Tech Insights
【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...
GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。
【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...
GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。
【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...
無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。
【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...
無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。
【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...
オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。
【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...
オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。
【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...
オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。
【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...
オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。
【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...
Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。
【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...
Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。
【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...
Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。
【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...
Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。
【CVE-2024-52419】WordPress Copy Anything to Clip...
WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。
【CVE-2024-52419】WordPress Copy Anything to Clip...
WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。
【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...
Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。
【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...
Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。
【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...
ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。
【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...
ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。
【CVE-2024-11258】Beauty Parlour Management Syste...
1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。
【CVE-2024-11258】Beauty Parlour Management Syste...
1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。
【CVE-2024-10793】WordPressプラグインWP Activity Log 5...
WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。
【CVE-2024-10793】WordPressプラグインWP Activity Log 5...
WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。
【CVE-2024-10582】Music Player For Elementor 2.4....
WordPressのプラグインMusic Player For Elementorにおいて、バージョン2.4.1以前に認証済みユーザーによる未認可のテンプレートインポートを可能にする脆弱性が発見された。import_mpfe_template()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがテンプレートをインポート可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、データの整合性に関する潜在的なリスクが存在する。
【CVE-2024-10582】Music Player For Elementor 2.4....
WordPressのプラグインMusic Player For Elementorにおいて、バージョン2.4.1以前に認証済みユーザーによる未認可のテンプレートインポートを可能にする脆弱性が発見された。import_mpfe_template()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがテンプレートをインポート可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、データの整合性に関する潜在的なリスクが存在する。
【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...
Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。
【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...
Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。
【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...
WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。
【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...
WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。
【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が...
TRCoreのDVCにおいて、ファイルの暗号化にハードコード化されたキーが使用されていることが判明した。CVE-2024-11308として識別されたこの脆弱性は、DVC 6.0から6.3に影響を与え、CVSSスコア6.2と評価された。攻撃者は特権なしでローカルアクセスを利用し、暗号化されたファイルを復号できる可能性があり、早急な対応が求められている。
【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が...
TRCoreのDVCにおいて、ファイルの暗号化にハードコード化されたキーが使用されていることが判明した。CVE-2024-11308として識別されたこの脆弱性は、DVC 6.0から6.3に影響を与え、CVSSスコア6.2と評価された。攻撃者は特権なしでローカルアクセスを利用し、暗号化されたファイルを復号できる可能性があり、早急な対応が求められている。
【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...
WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。
【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...
WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。
【CVE-2024-11256】Portfolio Management System MCA...
1000 Projects社のPortfolio Management System MCA 1.0において、login.phpファイルに重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3(HIGH)を記録し、リモートからの攻撃が可能な状態。特権やユーザーの介入も不要で、機密性・整合性・可用性のすべてに影響を及ぼす可能性があり、早急な対応が求められている。
【CVE-2024-11256】Portfolio Management System MCA...
1000 Projects社のPortfolio Management System MCA 1.0において、login.phpファイルに重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3(HIGH)を記録し、リモートからの攻撃が可能な状態。特権やユーザーの介入も不要で、機密性・整合性・可用性のすべてに影響を及ぼす可能性があり、早急な対応が求められている。
【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...
WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。
【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...
WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。
【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...
資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。
【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...
資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。
【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見...
WordPressプラグイン「WP Githuber MD」のバージョン1.16.3以前にStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、特権アカウントとユーザーの操作を必要とするものの攻撃の複雑さは低く、ユーザーの機密情報漏洩やセッション乗っ取りなどのリスクが指摘されている。早急なアップデートによる対策が推奨される。
【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見...
WordPressプラグイン「WP Githuber MD」のバージョン1.16.3以前にStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、特権アカウントとユーザーの操作を必要とするものの攻撃の複雑さは低く、ユーザーの機密情報漏洩やセッション乗っ取りなどのリスクが指摘されている。早急なアップデートによる対策が推奨される。
【CVE-2024-9609】LearnPress Export Import 4.0.4にX...
WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1(MEDIUM)と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。
【CVE-2024-9609】LearnPress Export Import 4.0.4にX...
WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1(MEDIUM)と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。
【CVE-2024-52714】Tenda AC6 v2.0のfromSetSysTime関数...
Tenda AC6 v2.0 v15.03.06.50において、fromSetSysTime関数にバッファオーバーフローの脆弱性が発見された。CVSSスコア8.1のHigh評価で、攻撃条件の複雑さは低く特権も不要なため、リモートからの攻撃が容易に実行可能な状態となっている。CWE-120に分類されるこの脆弱性は、機密性と完全性に重大な影響を及ぼす可能性があり、早急な対策が求められている。
【CVE-2024-52714】Tenda AC6 v2.0のfromSetSysTime関数...
Tenda AC6 v2.0 v15.03.06.50において、fromSetSysTime関数にバッファオーバーフローの脆弱性が発見された。CVSSスコア8.1のHigh評価で、攻撃条件の複雑さは低く特権も不要なため、リモートからの攻撃が容易に実行可能な状態となっている。CWE-120に分類されるこの脆弱性は、機密性と完全性に重大な影響を及ぼす可能性があり、早急な対策が求められている。
【CVE-2024-11241】code-projects Job Recruitment 1...
code-projects Job Recruitment 1.0のreset.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11241として識別されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1および3.0で7.3(HIGH)と評価されている。リモートからの攻撃が可能で、特権やユーザー操作も不要なため、早急な対応が求められる状況だ。
【CVE-2024-11241】code-projects Job Recruitment 1...
code-projects Job Recruitment 1.0のreset.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11241として識別されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1および3.0で7.3(HIGH)と評価されている。リモートからの攻撃が可能で、特権やユーザー操作も不要なため、早急な対応が求められる状況だ。
Windows 11 Build 27754が公開、Windows Helloの刷新とパスキー...
MicrosoftはWindows 11 Insider Preview Build 27754をCanary Channelで公開した。Windows Helloの視覚的デザインを刷新し、パスキー認証の操作性を向上。システムトレイの簡略化やタスクバープレビューの改善など、ユーザーインターフェースの使いやすさを重視した更新となっている。管理者保護機能との連携強化により、セキュリティ面でも進化を遂げた。
Windows 11 Build 27754が公開、Windows Helloの刷新とパスキー...
MicrosoftはWindows 11 Insider Preview Build 27754をCanary Channelで公開した。Windows Helloの視覚的デザインを刷新し、パスキー認証の操作性を向上。システムトレイの簡略化やタスクバープレビューの改善など、ユーザーインターフェースの使いやすさを重視した更新となっている。管理者保護機能との連携強化により、セキュリティ面でも進化を遂げた。
MicrosoftがLinux版Azure Cosmos DBエミュレータをプレビュー公開、A...
MicrosoftはApple siliconやMicrosoft ARMチップでネイティブに動作する新しいLinux版Azure Cosmos DBエミュレータをプレビューリリースした。Docker経由での簡単なデプロイメントが可能で、NoSQL APIをサポートしゲートウェイモードで動作する。仮想マシンが不要になり開発効率が大幅に向上、ただし一部機能には制限あり。今後のアップデートでさらなる機能追加を予定している。
MicrosoftがLinux版Azure Cosmos DBエミュレータをプレビュー公開、A...
MicrosoftはApple siliconやMicrosoft ARMチップでネイティブに動作する新しいLinux版Azure Cosmos DBエミュレータをプレビューリリースした。Docker経由での簡単なデプロイメントが可能で、NoSQL APIをサポートしゲートウェイモードで動作する。仮想マシンが不要になり開発効率が大幅に向上、ただし一部機能には制限あり。今後のアップデートでさらなる機能追加を予定している。
MicrosoftがMicrosoft 365 Copilotの機能強化を発表、繰り返し作業の...
MicrosoftはMicrosoft 365 Copilotの新機能としてCopilot Actionsを発表し、日常的な繰り返し作業の自動化を実現。TeamsではPowerPointやWebコンテンツの理解と質問応答、PowerPointでは40言語への翻訳、Outlookではスケジュール最適化など、幅広い機能強化を実施。Fortune 500企業の70%が導入し、具体的な業務効率化効果が報告されている。
MicrosoftがMicrosoft 365 Copilotの機能強化を発表、繰り返し作業の...
MicrosoftはMicrosoft 365 Copilotの新機能としてCopilot Actionsを発表し、日常的な繰り返し作業の自動化を実現。TeamsではPowerPointやWebコンテンツの理解と質問応答、PowerPointでは40言語への翻訳、Outlookではスケジュール最適化など、幅広い機能強化を実施。Fortune 500企業の70%が導入し、具体的な業務効率化効果が報告されている。
【CVE-2024-50211】Linuxカーネルのudf inode_bmap()エラー処理...
kernel.orgはLinuxカーネルにおけるudf inode_bmap()関数のエラー処理改善に関する脆弱性【CVE-2024-50211】を公開した。この更新により、特にftruncate操作時のエラー検出機能が強化され、早期のエラー検出と処理中断が可能になった。影響を受けるバージョンはLinux 1da177e4c3f4から特定のバージョンまでで、Linux 6.6.59以降で修正されている。
【CVE-2024-50211】Linuxカーネルのudf inode_bmap()エラー処理...
kernel.orgはLinuxカーネルにおけるudf inode_bmap()関数のエラー処理改善に関する脆弱性【CVE-2024-50211】を公開した。この更新により、特にftruncate操作時のエラー検出機能が強化され、早期のエラー検出と処理中断が可能になった。影響を受けるバージョンはLinux 1da177e4c3f4から特定のバージョンまでで、Linux 6.6.59以降で修正されている。
【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...
GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。
【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...
GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。
【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...
Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。
【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...
Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。
【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSR...
WordPressプラグインのAppointmind 4.0.0以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、攻撃者がネットワーク経由でStored XSSを実行可能。GentleSourceは対策版となるバージョン4.1.0をリリースしており、管理者は直ちにアップデートを実施することが推奨されている。
【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSR...
WordPressプラグインのAppointmind 4.0.0以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、攻撃者がネットワーク経由でStored XSSを実行可能。GentleSourceは対策版となるバージョン4.1.0をリリースしており、管理者は直ちにアップデートを実施することが推奨されている。