2024-41678】GLPIに反映型XSSの脆弱性が発見、バージョン10.0.17...

資産・IT管理ソフトウェアパッケージのGLPIにおいて、反映型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-41678として識別されるこの脆弱性は、認証されていないユーザーが技術者に悪意のあるリンクを送信可能で、CVSSスコアは6.5(中程度)と評価されている。影響を受けるバージョンは0.50から10.0.17未満で、早急なアップグレードが推奨される。

【CVE-2024-41678】GLPIに反映型XSSの脆弱性が発見、バージョン10.0.17...

資産・IT管理ソフトウェアパッケージのGLPIにおいて、反映型XSS(クロスサイトスクリプティング)の脆弱性が発見された。CVE-2024-41678として識別されるこの脆弱性は、認証されていないユーザーが技術者に悪意のあるリンクを送信可能で、CVSSスコアは6.5(中程度)と評価されている。影響を受けるバージョンは0.50から10.0.17未満で、早急なアップグレードが推奨される。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overviewページでの不正コード実行が可能に

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-51495】LibreNMSにXSS脆弱性が発見、Device Overv...

オープンソースのネットワーク監視システムLibreNMSにおいて、Device Overviewページのoverwrite_ipパラメータを介して任意のJavaScriptコードを注入できる重大な脆弱性が発見された。認証済みユーザーによる攻撃が可能で、他ユーザーのアカウントが危険にさらされる可能性がある。LibreNMS 24.10.0で修正が実施され、適切な入力検証とサニタイズ処理が実装された。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が発見、ExamplePluginのデバイスNotes機能に深刻な影響

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサイトスクリプティングの脆弱性、医療システムのセキュリティ対策が急務に

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリスクに対応するアップデートを実施

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正済み

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事投稿機能での悪意あるコード実行が可能に

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...

MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting(XSS)の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)で、CWE-79に分類される深刻な問題となっている。

【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...

MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting(XSS)の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)で、CWE-79に分類される深刻な問題となっている。

【CVE-2024-11247】SourceCodester Online Eyewear Shop 1.0にXSS脆弱性が発見、リモート攻撃のリスクが拡大

【CVE-2024-11247】SourceCodester Online Eyewear S...

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-11247】SourceCodester Online Eyewear S...

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサイトスクリプティングの脆弱性、早急な対策が必要な状況に

【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...

IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。

【CVE-2024-11240】IBPhoenix ibWebAdmin 1.0.2にクロスサ...

IBPhoenix社のibWebAdmin 1.0.2以前のバージョンにおいて、database.phpのBanco de Dados Tabコンポーネントにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3の中程度の脆弱性として評価されており、既に攻撃コードが公開されている状態だ。ベンダーへの報告後も対応がない状況が続いており、ユーザー側での対策が急務となっている。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5.2.1にXSS脆弱性、認証不要の攻撃が可能に

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、クロスサイトスクリプティング攻撃のリスクが判明

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...

WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...

WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

【CVE-2024-20525】Cisco Identity Services EngineにXSS脆弱性、未認証の遠隔攻撃者による攻撃のリスクが発生

【CVE-2024-20525】Cisco Identity Services Engineに...

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1(ミディアム)と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-20525】Cisco Identity Services Engineに...

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1(ミディアム)と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユーザーによる不正コード実行の可能性

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユ...

オープンソースのネットワーク監視システムLibreNMSにおいて、認証済みユーザーが悪用可能なXSS脆弱性が発見された。bill_nameパラメータを介して任意のJavaScriptコードを注入できる問題で、CVSSスコアは4.8(MEDIUM)と評価。攻撃の複雑さは低いものの特権レベルが高く必要で、ユーザーの操作も必要。バージョン24.10.0で修正済みのため、影響を受けるバージョンを使用している組織は速やかなアップデートが推奨される。

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユ...

オープンソースのネットワーク監視システムLibreNMSにおいて、認証済みユーザーが悪用可能なXSS脆弱性が発見された。bill_nameパラメータを介して任意のJavaScriptコードを注入できる問題で、CVSSスコアは4.8(MEDIUM)と評価。攻撃の複雑さは低いものの特権レベルが高く必要で、ユーザーの操作も必要。バージョン24.10.0で修正済みのため、影響を受けるバージョンを使用している組織は速やかなアップデートが推奨される。

【CVE-2024-9609】LearnPress Export Import 4.0.4にXSS脆弱性、未認証攻撃者によるスクリプト実行のリスクが判明

【CVE-2024-9609】LearnPress Export Import 4.0.4にX...

WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1(MEDIUM)と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。

【CVE-2024-9609】LearnPress Export Import 4.0.4にX...

WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1(MEDIUM)と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessページでの任意コード実行が可能に

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessペー...

LibreNMSのAPI-Accessページに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。認証済みユーザーがAPIトークン作成時にJavaScriptコードを注入可能で、他ユーザーのセッション乗っ取りやデータアクセスのリスクがある。CVSSスコア7.5のHigh評価で、LibreNMS 24.10.0で修正済み。早急なアップデートが推奨される。

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessペー...

LibreNMSのAPI-Accessページに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。認証済みユーザーがAPIトークン作成時にJavaScriptコードを注入可能で、他ユーザーのセッション乗っ取りやデータアクセスのリスクがある。CVSSスコア7.5のHigh評価で、LibreNMS 24.10.0で修正済み。早急なアップデートが推奨される。