Tech Insights

Windows 11 Build 27754が公開、Windows Helloの刷新とパスキー認証の強化でユーザー体験が向上

Windows 11 Build 27754が公開、Windows Helloの刷新とパスキー...

MicrosoftはWindows 11 Insider Preview Build 27754をCanary Channelで公開した。Windows Helloの視覚的デザインを刷新し、パスキー認証の操作性を向上。システムトレイの簡略化やタスクバープレビューの改善など、ユーザーインターフェースの使いやすさを重視した更新となっている。管理者保護機能との連携強化により、セキュリティ面でも進化を遂げた。

Windows 11 Build 27754が公開、Windows Helloの刷新とパスキー...

MicrosoftはWindows 11 Insider Preview Build 27754をCanary Channelで公開した。Windows Helloの視覚的デザインを刷新し、パスキー認証の操作性を向上。システムトレイの簡略化やタスクバープレビューの改善など、ユーザーインターフェースの使いやすさを重視した更新となっている。管理者保護機能との連携強化により、セキュリティ面でも進化を遂げた。

CyCraftがSEMI E187評価ツールを発売、半導体装置のセキュリティ規格への準拠評価が容易に

CyCraftがSEMI E187評価ツールを発売、半導体装置のセキュリティ規格への準拠評価が容易に

CyCraftは半導体装置のセキュリティ規格評価ツール「SEMI E187評価ツール」を発売した。TSMCを中心とする半導体業界団体SEMIが策定した規格への準拠を評価するツールで、USBスティックを差し込むだけで詳細な評価レポートを取得可能。日本語、英語、中国語に対応し、オフライン環境での利用やFIDO2ゼロトラスト認証もサポートしている。SEMICON Japan 2024でNTTアドバンステクノロジと共同展示予定。

CyCraftがSEMI E187評価ツールを発売、半導体装置のセキュリティ規格への準拠評価が容易に

CyCraftは半導体装置のセキュリティ規格評価ツール「SEMI E187評価ツール」を発売した。TSMCを中心とする半導体業界団体SEMIが策定した規格への準拠を評価するツールで、USBスティックを差し込むだけで詳細な評価レポートを取得可能。日本語、英語、中国語に対応し、オフライン環境での利用やFIDO2ゼロトラスト認証もサポートしている。SEMICON Japan 2024でNTTアドバンステクノロジと共同展示予定。

【CVE-2024-9059】Royal Elementor Addons 1.7.1001にXSS脆弱性、早急なアップデートが必要に

【CVE-2024-9059】Royal Elementor Addons 1.7.1001に...

WordPressプラグインのRoyal Elementor Addons and Templates 1.7.1001以前のバージョンにおいて、Google Mapsウィジェットに重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能な状態となっており、閲覧者の環境で不正なスクリプトが実行される危険性がある。CVSSスコアは6.4でミディアムレベルの深刻度となっている。

【CVE-2024-9059】Royal Elementor Addons 1.7.1001に...

WordPressプラグインのRoyal Elementor Addons and Templates 1.7.1001以前のバージョンにおいて、Google Mapsウィジェットに重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能な状態となっており、閲覧者の環境で不正なスクリプトが実行される危険性がある。CVSSスコアは6.4でミディアムレベルの深刻度となっている。

【CVE-2024-1240】pyload/pyload 0.5.0でオープンリダイレクトの脆弱性が発見、フィッシング攻撃のリスクに警戒

【CVE-2024-1240】pyload/pyload 0.5.0でオープンリダイレクトの脆...

セキュリティ企業Protect AIは、pyload/pyload 0.5.0においてオープンリダイレクトの脆弱性を発見した。ログイン機能のnextパラメータの不適切な処理により、悪意のあるサイトへのリダイレクトが可能となる脆弱性が確認された。CVSSスコアは4.6(MEDIUM)と評価され、フィッシング攻撃などの悪用が懸念される。修正版のpyload-ng 0.5.0b3.dev79がリリースされ、早急なアップデートが推奨される。

【CVE-2024-1240】pyload/pyload 0.5.0でオープンリダイレクトの脆...

セキュリティ企業Protect AIは、pyload/pyload 0.5.0においてオープンリダイレクトの脆弱性を発見した。ログイン機能のnextパラメータの不適切な処理により、悪意のあるサイトへのリダイレクトが可能となる脆弱性が確認された。CVSSスコアは4.6(MEDIUM)と評価され、フィッシング攻撃などの悪用が懸念される。修正版のpyload-ng 0.5.0b3.dev79がリリースされ、早急なアップデートが推奨される。

MicrosoftがWindows 365 Linkを発表、クラウドPCへの高速接続とセキュリティ強化を実現するシンクライアントデバイス

MicrosoftがWindows 365 Linkを発表、クラウドPCへの高速接続とセキュリ...

MicrosoftはMicrosoft Ignite 2024において、Windows 365専用のシンクライアントデバイス「Windows 365 Link」を発表した。デュアル4Kモニター対応やWi-Fi 6E、Bluetooth 5.3などの高度な接続性を備え、Microsoft Teamsなどのビデオコンファレンスにもローカル処理で対応。ローカルデータを持たないセキュアな設計とMicrosoft Intuneによる効率的な管理機能を実現している。2025年4月から349ドルで販売開始予定。

MicrosoftがWindows 365 Linkを発表、クラウドPCへの高速接続とセキュリ...

MicrosoftはMicrosoft Ignite 2024において、Windows 365専用のシンクライアントデバイス「Windows 365 Link」を発表した。デュアル4Kモニター対応やWi-Fi 6E、Bluetooth 5.3などの高度な接続性を備え、Microsoft Teamsなどのビデオコンファレンスにもローカル処理で対応。ローカルデータを持たないセキュアな設計とMicrosoft Intuneによる効率的な管理機能を実現している。2025年4月から349ドルで販売開始予定。

【CVE-2024-52354】Web Stories Widgets For Elementor 1.1にXSS脆弱性、中程度の深刻度でアップデートが必要に

【CVE-2024-52354】Web Stories Widgets For Element...

Cool PluginsのWordPress用プラグインWeb Stories Widgets For Elementorにおいて、格納型XSSの脆弱性が発見された。CVE-2024-52354として識別されるこの脆弱性は、バージョン1.1以前に影響し、CVSSスコア6.5の中程度の深刻度と評価されている。特権とユーザーの関与が必要だが攻撃の複雑さは低く、バージョン1.1.1へのアップデートで修正される。

【CVE-2024-52354】Web Stories Widgets For Element...

Cool PluginsのWordPress用プラグインWeb Stories Widgets For Elementorにおいて、格納型XSSの脆弱性が発見された。CVE-2024-52354として識別されるこの脆弱性は、バージョン1.1以前に影響し、CVSSスコア6.5の中程度の深刻度と評価されている。特権とユーザーの関与が必要だが攻撃の複雑さは低く、バージョン1.1.1へのアップデートで修正される。

【CVE-2024-52353】Christian Science Bible Lesson Subjects 2.0にXSS脆弱性、DOM操作時の入力処理に問題

【CVE-2024-52353】Christian Science Bible Lesson ...

WordPressプラグインChristian Science Bible Lesson Subjects 2.0以前のバージョンにDOM-Based XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、クライアントサイドでのDOM操作時に不適切な入力処理が行われる問題が指摘されている。バージョン2.1で修正済みだが、影響を受けるバージョンを使用しているユーザーは速やかなアップデートが推奨される。

【CVE-2024-52353】Christian Science Bible Lesson ...

WordPressプラグインChristian Science Bible Lesson Subjects 2.0以前のバージョンにDOM-Based XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、クライアントサイドでのDOM操作時に不適切な入力処理が行われる問題が指摘されている。バージョン2.1で修正済みだが、影響を受けるバージョンを使用しているユーザーは速やかなアップデートが推奨される。

【CVE-2024-51664】Beds24 Online Bookingプラグインのクロスサイトスクリプティング脆弱性が修正、バージョン2.0.26で対策完了

【CVE-2024-51664】Beds24 Online Bookingプラグインのクロスサ...

WordPressプラグインのBeds24 Online Booking 2.0.25以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51664として識別されるこの脆弱性は、CVSSスコア5.9の中程度の深刻度と評価されており、認証された攻撃者がWebページ生成時に不適切な入力を行うことで引き起こされる可能性がある。最新バージョン2.0.26で修正済み。

【CVE-2024-51664】Beds24 Online Bookingプラグインのクロスサ...

WordPressプラグインのBeds24 Online Booking 2.0.25以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51664として識別されるこの脆弱性は、CVSSスコア5.9の中程度の深刻度と評価されており、認証された攻撃者がWebページ生成時に不適切な入力を行うことで引き起こされる可能性がある。最新バージョン2.0.26で修正済み。

【CVE-2024-51599】WordPress用Simple Business Managerに深刻なXSS脆弱性、バージョン4.6.7.4まで影響

【CVE-2024-51599】WordPress用Simple Business Manag...

WordPressプラグインSimple Business Managerにおいて、Webページ生成時の入力値の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-51599として識別されるこの脆弱性は、バージョン4.6.7.4以前のすべてのバージョンに影響を及ぼす可能性があり、CVSSスコア6.5で中程度の深刻度と評価されている。

【CVE-2024-51599】WordPress用Simple Business Manag...

WordPressプラグインSimple Business Managerにおいて、Webページ生成時の入力値の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-51599として識別されるこの脆弱性は、バージョン4.6.7.4以前のすべてのバージョンに影響を及ぼす可能性があり、CVSSスコア6.5で中程度の深刻度と評価されている。

【CVE-2024-51598】WordPress Selar.Co Widgetにクロスサイトスクリプティングの脆弱性、バージョン1.2以前のユーザーに影響

【CVE-2024-51598】WordPress Selar.Co Widgetにクロスサイ...

Patchstack OÜが2024年11月9日、WordPress用プラグインSelar.Co Widgetにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。この脆弱性はバージョン1.2以前に影響を与え、CVSSスコア6.5のミディアムリスクと評価されている。DOMベースのXSSとして確認され、Patchstack Allianceのメンバーによって発見された重要な脆弱性情報である。

【CVE-2024-51598】WordPress Selar.Co Widgetにクロスサイ...

Patchstack OÜが2024年11月9日、WordPress用プラグインSelar.Co Widgetにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。この脆弱性はバージョン1.2以前に影響を与え、CVSSスコア6.5のミディアムリスクと評価されている。DOMベースのXSSとして確認され、Patchstack Allianceのメンバーによって発見された重要な脆弱性情報である。

【CVE-2024-51595】WordPress用SKSDEV Toolkitにストアド型XSS脆弱性、バージョン1.0.0以下のユーザーに影響

【CVE-2024-51595】WordPress用SKSDEV Toolkitにストアド型X...

WordPressプラグインのSKSDEV Toolkitにおいて、ストアド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51595として識別されるこの脆弱性は、CVSS3.1で6.5点と評価され、バージョン1.0.0以下のすべてのバージョンに影響を与える。攻撃には特権とユーザーの操作が必要だが、攻撃の複雑さは低く、早急な対策が推奨される。

【CVE-2024-51595】WordPress用SKSDEV Toolkitにストアド型X...

WordPressプラグインのSKSDEV Toolkitにおいて、ストアド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51595として識別されるこの脆弱性は、CVSS3.1で6.5点と評価され、バージョン1.0.0以下のすべてのバージョンに影響を与える。攻撃には特権とユーザーの操作が必要だが、攻撃の複雑さは低く、早急な対策が推奨される。

【CVE-2024-51590】Hoo Addons for Elementor 1.0.6にXSS脆弱性、WordPressサイトのセキュリティリスクに警戒

【CVE-2024-51590】Hoo Addons for Elementor 1.0.6に...

Patchstack OÜはWordPress用プラグインHoo Addons for Elementorのバージョン1.0.6以前に存在するクロスサイトスクリプティング(XSS)の脆弱性を公開した。CVSSスコア6.5のミディアムレベルの脆弱性で、Webページ生成時の入力の不適切な無害化に起因するDOM-Based XSSの問題が確認されている。攻撃者はネットワーク経由でアクセス可能で、低い特権レベルとユーザーの関与が必要とされている。

【CVE-2024-51590】Hoo Addons for Elementor 1.0.6に...

Patchstack OÜはWordPress用プラグインHoo Addons for Elementorのバージョン1.0.6以前に存在するクロスサイトスクリプティング(XSS)の脆弱性を公開した。CVSSスコア6.5のミディアムレベルの脆弱性で、Webページ生成時の入力の不適切な無害化に起因するDOM-Based XSSの問題が確認されている。攻撃者はネットワーク経由でアクセス可能で、低い特権レベルとユーザーの関与が必要とされている。

【CVE-2024-49040】Microsoft Exchange Serverにスプーフィング脆弱性が発見、深刻度7.5の警告発令へ

【CVE-2024-49040】Microsoft Exchange Serverにスプーフィ...

Microsoftは2024年11月12日、Exchange Serverにスプーフィング脆弱性【CVE-2024-49040】が存在することを公表した。Exchange Server 2019 Cumulative Update 13およびUpdate 14、Exchange Server 2016 Cumulative Update 23の各バージョンが影響を受け、CVSS v3.1で深刻度7.5と評価されている。認証なしでシステムに影響を与える可能性があり、早急な対応が求められる事態となっている。

【CVE-2024-49040】Microsoft Exchange Serverにスプーフィ...

Microsoftは2024年11月12日、Exchange Serverにスプーフィング脆弱性【CVE-2024-49040】が存在することを公表した。Exchange Server 2019 Cumulative Update 13およびUpdate 14、Exchange Server 2016 Cumulative Update 23の各バージョンが影響を受け、CVSS v3.1で深刻度7.5と評価されている。認証なしでシステムに影響を与える可能性があり、早急な対応が求められる事態となっている。

【CVE-2024-11102】Hospital Management System 1.0にクロスサイトスクリプティングの脆弱性、医療データのセキュリティリスクが深刻化

【CVE-2024-11102】Hospital Management System 1.0に...

SourceCodester Hospital Management System 1.0において、/vm/doctor/edit-doc.phpファイルに存在するクロスサイトスクリプティングの脆弱性が発見された。name引数の操作により遠隔からの攻撃が可能で、CVSSスコアは5.3(MEDIUM)と評価されている。すでに攻撃コードが公開されており、医療データのセキュリティリスクが深刻化している状況だ。

【CVE-2024-11102】Hospital Management System 1.0に...

SourceCodester Hospital Management System 1.0において、/vm/doctor/edit-doc.phpファイルに存在するクロスサイトスクリプティングの脆弱性が発見された。name引数の操作により遠隔からの攻撃が可能で、CVSSスコアは5.3(MEDIUM)と評価されている。すでに攻撃コードが公開されており、医療データのセキュリティリスクが深刻化している状況だ。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性、未認証の攻撃者による不正コード実行の危険性

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-10684】Kognetiks Chatbot For WordPress 2.1.7にXSS脆弱性、未認証での攻撃が可能に

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

GoogleがGoogle Drive Chat appを自動インストール化、ドキュメント共同作業の効率が大幅に向上

GoogleがGoogle Drive Chat appを自動インストール化、ドキュメント共同...

GoogleはGoogle Drive Chat appを自動インストールで提供開始し、Google Chatでのドキュメントコメントへの直接応答を可能にした。Docs、Sheets、Slidesでのコメント管理や共有設定の効率化に加え、外部ユーザーからの通知に対するセキュリティ機能も強化。2024年11月18日から2025年1月15日にかけて順次展開され、すべてのGoogle Workspaceユーザーが利用可能になる。

GoogleがGoogle Drive Chat appを自動インストール化、ドキュメント共同...

GoogleはGoogle Drive Chat appを自動インストールで提供開始し、Google Chatでのドキュメントコメントへの直接応答を可能にした。Docs、Sheets、Slidesでのコメント管理や共有設定の効率化に加え、外部ユーザーからの通知に対するセキュリティ機能も強化。2024年11月18日から2025年1月15日にかけて順次展開され、すべてのGoogle Workspaceユーザーが利用可能になる。

【CVE-2024-51584】Marquee Elementor with Posts 1.2.0にXSS脆弱性が発見、WordPressサイトのセキュリティリスクが増大

【CVE-2024-51584】Marquee Elementor with Posts 1....

Patchstack OÜは2024年11月10日、WordPress用プラグインMarquee Elementor with Postsにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。DOM-Based XSSとして分類され、Webページ生成時の入力値の不適切な処理が原因とされている。

【CVE-2024-51584】Marquee Elementor with Posts 1....

Patchstack OÜは2024年11月10日、WordPress用プラグインMarquee Elementor with Postsにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。DOM-Based XSSとして分類され、Webページ生成時の入力値の不適切な処理が原因とされている。

【CVE-2024-51591】WordPressプラグインSlicko 1.2.0にXSS脆弱性、DOM-Based型の攻撃に注意

【CVE-2024-51591】WordPressプラグインSlicko 1.2.0にXSS脆...

WordPressプラグインのSlickoにおいて、DOM-Based型のXSS脆弱性が発見された。CVE-2024-51591として識別されるこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。CVSSスコアは6.5でMedium評価とされており、攻撃には低権限とユーザーの関与が必要とされる。開発者による迅速な対応が求められている。

【CVE-2024-51591】WordPressプラグインSlicko 1.2.0にXSS脆...

WordPressプラグインのSlickoにおいて、DOM-Based型のXSS脆弱性が発見された。CVE-2024-51591として識別されるこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。CVSSスコアは6.5でMedium評価とされており、攻撃には低権限とユーザーの関与が必要とされる。開発者による迅速な対応が求められている。

【CVE-2024-51589】WordPressプラグインBigmart Elementsにクロスサイトスクリプティングの脆弱性が発見、早急な対応が必要に

【CVE-2024-51589】WordPressプラグインBigmart Elementsに...

WordPressプラグインBigmart Elementsのバージョン1.0.3以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51589として識別されるこの脆弱性は、CVSSスコア6.5を記録し、攻撃者による悪意のあるスクリプト実行の可能性がある。特権レベルとユーザーの関与が必要だが、早急なアップデートによる対応が推奨される。

【CVE-2024-51589】WordPressプラグインBigmart Elementsに...

WordPressプラグインBigmart Elementsのバージョン1.0.3以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51589として識別されるこの脆弱性は、CVSSスコア6.5を記録し、攻撃者による悪意のあるスクリプト実行の可能性がある。特権レベルとユーザーの関与が必要だが、早急なアップデートによる対応が推奨される。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証での攻撃が可能に

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-10538】Happy Addons For Elementor 3.12.5に深刻な脆弱性、認証済みユーザーによるXSS攻撃が可能に

【CVE-2024-10538】Happy Addons For Elementor 3.12...

WordPressプラグインHappy Addons For Elementorのバージョン3.12.5以前に、認証済みユーザーによるクロスサイトスクリプティング攻撃を可能にする脆弱性が発見された。Image Comparisonウィジェットのbefore_labelパラメータにおける入力検証の不備が原因で、悪意のあるスクリプトが実行可能となっている。CVSSスコアは6.4で、深刻度は中程度と評価されている。

【CVE-2024-10538】Happy Addons For Elementor 3.12...

WordPressプラグインHappy Addons For Elementorのバージョン3.12.5以前に、認証済みユーザーによるクロスサイトスクリプティング攻撃を可能にする脆弱性が発見された。Image Comparisonウィジェットのbefore_labelパラメータにおける入力検証の不備が原因で、悪意のあるスクリプトが実行可能となっている。CVSSスコアは6.4で、深刻度は中程度と評価されている。

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサイトスクリプティングの脆弱性が発見

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサ...

WordPressプラグインbpmn.Ioにストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51577として識別されたこの脆弱性は、バージョン1.0以下のすべてのバージョンに影響を及ぼす。CVSSスコアは6.5でミディアムレベルと評価されており、ネットワーク経由での攻撃が可能だが、特権とユーザーの関与が必要とされている。

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサ...

WordPressプラグインbpmn.Ioにストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51577として識別されたこの脆弱性は、バージョン1.0以下のすべてのバージョンに影響を及ぼす。CVSSスコアは6.5でミディアムレベルと評価されており、ネットワーク経由での攻撃が可能だが、特権とユーザーの関与が必要とされている。

【CVE-2024-47781】MirahezeのCreateWikiにXSS脆弱性、wiki要求キューでの情報漏洩に注意

【CVE-2024-47781】MirahezeのCreateWikiにXSS脆弱性、wiki...

MirahezeのCreateWikiにXSS脆弱性が発見され、Special:RequestWikiQueueページでwiki名の不適切なエスケープ処理により任意のHTMLコードが実行可能となる問題が明らかになった。CVSSスコア5.3の中程度の深刻度だが、wiki作成者のセッションを通じた機密情報へのアクセスリスクがあり、早急なパッチ適用が推奨される。

【CVE-2024-47781】MirahezeのCreateWikiにXSS脆弱性、wiki...

MirahezeのCreateWikiにXSS脆弱性が発見され、Special:RequestWikiQueueページでwiki名の不適切なエスケープ処理により任意のHTMLコードが実行可能となる問題が明らかになった。CVSSスコア5.3の中程度の深刻度だが、wiki作成者のセッションを通じた機密情報へのアクセスリスクがあり、早急なパッチ適用が推奨される。

【CVE-2024-49507】InDesign Desktop ID19.5以前に深刻な脆弱性、任意のコード実行の可能性が判明

【CVE-2024-49507】InDesign Desktop ID19.5以前に深刻な脆弱...

AdobeはInDesign Desktop ID19.5以前のバージョンにおいてHeap-based Buffer Overflowの脆弱性を公開した。CVSS v3.1で7.8(HIGH)と評価されており、悪意のあるファイルを開くことで任意のコード実行が可能となる。現在のユーザーコンテキストでの実行により、システムの機密性・完全性・可用性に重大な影響を及ぼす可能性があるため、早急な対応が求められる。

【CVE-2024-49507】InDesign Desktop ID19.5以前に深刻な脆弱...

AdobeはInDesign Desktop ID19.5以前のバージョンにおいてHeap-based Buffer Overflowの脆弱性を公開した。CVSS v3.1で7.8(HIGH)と評価されており、悪意のあるファイルを開くことで任意のコード実行が可能となる。現在のユーザーコンテキストでの実行により、システムの機密性・完全性・可用性に重大な影響を及ぼす可能性があるため、早急な対応が求められる。

【CVE-2024-9539】GitHub Enterprise Serverで情報漏洩の脆弱性、SVGファイルを利用した攻撃に注意

【CVE-2024-9539】GitHub Enterprise Serverで情報漏洩の脆弱...

GitHubはGitHub Enterprise Serverにおいて、攻撃者がアップロードしたアセットURLを介してユーザーのメタデータ情報を取得できる情報漏洩の脆弱性を公開した。この脆弱性はCVE-2024-9539として識別され、CVSSスコア5.7(MEDIUM)と評価された。バージョン3.14.2、3.13.5、3.12.10、3.11.16でパッチが提供され、修正が完了している。

【CVE-2024-9539】GitHub Enterprise Serverで情報漏洩の脆弱...

GitHubはGitHub Enterprise Serverにおいて、攻撃者がアップロードしたアセットURLを介してユーザーのメタデータ情報を取得できる情報漏洩の脆弱性を公開した。この脆弱性はCVE-2024-9539として識別され、CVSSスコア5.7(MEDIUM)と評価された。バージョン3.14.2、3.13.5、3.12.10、3.11.16でパッチが提供され、修正が完了している。

【CVE-2024-51603】WordPressプラグインNMR Strava activitiesにXSS脆弱性が発見、バージョン1.0.6以前に影響

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51594】WordPress用プラグインGmap Point List 1.1.2にXSS脆弱性、メディアムレベルの危険性が判明

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプティングの脆弱性が発見、遠隔からの攻撃が可能に

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証済み攻撃者によるJavaScriptコード実行の危険性

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。