Tech Insights
ファインディがFindy Team+をCloudGate UNOと連携、ゼロトラストセキュリテ...
ファインディ株式会社のFindy Team+がCloudGate UNOと連携を開始。生体認証を利用した多要素認証とシングルサインオン機能により、セキュリティを強化しながら開発者の利便性を向上。CloudGate UNO、GMOトラスト・ログイン、HENNGE One、Microsoft Entra ID、Oktaの5サービスとのシングルサインオン連携が可能となり、約450社の導入企業のセキュリティ対策を支援。
ファインディがFindy Team+をCloudGate UNOと連携、ゼロトラストセキュリテ...
ファインディ株式会社のFindy Team+がCloudGate UNOと連携を開始。生体認証を利用した多要素認証とシングルサインオン機能により、セキュリティを強化しながら開発者の利便性を向上。CloudGate UNO、GMOトラスト・ログイン、HENNGE One、Microsoft Entra ID、Oktaの5サービスとのシングルサインオン連携が可能となり、約450社の導入企業のセキュリティ対策を支援。
AndupがAIプロンプト作成・管理ツールPromptCraftを公開、約8,000の公式ワー...
AndupがAIプロンプトの作成と管理を効率化するツールPromptCraftを2024年11月8日に公開した。約8,000の公式ワードを内蔵し、複数ワークスペースでの管理やマイワード登録、画像生成AI用のプロンプト構築機能などを実装。重複ワードの自動排除や翻訳機能、画像メタデータからのプロンプト抽出など、多様な機能で効率的なプロンプト作成を実現している。
AndupがAIプロンプト作成・管理ツールPromptCraftを公開、約8,000の公式ワー...
AndupがAIプロンプトの作成と管理を効率化するツールPromptCraftを2024年11月8日に公開した。約8,000の公式ワードを内蔵し、複数ワークスペースでの管理やマイワード登録、画像生成AI用のプロンプト構築機能などを実装。重複ワードの自動排除や翻訳機能、画像メタデータからのプロンプト抽出など、多様な機能で効率的なプロンプト作成を実現している。
ベクストがVoC Lensを発表、LLMによる顧客の声分析が簡単に実現可能に
ベクスト株式会社がテキストマイニングツールVextMinerの新機能としてVoC Lens(β版)をリリース。LLMを活用した自動タイトル生成とラベリング機能により、応対履歴や音声認識結果などのテキストデータを効率的に分析。ランキング・トレンド・マップ表示で顧客の声を可視化し、企業のDX推進を支援する。マウス操作のみで分析可能な直感的なインターフェースを実現した。
ベクストがVoC Lensを発表、LLMによる顧客の声分析が簡単に実現可能に
ベクスト株式会社がテキストマイニングツールVextMinerの新機能としてVoC Lens(β版)をリリース。LLMを活用した自動タイトル生成とラベリング機能により、応対履歴や音声認識結果などのテキストデータを効率的に分析。ランキング・トレンド・マップ表示で顧客の声を可視化し、企業のDX推進を支援する。マウス操作のみで分析可能な直感的なインターフェースを実現した。
JAXAベンチャー天地人がアグリビジネス創出フェア2024に出展、衛星データを活用した農業技術...
株式会社天地人が2024年11月26日から東京ビッグサイトで開催されるアグリビジネス創出フェア2024に出展する。衛星データを活用した栽培適地の選定技術や農地環境の類似度分析の応用技術を展示し、宇宙ビッグデータ米や月面アスパラガスなどのプロジェクトで適用している技術を紹介する。マルチモーダルAIによる衛星データと地上データの統合的な解析技術も展示予定だ。
JAXAベンチャー天地人がアグリビジネス創出フェア2024に出展、衛星データを活用した農業技術...
株式会社天地人が2024年11月26日から東京ビッグサイトで開催されるアグリビジネス創出フェア2024に出展する。衛星データを活用した栽培適地の選定技術や農地環境の類似度分析の応用技術を展示し、宇宙ビッグデータ米や月面アスパラガスなどのプロジェクトで適用している技術を紹介する。マルチモーダルAIによる衛星データと地上データの統合的な解析技術も展示予定だ。
リガクがRigaku BioScience Labを米国ケンブリッジに開設、バイオ医薬品の構造...
リガク・ホールディングスが米国マサチューセッツ州ケンブリッジに新施設Rigaku BioScience Labを開設。EDT技術を搭載したMoleQlyzeにより、従来は困難だった結晶化できないバイオ医薬品の構造解析が可能に。世界最大のバイオクラスターでの研究開発拠点設立により、抗体医薬やドラッグデリバリーシステムの開発加速を目指す。
リガクがRigaku BioScience Labを米国ケンブリッジに開設、バイオ医薬品の構造...
リガク・ホールディングスが米国マサチューセッツ州ケンブリッジに新施設Rigaku BioScience Labを開設。EDT技術を搭載したMoleQlyzeにより、従来は困難だった結晶化できないバイオ医薬品の構造解析が可能に。世界最大のバイオクラスターでの研究開発拠点設立により、抗体医薬やドラッグデリバリーシステムの開発加速を目指す。
高専機構とビズリーチが副業先生プロジェクトを展開、64名の民間プロ人材がIT人材育成に貢献
独立行政法人国立高等専門学校機構と株式会社ビズリーチが連携し、民間企業のプロフェッショナル人材を教育現場に招く「副業先生」の取り組みを推進。全国12校でのべ1,840名の応募から64名を採用し、IT技術や半導体分野での実践的な教育を展開。Society 5.0型未来技術人財の育成を目指し、最先端教育の提供を積極的に推進している。
高専機構とビズリーチが副業先生プロジェクトを展開、64名の民間プロ人材がIT人材育成に貢献
独立行政法人国立高等専門学校機構と株式会社ビズリーチが連携し、民間企業のプロフェッショナル人材を教育現場に招く「副業先生」の取り組みを推進。全国12校でのべ1,840名の応募から64名を採用し、IT技術や半導体分野での実践的な教育を展開。Society 5.0型未来技術人財の育成を目指し、最先端教育の提供を積極的に推進している。
ウィルグループとギブリーが技術アセスメントを活用したエンジニア採用手法のウェビナーを開催、スキ...
ウィルグループの株式会社ウィルオブ・ワークと株式会社ギブリーが、エンジニア採用における技術力評価と採用CX改善をテーマとしたウェビナーを2024年11月27日に開催する。合同会社エンジニアリングマネージメントの久松剛氏を招き、技術アセスメントツールを活用したスキルアンマッチの防止策と、優秀なエンジニアに選ばれるための採用戦略について具体的な事例を交えながら解説する予定だ。
ウィルグループとギブリーが技術アセスメントを活用したエンジニア採用手法のウェビナーを開催、スキ...
ウィルグループの株式会社ウィルオブ・ワークと株式会社ギブリーが、エンジニア採用における技術力評価と採用CX改善をテーマとしたウェビナーを2024年11月27日に開催する。合同会社エンジニアリングマネージメントの久松剛氏を招き、技術アセスメントツールを活用したスキルアンマッチの防止策と、優秀なエンジニアに選ばれるための採用戦略について具体的な事例を交えながら解説する予定だ。
ナビタイムジャパンがカーナビタイムのタクシーモードを新設、抜け道ルートの強化と乗車禁止エリアの...
株式会社ナビタイムジャパンは、カーナビアプリ『カーナビタイム』にタクシードライバー向けの新機能「タクシーモード」を追加した。プロドライバーの走行データを分析した抜け道ルートの検索強化や、タクシー乗車禁止地区の表示、全国約3,000箇所のタクシー乗り場情報、通り名・坂・橋・トンネル名の地図表示、終電時刻の表示など、7つの新機能を搭載している。
ナビタイムジャパンがカーナビタイムのタクシーモードを新設、抜け道ルートの強化と乗車禁止エリアの...
株式会社ナビタイムジャパンは、カーナビアプリ『カーナビタイム』にタクシードライバー向けの新機能「タクシーモード」を追加した。プロドライバーの走行データを分析した抜け道ルートの検索強化や、タクシー乗車禁止地区の表示、全国約3,000箇所のタクシー乗り場情報、通り名・坂・橋・トンネル名の地図表示、終電時刻の表示など、7つの新機能を搭載している。
Prusa ResearchがCoreXY方式の新型3DプリンターCORE Oneを発表、アク...
Prusa Researchは完全密閉型のCoreXY方式を採用した新型3Dプリンター「Prusa CORE One」をFormnextで発表した。アクティブ温度制御機能と250×220×270 mmの広いビルドボリュームを備え、PLAやPETGだけでなくASA、ABS、PC、ナイロンなどの高機能素材にも対応。2025年1月から1199 USDで出荷を開始し、既存MK4Sユーザー向けには449 USDのコンバージョンキットも提供される。
Prusa ResearchがCoreXY方式の新型3DプリンターCORE Oneを発表、アク...
Prusa Researchは完全密閉型のCoreXY方式を採用した新型3Dプリンター「Prusa CORE One」をFormnextで発表した。アクティブ温度制御機能と250×220×270 mmの広いビルドボリュームを備え、PLAやPETGだけでなくASA、ABS、PC、ナイロンなどの高機能素材にも対応。2025年1月から1199 USDで出荷を開始し、既存MK4Sユーザー向けには449 USDのコンバージョンキットも提供される。
【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...
Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。
【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...
Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。
【CVE-2024-11214】SourceCodester Best Employee Ma...
SourceCodester Best Employee Management System 1.0のprofile.phpファイルに重大な脆弱性が発見された。【CVE-2024-11214】として識別されるこの脆弱性は、website_image引数を介した無制限アップロードを可能にし、リモートからの攻撃実行のリスクがある。CVSSスコアは最新のバージョン4.0で中程度の5.1を記録し、既に公開されて攻撃に利用される可能性が指摘されている。
【CVE-2024-11214】SourceCodester Best Employee Ma...
SourceCodester Best Employee Management System 1.0のprofile.phpファイルに重大な脆弱性が発見された。【CVE-2024-11214】として識別されるこの脆弱性は、website_image引数を介した無制限アップロードを可能にし、リモートからの攻撃実行のリスクがある。CVSSスコアは最新のバージョン4.0で中程度の5.1を記録し、既に公開されて攻撃に利用される可能性が指摘されている。
【CVE-2024-10877】AFI 1.92.0以前にXSS脆弱性、未認証攻撃者によるスク...
WordPressプラグインAFI – The Easiest Integration Plugin 1.92.0以前のバージョンにReflected Cross-Site Scriptingの脆弱性が発見された。add_query_argとremove_query_argのURL処理における不適切なエスケープが原因で、未認証の攻撃者が細工したURLを介して任意のスクリプトを実行可能。CVSSスコア6.1のMedium評価で、ユーザーの操作を必要とする攻撃手法となっている。
【CVE-2024-10877】AFI 1.92.0以前にXSS脆弱性、未認証攻撃者によるスク...
WordPressプラグインAFI – The Easiest Integration Plugin 1.92.0以前のバージョンにReflected Cross-Site Scriptingの脆弱性が発見された。add_query_argとremove_query_argのURL処理における不適切なエスケープが原因で、未認証の攻撃者が細工したURLを介して任意のスクリプトを実行可能。CVSSスコア6.1のMedium評価で、ユーザーの操作を必要とする攻撃手法となっている。
【CVE-2024-10571】WordPressのChartifyプラグインに重大な脆弱性、...
WordPressのChartifyプラグインにおいて、バージョン2.9.5以前に重大な脆弱性が発見された。CVE-2024-10571として特定されたこの脆弱性は、未認証の攻撃者がソースパラメータを介してローカルファイルインクルージョン攻撃を実行可能とするもので、CVSSスコア9.8と非常に高い危険度を示している。攻撃者はサーバー上の任意のファイルを実行でき、アクセス制御の回避や機密データの取得が可能となる。
【CVE-2024-10571】WordPressのChartifyプラグインに重大な脆弱性、...
WordPressのChartifyプラグインにおいて、バージョン2.9.5以前に重大な脆弱性が発見された。CVE-2024-10571として特定されたこの脆弱性は、未認証の攻撃者がソースパラメータを介してローカルファイルインクルージョン攻撃を実行可能とするもので、CVSSスコア9.8と非常に高い危険度を示している。攻撃者はサーバー上の任意のファイルを実行でき、アクセス制御の回避や機密データの取得が可能となる。
【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...
lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。
【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...
lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。
【CVE-2024-42385】Mongoose Web Server v7.14でPEM証明...
Nozomi Networks社がCesanta社のMongoose Web Server v7.14において、PEM証明書の区切り文字処理に関する脆弱性を発見した。CVE-2024-42385として識別されるこの脆弱性は、予期しない文字を含むPEM証明書によって境界外メモリ書き込みを引き起こす可能性がある。CVSSスコア4.0のMEDIUM評価であり、v7.14以前のバージョンが影響を受ける。
【CVE-2024-42385】Mongoose Web Server v7.14でPEM証明...
Nozomi Networks社がCesanta社のMongoose Web Server v7.14において、PEM証明書の区切り文字処理に関する脆弱性を発見した。CVE-2024-42385として識別されるこの脆弱性は、予期しない文字を含むPEM証明書によって境界外メモリ書き込みを引き起こす可能性がある。CVSSスコア4.0のMEDIUM評価であり、v7.14以前のバージョンが影響を受ける。
【CVE-2024-8979】Essential Addons for Elementor 6...
WordPressプラグイン「Essential Addons for Elementor」のバージョン6.0.9以前に深刻な脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーが管理者を含む任意のユーザーの認証情報を抽出可能とするもので、CVSSスコア8.0と高い危険度が報告されている。特権昇格につながる可能性があり、早急なアップデートが推奨される。
【CVE-2024-8979】Essential Addons for Elementor 6...
WordPressプラグイン「Essential Addons for Elementor」のバージョン6.0.9以前に深刻な脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーが管理者を含む任意のユーザーの認証情報を抽出可能とするもので、CVSSスコア8.0と高い危険度が報告されている。特権昇格につながる可能性があり、早急なアップデートが推奨される。
【CVE-2024-50207】Linuxカーネルのring-buffer脆弱性、リーダーロッ...
Linuxカーネルのring-bufferにおいて、サブバッファ順序変更時のリーダーロック実装に関する重大な脆弱性が発見された。この問題はring_buffer_subbuf_order_set()関数が排他的アクセスを適切に取得せずにデータを変更することで発生し、メモリアクセスの不整合やシステムクラッシュを引き起こす可能性がある。Linux 6.8以降のバージョンで影響を受け、パッチa569290525a0による修正が提供されている。
【CVE-2024-50207】Linuxカーネルのring-buffer脆弱性、リーダーロッ...
Linuxカーネルのring-bufferにおいて、サブバッファ順序変更時のリーダーロック実装に関する重大な脆弱性が発見された。この問題はring_buffer_subbuf_order_set()関数が排他的アクセスを適切に取得せずにデータを変更することで発生し、メモリアクセスの不整合やシステムクラッシュを引き起こす可能性がある。Linux 6.8以降のバージョンで影響を受け、パッチa569290525a0による修正が提供されている。
【CVE-2024-49049】Visual Studio Code Remote SSH E...
Microsoftは2024年11月12日、Visual Studio Code Remote SSH Extensionにおける権限昇格の脆弱性を公開した。CVSSスコア7.1を記録するこの脆弱性は、バージョン1.0.0から0.115.1未満に影響を与え、攻撃者による情報漏洩や改ざんのリスクをもたらす。不適切なアクセス制御により、低権限ユーザーが高い特権レベルの操作を実行できる可能性がある。
【CVE-2024-49049】Visual Studio Code Remote SSH E...
Microsoftは2024年11月12日、Visual Studio Code Remote SSH Extensionにおける権限昇格の脆弱性を公開した。CVSSスコア7.1を記録するこの脆弱性は、バージョン1.0.0から0.115.1未満に影響を与え、攻撃者による情報漏洩や改ざんのリスクをもたらす。不適切なアクセス制御により、低権限ユーザーが高い特権レベルの操作を実行できる可能性がある。
【CVE-2024-43598】MicrosoftがLightGBMの重大な脆弱性を発見、リモ...
MicrosoftがLightGBMにおいて重大な脆弱性CVE-2024-43598を発見した。この脆弱性はリモートコード実行が可能なヒープベースのバッファオーバーフローであり、CVSSスコア8.1と高く評価されている。影響を受けるバージョンは1.0.0から4.6.0未満で、ネットワークからのアクセスが可能な状態であり、特権不要で攻撃可能なため、早急な対応が求められている。
【CVE-2024-43598】MicrosoftがLightGBMの重大な脆弱性を発見、リモ...
MicrosoftがLightGBMにおいて重大な脆弱性CVE-2024-43598を発見した。この脆弱性はリモートコード実行が可能なヒープベースのバッファオーバーフローであり、CVSSスコア8.1と高く評価されている。影響を受けるバージョンは1.0.0から4.6.0未満で、ネットワークからのアクセスが可能な状態であり、特権不要で攻撃可能なため、早急な対応が求められている。
【CVE-2024-50147】LinuxカーネルのMANAGE_PAGESコマンドビットマス...
Linuxカーネルのnet/mlx5コンポーネントにおいて、MANAGE_PAGESコマンド用の専用ビットが初期化時に適切に設定されていない脆弱性が発見された。この問題により、mlx5_enable_hca()実行中にヘルスエラーが発生した場合、null-ptr-derefエラーを引き起こす可能性がある。Linux 6.1から6.11.6までの複数のバージョンに影響を与えるため、早急な対応が必要とされている。
【CVE-2024-50147】LinuxカーネルのMANAGE_PAGESコマンドビットマス...
Linuxカーネルのnet/mlx5コンポーネントにおいて、MANAGE_PAGESコマンド用の専用ビットが初期化時に適切に設定されていない脆弱性が発見された。この問題により、mlx5_enable_hca()実行中にヘルスエラーが発生した場合、null-ptr-derefエラーを引き起こす可能性がある。Linux 6.1から6.11.6までの複数のバージョンに影響を与えるため、早急な対応が必要とされている。
【CVE-2024-49048】Microsoft TorchGeoにリモートコード実行の脆弱...
Microsoftは機械学習ライブラリTorchGeoにおいて、深刻なリモートコード実行の脆弱性(CVE-2024-49048)を発見した。CVSS v3.1で8.1(High)と評価されるこの脆弱性は、バージョン1.0.0から0.6.1未満に影響を与え、攻撃者が認証なしでリモートからコードを実行できる可能性がある。早急なアップデートによる対応が必要となっている。
【CVE-2024-49048】Microsoft TorchGeoにリモートコード実行の脆弱...
Microsoftは機械学習ライブラリTorchGeoにおいて、深刻なリモートコード実行の脆弱性(CVE-2024-49048)を発見した。CVSS v3.1で8.1(High)と評価されるこの脆弱性は、バージョン1.0.0から0.6.1未満に影響を与え、攻撃者が認証なしでリモートからコードを実行できる可能性がある。早急なアップデートによる対応が必要となっている。
【CVE-2024-52305】UnoPim 0.1.5未満に深刻なStoredXSS脆弱性、...
オープンソースのPIMシステムUnoPimにおいて、管理者アカウント作成時のプロフィール画像アップロード機能に重大な脆弱性が発見された。悪意のあるスクリプトを含むSVGファイルをアップロードすることでセッションクッキーが窃取される可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。この問題はバージョン0.1.5で修正され、画像ファイルの検証プロセスが強化された。
【CVE-2024-52305】UnoPim 0.1.5未満に深刻なStoredXSS脆弱性、...
オープンソースのPIMシステムUnoPimにおいて、管理者アカウント作成時のプロフィール画像アップロード機能に重大な脆弱性が発見された。悪意のあるスクリプトを含むSVGファイルをアップロードすることでセッションクッキーが窃取される可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。この問題はバージョン0.1.5で修正され、画像ファイルの検証プロセスが強化された。
【CVE-2024-52291】CraftCMSに重大な脆弱性、ファイルシステム検証バイパスに...
CraftCMSにおいて、二重のfile://スキームを利用したローカルファイルシステムの検証バイパス脆弱性が発見された。管理者権限とallowAdminChangesが有効な状態で、ファイルの上書きや機密ファイルへのアクセス、さらにServer-Side Template Injectionを介したリモートコード実行の可能性も指摘されている。影響を受けるバージョンは5.0.0-RC1から5.4.6未満および4.0.0-RC1から4.12.5未満。
【CVE-2024-52291】CraftCMSに重大な脆弱性、ファイルシステム検証バイパスに...
CraftCMSにおいて、二重のfile://スキームを利用したローカルファイルシステムの検証バイパス脆弱性が発見された。管理者権限とallowAdminChangesが有効な状態で、ファイルの上書きや機密ファイルへのアクセス、さらにServer-Side Template Injectionを介したリモートコード実行の可能性も指摘されている。影響を受けるバージョンは5.0.0-RC1から5.4.6未満および4.0.0-RC1から4.12.5未満。
【CVE-2024-45610】GLPIのバージョン10.0.0-10.0.16に未認証XSS...
オープンソースのIT資産管理ソフトウェアGLPIにおいて、Cable.phpのフォームに反映型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、未認証の攻撃者が技術者に悪意のあるリンクを送信することで攻撃が可能となる。CVSSスコアは6.5(中)と評価されており、対策としてバージョン10.0.17へのアップデートが推奨される。
【CVE-2024-45610】GLPIのバージョン10.0.0-10.0.16に未認証XSS...
オープンソースのIT資産管理ソフトウェアGLPIにおいて、Cable.phpのフォームに反映型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、未認証の攻撃者が技術者に悪意のあるリンクを送信することで攻撃が可能となる。CVSSスコアは6.5(中)と評価されており、対策としてバージョン10.0.17へのアップデートが推奨される。
【CVE-2024-42389】Mongoose Web Server v7.14に深刻な脆弱...
Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外のポインタオフセット使用の脆弱性を発見。CVE-2024-42389として識別されたこの脆弱性は、攻撃者が特別に細工したTLSパケットを送信することでヒープメモリの意図しない読み取りを可能にする。CVSSスコア5.3のミディアムリスクと評価され、認証不要でネットワークを介した攻撃が可能なため、早急な対応が必要。
【CVE-2024-42389】Mongoose Web Server v7.14に深刻な脆弱...
Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外のポインタオフセット使用の脆弱性を発見。CVE-2024-42389として識別されたこの脆弱性は、攻撃者が特別に細工したTLSパケットを送信することでヒープメモリの意図しない読み取りを可能にする。CVSSスコア5.3のミディアムリスクと評価され、認証不要でネットワークを介した攻撃が可能なため、早急な対応が必要。
【CVE-2024-11210】EyouCMS 1.51にパストラバーサルの脆弱性、Filem...
VulDBが2024年11月14日にEyouCMS 1.51の重要な脆弱性情報を公開した。FilemanagerLogic.phpのeditFile機能にパストラバーサルの脆弱性が存在し、activepathパラメータの操作により攻撃が可能である。CVSSスコアは中程度だが、リモートからの攻撃が可能で、既に攻撃コードも公開されており早急な対応が必要とされている。
【CVE-2024-11210】EyouCMS 1.51にパストラバーサルの脆弱性、Filem...
VulDBが2024年11月14日にEyouCMS 1.51の重要な脆弱性情報を公開した。FilemanagerLogic.phpのeditFile機能にパストラバーサルの脆弱性が存在し、activepathパラメータの操作により攻撃が可能である。CVSSスコアは中程度だが、リモートからの攻撃が可能で、既に攻撃コードも公開されており早急な対応が必要とされている。
【CVE-2024-11028】MultiManager WP 1.0.5に認証バイパスの脆弱...
WordPressプラグインMultiManager WPのバージョン1.0.5以前に深刻な認証バイパスの脆弱性が発見された。ユーザー偽装機能の不適切な実装により、未認証の攻撃者が管理者権限を含む任意のユーザーとしてログイン可能な状態にあった。CVSSスコア9.8のCritical評価を受け、バージョン1.1.2で修正パッチがリリースされている。
【CVE-2024-11028】MultiManager WP 1.0.5に認証バイパスの脆弱...
WordPressプラグインMultiManager WPのバージョン1.0.5以前に深刻な認証バイパスの脆弱性が発見された。ユーザー偽装機能の不適切な実装により、未認証の攻撃者が管理者権限を含む任意のユーザーとしてログイン可能な状態にあった。CVSSスコア9.8のCritical評価を受け、バージョン1.1.2で修正パッチがリリースされている。
【CVE-2024-10828】Advanced Order Export For WooCo...
WordPressプラグインAdvanced Order Export For WooCommerce 3.5.5以前のバージョンに、未認証でPHP Object Injectionが可能な脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、攻撃者はサーバー上の任意のファイルを削除可能。特にwp-config.phpが削除された場合、リモートコード実行につながる危険性がある。「Try to convert serialized values」オプションが有効な環境が影響を受ける。
【CVE-2024-10828】Advanced Order Export For WooCo...
WordPressプラグインAdvanced Order Export For WooCommerce 3.5.5以前のバージョンに、未認証でPHP Object Injectionが可能な脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、攻撃者はサーバー上の任意のファイルを削除可能。特にwp-config.phpが削除された場合、リモートコード実行につながる危険性がある。「Try to convert serialized values」オプションが有効な環境が影響を受ける。
【CVE-2024-8978】Essential Addons for Elementorに情...
WordPressプラグインEssential Addons for Elementorのバージョン6.0.9以前に深刻な脆弱性が発見された。Contributor以上の権限を持つユーザーが、Login Register Formウィジェットを通じて登録したユーザーの認証情報を不正に取得可能となっている。CVSS評価は5.7でMEDIUM、早急なアップデートが推奨される。
【CVE-2024-8978】Essential Addons for Elementorに情...
WordPressプラグインEssential Addons for Elementorのバージョン6.0.9以前に深刻な脆弱性が発見された。Contributor以上の権限を持つユーザーが、Login Register Formウィジェットを通じて登録したユーザーの認証情報を不正に取得可能となっている。CVSS評価は5.7でMEDIUM、早急なアップデートが推奨される。
【CVE-2024-8961】Essential Addons for Elementor 6...
WordPressプラグインEssential Addons for Elementorの6.0.7以前のバージョンにクロスサイトスクリプティングの脆弱性が発見された。nomore_items_textパラメータの入力検証が不十分であり、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4でMEDIUMと評価されており、早急な対応が推奨される。
【CVE-2024-8961】Essential Addons for Elementor 6...
WordPressプラグインEssential Addons for Elementorの6.0.7以前のバージョンにクロスサイトスクリプティングの脆弱性が発見された。nomore_items_textパラメータの入力検証が不十分であり、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4でMEDIUMと評価されており、早急な対応が推奨される。