Tech Insights

【CVE-2024-50264】Linuxカーネルvsockのダングリングポインタ脆弱性、複数バージョンに影響し修正パッチを提供

【CVE-2024-50264】Linuxカーネルvsockのダングリングポインタ脆弱性、複数...

2024年11月19日、kernel.orgはLinuxカーネルのvsockモジュールにおけるダングリングポインタによるUse-After-Free脆弱性を修正した。この脆弱性はループバック通信時にvsk->transで発生する可能性があり、バージョン4.8以降のシステムに影響を及ぼしていた。修正はvsk->transをNULLで初期化することで対応し、4.19.324以降、5.4.286以降などの各バージョンで脆弱性が修正されている。

【CVE-2024-50264】Linuxカーネルvsockのダングリングポインタ脆弱性、複数...

2024年11月19日、kernel.orgはLinuxカーネルのvsockモジュールにおけるダングリングポインタによるUse-After-Free脆弱性を修正した。この脆弱性はループバック通信時にvsk->transで発生する可能性があり、バージョン4.8以降のシステムに影響を及ぼしていた。修正はvsk->transをNULLで初期化することで対応し、4.19.324以降、5.4.286以降などの各バージョンで脆弱性が修正されている。

【CVE-2024-50163】LinuxカーネルのBPFリダイレクトフラグ重複問題が修正、クラッシュのリスクを解消

【CVE-2024-50163】LinuxカーネルのBPFリダイレクトフラグ重複問題が修正、ク...

kernel.orgは2024年11月7日、LinuxカーネルのBPF機能において内部フラグとUAPIフラグの重複による脆弱性を公開した。SKBとXDPのリダイレクトパスで同一フラグ値が使用され、特定条件下でクラッシュする可能性があった問題が、スタック割り当てのbpf_redirect_infoとフラグの再定義によって修正された。また、BUILD_BUG_ON()チェックの導入により、今後の同様の問題発生を防止する対策も実施された。

【CVE-2024-50163】LinuxカーネルのBPFリダイレクトフラグ重複問題が修正、ク...

kernel.orgは2024年11月7日、LinuxカーネルのBPF機能において内部フラグとUAPIフラグの重複による脆弱性を公開した。SKBとXDPのリダイレクトパスで同一フラグ値が使用され、特定条件下でクラッシュする可能性があった問題が、スタック割り当てのbpf_redirect_infoとフラグの再定義によって修正された。また、BUILD_BUG_ON()チェックの導入により、今後の同様の問題発生を防止する対策も実施された。

【CVE-2024-50158】Linux kernelのRDMA/bnxt_reドライバに境界外チェックの脆弱性が発見、KASANによるトレース問題も

【CVE-2024-50158】Linux kernelのRDMA/bnxt_reドライバに境...

Linux kernelのRDMA/bnxt_reドライバに境界外チェックの脆弱性【CVE-2024-50158】が発見された。この問題はGenP5およびP7アダプターのペーシング統計に関連しており、KASANが有効な環境でトレースが発生する。影響を受けるバージョンはLinux 6.6.59未満および6.11.6未満で、開発チームは既に修正パッチを提供している。

【CVE-2024-50158】Linux kernelのRDMA/bnxt_reドライバに境...

Linux kernelのRDMA/bnxt_reドライバに境界外チェックの脆弱性【CVE-2024-50158】が発見された。この問題はGenP5およびP7アダプターのペーシング統計に関連しており、KASANが有効な環境でトレースが発生する。影響を受けるバージョンはLinux 6.6.59未満および6.11.6未満で、開発チームは既に修正パッチを提供している。

【CVE-2024-10965】emqx neuronのJSON Fileスキーマで情報漏洩の脆弱性が発見、パッチ適用による対応が必要に

【CVE-2024-10965】emqx neuronのJSON Fileスキーマで情報漏洩の...

emqx neuronのバージョン2.10.0までのシステムにおいて、JSON File Handlerコンポーネントの/api/v2/schemaファイルに関連する情報漏洩の脆弱性が確認された。CVSSスコアはMediumレベルとされ、リモートからの攻撃が可能な状態にある。CWE-200の情報漏洩とCWE-284の不適切なアクセス制御に分類されており、早急なパッチ適用による対応が推奨される。

【CVE-2024-10965】emqx neuronのJSON Fileスキーマで情報漏洩の...

emqx neuronのバージョン2.10.0までのシステムにおいて、JSON File Handlerコンポーネントの/api/v2/schemaファイルに関連する情報漏洩の脆弱性が確認された。CVSSスコアはMediumレベルとされ、リモートからの攻撃が可能な状態にある。CWE-200の情報漏洩とCWE-284の不適切なアクセス制御に分類されており、早急なパッチ適用による対応が推奨される。

RUNTEQが新サービス「Skill Metrix」でWebエンジニアのスキルを網羅的に測定、転職支援の強化へ

RUNTEQが新サービス「Skill Metrix」でWebエンジニアのスキルを網羅的に測定、...

超実践型プログラミングスクール「RUNTEQ」が新サービス「Skill Metrix」をまもなくリリース予定。アルゴリズム、データベース/SQL、基礎知識、周辺知識・ツール、Webアプリケーション開発の5つの項目で実務試験によるスキル測定を実施。9ヶ月間・合計1000時間のカリキュラムと組み合わせ、転職に必要なスキルの習得を支援する。

RUNTEQが新サービス「Skill Metrix」でWebエンジニアのスキルを網羅的に測定、...

超実践型プログラミングスクール「RUNTEQ」が新サービス「Skill Metrix」をまもなくリリース予定。アルゴリズム、データベース/SQL、基礎知識、周辺知識・ツール、Webアプリケーション開発の5つの項目で実務試験によるスキル測定を実施。9ヶ月間・合計1000時間のカリキュラムと組み合わせ、転職に必要なスキルの習得を支援する。

第一工芸社がSwishを導入し業務効率化を実現、商品選定と提案資料作成の効率が大幅に向上

第一工芸社がSwishを導入し業務効率化を実現、商品選定と提案資料作成の効率が大幅に向上

株式会社Swishは第一工芸社におけるSwish導入の効果をまとめた事例を公開。オフィス空間デザインを手掛ける第一工芸社では、顧客ニーズの多様化に対応するため現場社員の業務効率化を目指しSwishを導入。商品選定時間の短縮や提案品質の向上、若手メンバーの積極的な参画により、チーム全体の生産性が大幅に向上している。

第一工芸社がSwishを導入し業務効率化を実現、商品選定と提案資料作成の効率が大幅に向上

株式会社Swishは第一工芸社におけるSwish導入の効果をまとめた事例を公開。オフィス空間デザインを手掛ける第一工芸社では、顧客ニーズの多様化に対応するため現場社員の業務効率化を目指しSwishを導入。商品選定時間の短縮や提案品質の向上、若手メンバーの積極的な参画により、チーム全体の生産性が大幅に向上している。

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1.0にStored XSSの脆弱性が発見、Author以上の権限で任意のスクリプト実行が可能に

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1...

WordPressプラグインのEasy SVG Uploadにおいて、バージョン1.0以前の全バージョンでStored Cross-Site Scriptingの脆弱性が確認された。この脆弱性はCVE-2024-9708として識別され、CVSS v3.1で深刻度6.4(MEDIUM)と評価。Author以上の権限を持つ攻撃者がSVGファイルを介して悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行される可能性がある。

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1...

WordPressプラグインのEasy SVG Uploadにおいて、バージョン1.0以前の全バージョンでStored Cross-Site Scriptingの脆弱性が確認された。この脆弱性はCVE-2024-9708として識別され、CVSS v3.1で深刻度6.4(MEDIUM)と評価。Author以上の権限を持つ攻撃者がSVGファイルを介して悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行される可能性がある。

【CVE-2024-9776】ImagePress Image Gallery 1.2.2以前のバージョンにXSS脆弱性、管理者権限で悪用可能な状態に

【CVE-2024-9776】ImagePress Image Gallery 1.2.2以前...

WordPressプラグインImagePress Image Galleryのバージョン1.2.2以前に、管理者権限を持つユーザーが任意のスクリプトを実行可能なXSS脆弱性が発見された。この脆弱性はマルチサイトインストールとunfiltered_html無効環境で影響を受け、CVSSスコアは4.4でMediumと評価されている。Wordfenceの報告によると、入力値の無害化とエスケープ処理の不備が原因とされ、早急なアップデートが推奨される。

【CVE-2024-9776】ImagePress Image Gallery 1.2.2以前...

WordPressプラグインImagePress Image Galleryのバージョン1.2.2以前に、管理者権限を持つユーザーが任意のスクリプトを実行可能なXSS脆弱性が発見された。この脆弱性はマルチサイトインストールとunfiltered_html無効環境で影響を受け、CVSSスコアは4.4でMediumと評価されている。Wordfenceの報告によると、入力値の無害化とエスケープ処理の不備が原因とされ、早急なアップデートが推奨される。

【CVE-2024-9756】Order Attachments for WooCommerceに認証バイパスの脆弱性、Subscriber以上で任意のファイルアップロードが可能に

【CVE-2024-9756】Order Attachments for WooCommerc...

WordPressプラグインのOrder Attachments for WooCommerceにおいて、認証をバイパスできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-9756】として登録され、バージョン2.0から2.4.1に影響を与える。Subscriber以上の権限を持つユーザーが限定的な任意のファイルアップロードを実行できる可能性があり、早急な対応が求められている。

【CVE-2024-9756】Order Attachments for WooCommerc...

WordPressプラグインのOrder Attachments for WooCommerceにおいて、認証をバイパスできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-9756】として登録され、バージョン2.0から2.4.1に影響を与える。Subscriber以上の権限を持つユーザーが限定的な任意のファイルアップロードを実行できる可能性があり、早急な対応が求められている。

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以前にXSS脆弱性、Contributor権限で攻撃実行の可能性

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以...

WordPressプラグインSocial Sharing (By Danny)において、バージョン1.3.7以前に深刻な脆弱性が発見された。dvk_social_sharingショートコードでの入力検証とエスケープ処理の不備により、Contributor以上の権限を持つユーザーがCross-Site Scripting攻撃を実行可能。CVSS Score 6.4の中程度の脆弱性として評価され、早急な対応が推奨される。

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以...

WordPressプラグインSocial Sharing (By Danny)において、バージョン1.3.7以前に深刻な脆弱性が発見された。dvk_social_sharingショートコードでの入力検証とエスケープ処理の不備により、Contributor以上の権限を持つユーザーがCross-Site Scripting攻撃を実行可能。CVSS Score 6.4の中程度の脆弱性として評価され、早急な対応が推奨される。

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクが明らかに

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...

WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...

WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。

【CVE-2024-9707】WordPressプラグインHunk Companionに認証回避の脆弱性、未認証での任意プラグインインストールが可能に

【CVE-2024-9707】WordPressプラグインHunk Companionに認証回...

WordPressプラグインHunk Companionのバージョン1.8.4以前に重大な認証回避の脆弱性が発見された。この脆弱性はCVE-2024-9707として識別され、REST APIエンドポイントの認証チェック欠落により、未認証の攻撃者が任意のプラグインをインストール・有効化可能な状態となっている。CVSSスコアは9.8と深刻度が極めて高く、リモートコード実行の危険性も指摘されている。

【CVE-2024-9707】WordPressプラグインHunk Companionに認証回...

WordPressプラグインHunk Companionのバージョン1.8.4以前に重大な認証回避の脆弱性が発見された。この脆弱性はCVE-2024-9707として識別され、REST APIエンドポイントの認証チェック欠落により、未認証の攻撃者が任意のプラグインをインストール・有効化可能な状態となっている。CVSSスコアは9.8と深刻度が極めて高く、リモートコード実行の危険性も指摘されている。

弁護士ドットコムとサイボウズが戦略的パートナーシップを強化、クラウドサインとkintoneの連携サービスの販売拡充へ

弁護士ドットコムとサイボウズが戦略的パートナーシップを強化、クラウドサインとkintoneの連...

弁護士ドットコム株式会社は契約マネジメントプラットフォーム「クラウドサイン」において、サイボウズ株式会社の「kintone」との戦略的パートナーシップを強化。「kintoneソリューション推進チーム」を新設し、リコージャパンとの協業による販売体制を整備。送信取り消し機能やリマインド機能を実装し、より使いやすいサービスへと進化を遂げている。

弁護士ドットコムとサイボウズが戦略的パートナーシップを強化、クラウドサインとkintoneの連...

弁護士ドットコム株式会社は契約マネジメントプラットフォーム「クラウドサイン」において、サイボウズ株式会社の「kintone」との戦略的パートナーシップを強化。「kintoneソリューション推進チーム」を新設し、リコージャパンとの協業による販売体制を整備。送信取り消し機能やリマインド機能を実装し、より使いやすいサービスへと進化を遂げている。

【CVE-2024-11649】Beauty Parlour Management System 1.0にSQL injection脆弱性、顧客データ漏洩のリスクに警戒

【CVE-2024-11649】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、search-appointment.phpファイルに重大な脆弱性が発見された。CVE-2024-11649として識別されるこの脆弱性は、SQL injectionによる攻撃が可能で、CVSS 4.0で6.9のスコアを記録。リモートからの攻撃が可能で、特権や利用者の操作を必要としないため、早急な対策が求められている。

【CVE-2024-11649】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、search-appointment.phpファイルに重大な脆弱性が発見された。CVE-2024-11649として識別されるこの脆弱性は、SQL injectionによる攻撃が可能で、CVSS 4.0で6.9のスコアを記録。リモートからの攻撃が可能で、特権や利用者の操作を必要としないため、早急な対策が求められている。

【CVE-2024-11552】IrfanView 4.67.0.0にリモートコード実行の脆弱性、DXFファイル解析時のメモリ破損の危険性

【CVE-2024-11552】IrfanView 4.67.0.0にリモートコード実行の脆弱...

Zero Day InitiativeがIrfanViewのDXFファイル解析における重大な脆弱性を報告。CVE-2024-11552として特定されたこの脆弱性は、メモリ破損を引き起こし、リモートコード実行を可能にする。CVSSスコア7.8の高リスク脆弱性で、バージョン4.67.0.0が影響を受ける。ユーザー操作を必要とするものの、システムのセキュリティを著しく損なう可能性がある。

【CVE-2024-11552】IrfanView 4.67.0.0にリモートコード実行の脆弱...

Zero Day InitiativeがIrfanViewのDXFファイル解析における重大な脆弱性を報告。CVE-2024-11552として特定されたこの脆弱性は、メモリ破損を引き起こし、リモートコード実行を可能にする。CVSSスコア7.8の高リスク脆弱性で、バージョン4.67.0.0が影響を受ける。ユーザー操作を必要とするものの、システムのセキュリティを著しく損なう可能性がある。

【CVE-2024-11551】IrfanView 4.67.0.0にDXFファイル解析の脆弱性、リモートコード実行のリスクが判明

【CVE-2024-11551】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

画像処理ソフトウェアIrfanViewのバージョン4.67.0.0においてDXFファイル解析に関連する重大な脆弱性が発見された。CVE-2024-11551として識別されるこの脆弱性は、メモリ破損を引き起こし任意のコード実行を可能にする。CVSSスコアは7.8(High)であり、攻撃にはユーザーの操作が必要だが、適切な対策が求められる状況である。

【CVE-2024-11551】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

画像処理ソフトウェアIrfanViewのバージョン4.67.0.0においてDXFファイル解析に関連する重大な脆弱性が発見された。CVE-2024-11551として識別されるこの脆弱性は、メモリ破損を引き起こし任意のコード実行を可能にする。CVSSスコアは7.8(High)であり、攻撃にはユーザーの操作が必要だが、適切な対策が求められる状況である。

【CVE-2024-48986】MBed OS 6.16.0でバッファオーバーフローの脆弱性を発見、サービス拒否攻撃のリスクに警鐘

【CVE-2024-48986】MBed OS 6.16.0でバッファオーバーフローの脆弱性を...

MITRE CorporationがMBed OS 6.16.0に存在するバッファオーバーフローの脆弱性を報告した。HCIパケット処理におけるバッファ長の制御に問題があり、サービス拒否攻撃の可能性が指摘されている。バッファが動的に割り当てられる実装の特性上、影響は限定的である可能性が高いものの、IoTデバイスのセキュリティ設計における重要な課題として認識されている。

【CVE-2024-48986】MBed OS 6.16.0でバッファオーバーフローの脆弱性を...

MITRE CorporationがMBed OS 6.16.0に存在するバッファオーバーフローの脆弱性を報告した。HCIパケット処理におけるバッファ長の制御に問題があり、サービス拒否攻撃の可能性が指摘されている。バッファが動的に割り当てられる実装の特性上、影響は限定的である可能性が高いものの、IoTデバイスのセキュリティ設計における重要な課題として認識されている。

【CVE-2024-11486】Code4Berry Decoration Management System 1.0に権限の脆弱性、ベンダー対応なく公開状態が継続

【CVE-2024-11486】Code4Berry Decoration Managemen...

Code4Berry Decoration Management System 1.0のuser_permission.phpファイルにおいて深刻な権限の脆弱性が発見された。CVE-2024-11486として識別されたこの脆弱性は、リモートからの攻撃が可能でCVSSスコアは最大5.3を記録。ベンダーへの早期通知にも関わらず対応がなく、脆弱性が一般に公開された状態が続いている。システム管理者による迅速な対応が求められる状況だ。

【CVE-2024-11486】Code4Berry Decoration Managemen...

Code4Berry Decoration Management System 1.0のuser_permission.phpファイルにおいて深刻な権限の脆弱性が発見された。CVE-2024-11486として識別されたこの脆弱性は、リモートからの攻撃が可能でCVSSスコアは最大5.3を記録。ベンダーへの早期通知にも関わらず対応がなく、脆弱性が一般に公開された状態が続いている。システム管理者による迅速な対応が求められる状況だ。

【CVE-2024-11485】Code4Berry Decoration Management System 1.0に重大な権限の脆弱性、リモート攻撃のリスクが発生

【CVE-2024-11485】Code4Berry Decoration Managemen...

2024年11月20日、Code4Berry Decoration Management System 1.0において重大な脆弱性が発見された。/decoration/admin/userregister.phpファイルのUser Handler機能に関連する権限の問題で、リモートからの攻撃が可能とされている。CVSSスコアは5.3を記録し、CWE-275とCWE-266に分類される深刻な脆弱性となっている。

【CVE-2024-11485】Code4Berry Decoration Managemen...

2024年11月20日、Code4Berry Decoration Management System 1.0において重大な脆弱性が発見された。/decoration/admin/userregister.phpファイルのUser Handler機能に関連する権限の問題で、リモートからの攻撃が可能とされている。CVSSスコアは5.3を記録し、CWE-275とCWE-266に分類される深刻な脆弱性となっている。

【CVE-2024-53078】LinuxカーネルのtegraドライバにNULL vs IS_ERR()チェックの脆弱性、6.11.7で修正完了

【CVE-2024-53078】LinuxカーネルのtegraドライバにNULL vs IS_...

kernel.orgは2024年11月19日、LinuxカーネルのtegraドライバにおけるNULL vs IS_ERR()チェックの脆弱性(CVE-2024-53078)を公表した。この脆弱性はiommu_paging_domain_alloc()関数のエラー処理に関連し、Linux 6.11から6.11.6までのバージョンに影響を与える。修正パッチは既に提供され、6.11.7以降のバージョンでは対策が完了している。

【CVE-2024-53078】LinuxカーネルのtegraドライバにNULL vs IS_...

kernel.orgは2024年11月19日、LinuxカーネルのtegraドライバにおけるNULL vs IS_ERR()チェックの脆弱性(CVE-2024-53078)を公表した。この脆弱性はiommu_paging_domain_alloc()関数のエラー処理に関連し、Linux 6.11から6.11.6までのバージョンに影響を与える。修正パッチは既に提供され、6.11.7以降のバージョンでは対策が完了している。

【CVE-2024-53076】Linux kernelのiio_gts_build_avail_scale_tableにメモリリーク脆弱性が発見、複数バージョンに影響

【CVE-2024-53076】Linux kernelのiio_gts_build_avai...

Linux kernelのiio_gts_build_avail_scale_table関数においてメモリリークの脆弱性が発見された。この問題はper_time_scalesやper_time_gainsのkcalloc処理に起因しており、特にforループ内でのメモリ解放が適切に行われない状況が確認されている。影響を受けるバージョンはLinux 6.4から6.6.60までの範囲で、セキュリティアップデートによる対応が進められている。

【CVE-2024-53076】Linux kernelのiio_gts_build_avai...

Linux kernelのiio_gts_build_avail_scale_table関数においてメモリリークの脆弱性が発見された。この問題はper_time_scalesやper_time_gainsのkcalloc処理に起因しており、特にforループ内でのメモリ解放が適切に行われない状況が確認されている。影響を受けるバージョンはLinux 6.4から6.6.60までの範囲で、セキュリティアップデートによる対応が進められている。

【CVE-2024-50651】java_shop 1.0にアクセス制御の脆弱性、他ユーザーの情報が閲覧可能な深刻な問題に

【CVE-2024-50651】java_shop 1.0にアクセス制御の脆弱性、他ユーザーの...

MITRE Corporationは2024年11月15日、java_shop 1.0においてアクセス制御の不備による重大な脆弱性を公開した。IDパラメータの改変により他のユーザーの機密情報にアクセス可能となる問題が発見され、【CVE-2024-50651】として報告された。開発者向けに具体的な修正手順がGitHubで公開され、システム管理者による早急な対応が求められている。

【CVE-2024-50651】java_shop 1.0にアクセス制御の脆弱性、他ユーザーの...

MITRE Corporationは2024年11月15日、java_shop 1.0においてアクセス制御の不備による重大な脆弱性を公開した。IDパラメータの改変により他のユーザーの機密情報にアクセス可能となる問題が発見され、【CVE-2024-50651】として報告された。開発者向けに具体的な修正手順がGitHubで公開され、システム管理者による早急な対応が求められている。

【CVE-2024-11262】Student Record Management System 1.0に重大な脆弱性、スタックベースのバッファオーバーフローが発見される

【CVE-2024-11262】Student Record Management Syste...

SourceCodester社のStudent Record Management System 1.0にスタックベースのバッファオーバーフローの脆弱性が発見された。View All Student Marksコンポーネントのmain機能に影響を与えるこの脆弱性は、ローカルホストでの攻撃が可能であり、CVSSスコア4.0でMedium(中程度)の深刻度と評価されている。特権レベルは必要だがユーザー関与は不要で、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-11262】Student Record Management Syste...

SourceCodester社のStudent Record Management System 1.0にスタックベースのバッファオーバーフローの脆弱性が発見された。View All Student Marksコンポーネントのmain機能に影響を与えるこの脆弱性は、ローカルホストでの攻撃が可能であり、CVSSスコア4.0でMedium(中程度)の深刻度と評価されている。特権レベルは必要だがユーザー関与は不要で、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-28731】DLink DWR 2000M 5G CPEにCSRF脆弱性、ポートフォワーディング機能で情報漏洩の可能性が浮上

【CVE-2024-28731】DLink DWR 2000M 5G CPEにCSRF脆弱性、...

DLink DWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2024-28731として識別されるこの脆弱性は、CVSSスコア7.3のHigh深刻度に分類され、ポートフォワーディング機能を経由した機密情報の漏洩が懸念されている。

【CVE-2024-28731】DLink DWR 2000M 5G CPEにCSRF脆弱性、...

DLink DWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2024-28731として識別されるこの脆弱性は、CVSSスコア7.3のHigh深刻度に分類され、ポートフォワーディング機能を経由した機密情報の漏洩が懸念されている。

【CVE-2024-11096】code-projects Task Manager 1.0にSQL injection脆弱性が発見、攻撃コードが公開され早急な対応が必要に

【CVE-2024-11096】code-projects Task Manager 1.0に...

code-projects Task Manager 1.0の/newProject.phpファイルにSQL injection脆弱性が発見された。CVE-2024-11096として識別されたこの脆弱性は、projectName引数を操作することで悪用が可能であり、既に攻撃コードが公開されている。CVSSスコアはCVSS 4.0で5.3(MEDIUM)、CVSS 3.1とCVSS 3.0で6.3(MEDIUM)と評価されており、早急な対策が必要とされている。

【CVE-2024-11096】code-projects Task Manager 1.0に...

code-projects Task Manager 1.0の/newProject.phpファイルにSQL injection脆弱性が発見された。CVE-2024-11096として識別されたこの脆弱性は、projectName引数を操作することで悪用が可能であり、既に攻撃コードが公開されている。CVSSスコアはCVSS 4.0で5.3(MEDIUM)、CVSS 3.1とCVSS 3.0で6.3(MEDIUM)と評価されており、早急な対策が必要とされている。

【CVE-2024-50166】Linuxカーネルのfman関連デバイスに参照カウント処理の脆弱性、複数バージョンで修正パッチをリリース

【CVE-2024-50166】Linuxカーネルのfman関連デバイスに参照カウント処理の脆...

Linuxカーネルのfman関連デバイスにおいて参照カウント処理の脆弱性が発見され、2024年11月7日に修正パッチがリリースされた。mac_probe()関数内での参照カウント処理の不備により、システムリソースのリークが発生する可能性がある。Linux 4.5以降のバージョンが影響を受けるが、6.6.59以降の6.6系列、6.11.6以降の6.11系列、6.12以降のバージョンではすでに修正が適用されている。

【CVE-2024-50166】Linuxカーネルのfman関連デバイスに参照カウント処理の脆...

Linuxカーネルのfman関連デバイスにおいて参照カウント処理の脆弱性が発見され、2024年11月7日に修正パッチがリリースされた。mac_probe()関数内での参照カウント処理の不備により、システムリソースのリークが発生する可能性がある。Linux 4.5以降のバージョンが影響を受けるが、6.6.59以降の6.6系列、6.11.6以降の6.11系列、6.12以降のバージョンではすでに修正が適用されている。

【CVE-2024-50165】LinuxカーネルのBPFマウントオプション解析に脆弱性、メモリリーク問題の修正パッチを提供

【CVE-2024-50165】LinuxカーネルのBPFマウントオプション解析に脆弱性、メモ...

LinuxカーネルのBPFサブシステムにおいて、bpf_parse_param()関数のマウントオプション解析処理に起因するメモリリークの脆弱性が発見された。この問題はCVE-2024-50165として識別され、Linuxカーネルバージョン6.9から6.11.6までに影響を与えることが確認されている。修正パッチの適用により、param->stringの値が適切に保持されメモリリークが解消される。

【CVE-2024-50165】LinuxカーネルのBPFマウントオプション解析に脆弱性、メモ...

LinuxカーネルのBPFサブシステムにおいて、bpf_parse_param()関数のマウントオプション解析処理に起因するメモリリークの脆弱性が発見された。この問題はCVE-2024-50165として識別され、Linuxカーネルバージョン6.9から6.11.6までに影響を与えることが確認されている。修正パッチの適用により、param->stringの値が適切に保持されメモリリークが解消される。

【CVE-2024-9410】Ada.cxのSentry設定でSSRF脆弱性が発見、データスクレイピングエンドポイントを介した攻撃が可能に

【CVE-2024-9410】Ada.cxのSentry設定でSSRF脆弱性が発見、データスク...

Tenable Network SecurityはAda.cxのSentry設定において、データスクレイピングエンドポイントを介したブラインドサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見した。CVE-2024-9410として識別されたこの脆弱性は、2024年10月1日以前のバージョンに影響を与え、CVSS v3.1で5.3(中程度)と評価されている。特権レベルや利用者の関与が不要で、ネットワークを介した攻撃が可能な状態となっている。

【CVE-2024-9410】Ada.cxのSentry設定でSSRF脆弱性が発見、データスク...

Tenable Network SecurityはAda.cxのSentry設定において、データスクレイピングエンドポイントを介したブラインドサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見した。CVE-2024-9410として識別されたこの脆弱性は、2024年10月1日以前のバージョンに影響を与え、CVSS v3.1で5.3(中程度)と評価されている。特権レベルや利用者の関与が不要で、ネットワークを介した攻撃が可能な状態となっている。

MicrosoftがVSCode向けGitHub Copilot for Azureを発表、Azure開発の効率化とIDE内での完結を実現

MicrosoftがVSCode向けGitHub Copilot for Azureを発表、A...

MicrosoftはVSCodeの拡張機能として、GitHub Copilot for Azureのプレビュー版を2024年11月15日に公開した。この拡張機能により、開発者はIDEとAzureポータルを行き来することなくインフラストラクチャの管理やコマンドの確認が可能になる。@azureコマンドを使用したチャット形式での質問対応や、アプリケーションデプロイ時のリソースセットアップガイドなど、幅広い機能を提供している。

MicrosoftがVSCode向けGitHub Copilot for Azureを発表、A...

MicrosoftはVSCodeの拡張機能として、GitHub Copilot for Azureのプレビュー版を2024年11月15日に公開した。この拡張機能により、開発者はIDEとAzureポータルを行き来することなくインフラストラクチャの管理やコマンドの確認が可能になる。@azureコマンドを使用したチャット形式での質問対応や、アプリケーションデプロイ時のリソースセットアップガイドなど、幅広い機能を提供している。

【CVE-2024-9967】WordPress用プラグインWP show moreにXSS脆弱性、Contributor権限で悪用が可能に

【CVE-2024-9967】WordPress用プラグインWP show moreにXSS脆...

Wordfenceは2024年10月26日、WordPressプラグイン「WP show more」のバージョン1.0.7以前に存在するクロスサイトスクリプティング脆弱性を公開した。この脆弱性はContributorレベル以上のユーザーがshow_moreショートコードを介して任意のスクリプトを注入可能で、CVSS 3.1で深刻度「MEDIUM」、スコア6.4を記録している。プラグインの入力サニタイズと出力エスケープの不備が原因とされている。

【CVE-2024-9967】WordPress用プラグインWP show moreにXSS脆...

Wordfenceは2024年10月26日、WordPressプラグイン「WP show more」のバージョン1.0.7以前に存在するクロスサイトスクリプティング脆弱性を公開した。この脆弱性はContributorレベル以上のユーザーがshow_moreショートコードを介して任意のスクリプトを注入可能で、CVSS 3.1で深刻度「MEDIUM」、スコア6.4を記録している。プラグインの入力サニタイズと出力エスケープの不備が原因とされている。