Tech Insights

【CVE-2024-43093】AndroidのExternalStorageProviderに特権昇格の脆弱性、Android 12-15に影響

【CVE-2024-43093】AndroidのExternalStorageProvider...

GoogleはAndroidのExternalStorageProviderに重大な脆弱性【CVE-2024-43093】を発見し公開した。この脆弱性はUnicode正規化処理の不備によりファイルパスフィルターをバイパス可能で、特権昇格のリスクがある。Android 12から15までの広範なバージョンに影響し、CVSS評価は7.8(High)となっている。2024年11月のセキュリティパッチで修正が提供されており、早急な対応が推奨される。

【CVE-2024-43093】AndroidのExternalStorageProvider...

GoogleはAndroidのExternalStorageProviderに重大な脆弱性【CVE-2024-43093】を発見し公開した。この脆弱性はUnicode正規化処理の不備によりファイルパスフィルターをバイパス可能で、特権昇格のリスクがある。Android 12から15までの広範なバージョンに影響し、CVSS評価は7.8(High)となっている。2024年11月のセキュリティパッチで修正が提供されており、早急な対応が推奨される。

【CVE-2024-11143】Kognetiks Chatbot for WordPressに深刻な脆弱性、クロスサイトリクエストフォージェリの危険性が明らかに

【CVE-2024-11143】Kognetiks Chatbot for WordPress...

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.8以前に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11143】として識別され、Cross-Site Request Forgeryに分類される。攻撃者がサイト管理者を騙してリンクをクリックさせることで、認証済みユーザーの権限でアシスタントの設定を変更できる危険性が指摘されている。

【CVE-2024-11143】Kognetiks Chatbot for WordPress...

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.8以前に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11143】として識別され、Cross-Site Request Forgeryに分類される。攻撃者がサイト管理者を騙してリンクをクリックさせることで、認証済みユーザーの権限でアシスタントの設定を変更できる危険性が指摘されている。

【CVE-2024-11124】TimGeyssens UIOMatic 5にSQLインジェクションの脆弱性が発見、対応が急務に

【CVE-2024-11124】TimGeyssens UIOMatic 5にSQLインジェク...

TimGeyssens UIOMatic 5のuioMaticObject.rファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVE-2024-11124として公開されたこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.1のスコアを記録。既に公開されており実際の攻撃に利用される可能性があるため、早急な対応が必要とされている。GitHubのプルリクエスト227番で対応が進められている。

【CVE-2024-11124】TimGeyssens UIOMatic 5にSQLインジェク...

TimGeyssens UIOMatic 5のuioMaticObject.rファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVE-2024-11124として公開されたこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.1のスコアを記録。既に公開されており実際の攻撃に利用される可能性があるため、早急な対応が必要とされている。GitHubのプルリクエスト227番で対応が進められている。

【CVE-2024-11101】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性、管理者権限で実行可能な状態に

【CVE-2024-11101】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、search-invoices.phpファイルのsearchdataパラメータ処理に深刻な脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、SQLインジェクション攻撃を可能にし、リモートからの実行も可能な状態となっている。既に攻撃コードが公開されており、早急な対応が求められる事態となっている。

【CVE-2024-11101】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、search-invoices.phpファイルのsearchdataパラメータ処理に深刻な脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、SQLインジェクション攻撃を可能にし、リモートからの実行も可能な状態となっている。既に攻撃コードが公開されており、早急な対応が求められる事態となっている。

【CVE-2024-11100】Beauty Parlour Management System 1.0にSQLインジェクション脆弱性、遠隔からの攻撃が可能に

【CVE-2024-11100】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において重大なSQLインジェクション脆弱性が発見された。index.phpファイルのname引数を操作することで遠隔から攻撃が可能であり、CVSSスコアは最新のバージョン4.0で6.9(MEDIUM)、バージョン3.1および3.0で7.3(HIGH)と評価されている。この脆弱性は一般に公開されており、攻撃コードも入手可能な状態となっているため、早急な対応が必要だ。

【CVE-2024-11100】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において重大なSQLインジェクション脆弱性が発見された。index.phpファイルのname引数を操作することで遠隔から攻撃が可能であり、CVSSスコアは最新のバージョン4.0で6.9(MEDIUM)、バージョン3.1および3.0で7.3(HIGH)と評価されている。この脆弱性は一般に公開されており、攻撃コードも入手可能な状態となっているため、早急な対応が必要だ。

【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バイパスによるパスワード変更の危険性が浮上

【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バ...

D-Link DSL6740Cモデムにおいて、特権APIの不適切な使用による重大な脆弱性が発見された。認証されていないリモート攻撃者が任意のユーザーのパスワードを変更可能で、Web管理画面やSSH、Telnetサービスへのアクセスが可能となる。CVSS v3.1で9.8のクリティカルスコアを記録し、攻撃の自動化も可能であることから、早急な対策が求められている。

【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バ...

D-Link DSL6740Cモデムにおいて、特権APIの不適切な使用による重大な脆弱性が発見された。認証されていないリモート攻撃者が任意のユーザーのパスワードを変更可能で、Web管理画面やSSH、Telnetサービスへのアクセスが可能となる。CVSS v3.1で9.8のクリティカルスコアを記録し、攻撃の自動化も可能であることから、早急な対策が求められている。

【CVE-2024-11064】D-Link DSL6740Cモデムに深刻なOS Command Injection脆弱性、管理者権限で任意コマンド実行が可能に

【CVE-2024-11064】D-Link DSL6740Cモデムに深刻なOS Comman...

台湾のセキュリティ機関TWCERT/CCがD-Link DSL6740Cモデムの重大な脆弱性を報告した。CVSSスコア7.2(High)と評価される本脆弱性は、管理者権限を持つ攻撃者がSSHやTelnet経由で任意のシステムコマンドを実行可能。システムの機密性、整合性、可用性のすべてに高い影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2024-11064】D-Link DSL6740Cモデムに深刻なOS Comman...

台湾のセキュリティ機関TWCERT/CCがD-Link DSL6740Cモデムの重大な脆弱性を報告した。CVSSスコア7.2(High)と評価される本脆弱性は、管理者権限を持つ攻撃者がSSHやTelnet経由で任意のシステムコマンドを実行可能。システムの機密性、整合性、可用性のすべてに高い影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性、未認証の攻撃者による不正コード実行の危険性

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-10991】Codezips Hospital Appointment System 1.0にSQLインジェクションの脆弱性、患者データ漏洩のリスクが深刻化

【CVE-2024-10991】Codezips Hospital Appointment S...

VulDBは2024年11月8日、Codezips Hospital Appointment System 1.0のeditBranchResult.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVSS 3.1でHigh(7.3)と評価され、認証なしでリモートから攻撃可能で、患者の個人情報や診療記録などの機密データが漏洩するリスクがある。早急な対応が必要とされている。

【CVE-2024-10991】Codezips Hospital Appointment S...

VulDBは2024年11月8日、Codezips Hospital Appointment System 1.0のeditBranchResult.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVSS 3.1でHigh(7.3)と評価され、認証なしでリモートから攻撃可能で、患者の個人情報や診療記録などの機密データが漏洩するリスクがある。早急な対応が必要とされている。

【CVE-2024-10684】Kognetiks Chatbot For WordPress 2.1.7にXSS脆弱性、未認証での攻撃が可能に

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

【CVE-2024-10531】Kognetiks Chatbot for WordPressに認証機能の脆弱性、購読者レベルのユーザーによるアシスタント更新が可能に

【CVE-2024-10531】Kognetiks Chatbot for WordPress...

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-10531】Kognetiks Chatbot for WordPress...

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-10530】Kognetiks Chatbot for WordPressにGPTアシスタントの無断作成が可能な脆弱性が発見される

【CVE-2024-10530】Kognetiks Chatbot for WordPress...

Kognetiks Chatbot for WordPressのバージョン2.1.7以前に認証に関する重大な脆弱性が発見された。add_new_assistant()関数に機能チェックが欠如しており、購読者以上の権限を持つ認証済みユーザーが新しいGPTアシスタントを無断で作成できる状態となっている。CVE-2024-10530として識別されたこの脆弱性は、CVSSスコア4.3でMediumレベルの深刻度と評価されている。

【CVE-2024-10530】Kognetiks Chatbot for WordPress...

Kognetiks Chatbot for WordPressのバージョン2.1.7以前に認証に関する重大な脆弱性が発見された。add_new_assistant()関数に機能チェックが欠如しており、購読者以上の権限を持つ認証済みユーザーが新しいGPTアシスタントを無断で作成できる状態となっている。CVE-2024-10530として識別されたこの脆弱性は、CVSSスコア4.3でMediumレベルの深刻度と評価されている。

【CVE-2024-10529】Kognetiks Chatbot for WordPressに権限チェックの欠落、アシスタント削除機能に脆弱性が発覚

【CVE-2024-10529】Kognetiks Chatbot for WordPress...

Kognetiks Chatbot for WordPressのバージョン2.1.7以前において、delete_assistant()関数の権限チェック不備が発見され、CVE-2024-10529として報告された。この脆弱性により、認証済みユーザー(Subscriber以上)がアシスタントを不正に削除できる状態となっている。CVSSスコアは5.3(MEDIUM)で評価され、早急な対策が求められている。

【CVE-2024-10529】Kognetiks Chatbot for WordPress...

Kognetiks Chatbot for WordPressのバージョン2.1.7以前において、delete_assistant()関数の権限チェック不備が発見され、CVE-2024-10529として報告された。この脆弱性により、認証済みユーザー(Subscriber以上)がアシスタントを不正に削除できる状態となっている。CVSSスコアは5.3(MEDIUM)で評価され、早急な対策が求められている。

【CVE-2024-10381】Matrix Door Controller Cosec Vega FAXQに認証バイパスの脆弱性、デバイスの完全な制御権限取得のリスクが発覚

【CVE-2024-10381】Matrix Door Controller Cosec Ve...

Indian Computer Emergency Response Team(CERT-In)は、Matrix Door Controller Cosec Vega FAXQにおいて深刻な認証バイパスの脆弱性を報告した。Webベース管理インターフェースのセッション管理における実装の不備により、リモート攻撃者が特別に細工されたHTTPリクエストを送信することで認証を回避し、デバイスの完全な制御権限を取得できる可能性がある。CVSSスコアは9.3(Critical)と評価されており、早急な対応が必要だ。

【CVE-2024-10381】Matrix Door Controller Cosec Ve...

Indian Computer Emergency Response Team(CERT-In)は、Matrix Door Controller Cosec Vega FAXQにおいて深刻な認証バイパスの脆弱性を報告した。Webベース管理インターフェースのセッション管理における実装の不備により、リモート攻撃者が特別に細工されたHTTPリクエストを送信することで認証を回避し、デバイスの完全な制御権限を取得できる可能性がある。CVSSスコアは9.3(Critical)と評価されており、早急な対応が必要だ。

MicrosoftがVisual Studio 17.12でGitツール機能を強化、プルリクエストとGitHub Copilot連携で開発効率が向上

MicrosoftがVisual Studio 17.12でGitツール機能を強化、プルリクエ...

MicrosoftはVisual Studio 17.12において、GitツールのアップデートをリリースしGitHubとAzure DevOpsのプロジェクト管理機能を大幅に強化した。プルリクエストのドラフトとテンプレート機能、GitHub内部リポジトリのサポート、マルチリポジトリ対応、GitHub Copilotと連携したコミットメッセージ生成など、開発者の生産性を向上させる多くの機能が実装されている。

MicrosoftがVisual Studio 17.12でGitツール機能を強化、プルリクエ...

MicrosoftはVisual Studio 17.12において、GitツールのアップデートをリリースしGitHubとAzure DevOpsのプロジェクト管理機能を大幅に強化した。プルリクエストのドラフトとテンプレート機能、GitHub内部リポジトリのサポート、マルチリポジトリ対応、GitHub Copilotと連携したコミットメッセージ生成など、開発者の生産性を向上させる多くの機能が実装されている。

松屋フーズがAmazon事業と冷凍即日配送事業を展開、食品EC事業者の売上向上をサポート

松屋フーズがAmazon事業と冷凍即日配送事業を展開、食品EC事業者の売上向上をサポート

松屋フーズとGastroduceJapan株式会社が設立したモールハックが、Amazon食品EC専門コンサルティングと冷凍便倉庫・出荷代行サービス「松屋ECロケット便」を展開。月額固定費0円からのコンサルティングと、業界最安値級のクール便代675円からの配送サービスで、食品EC事業者の売上向上を支援する。

松屋フーズがAmazon事業と冷凍即日配送事業を展開、食品EC事業者の売上向上をサポート

松屋フーズとGastroduceJapan株式会社が設立したモールハックが、Amazon食品EC専門コンサルティングと冷凍便倉庫・出荷代行サービス「松屋ECロケット便」を展開。月額固定費0円からのコンサルティングと、業界最安値級のクール便代675円からの配送サービスで、食品EC事業者の売上向上を支援する。

【CVE-2024-47445】Adobe After Effects 24.6.2に深刻な脆弱性、メモリ情報漏洩のリスクが発覚

【CVE-2024-47445】Adobe After Effects 24.6.2に深刻な脆...

Adobe After Effectsのバージョン23.6.9、24.6.2以前において、Out-of-bounds read脆弱性が発見された。この脆弱性は悪意のあるファイルを開くことでトリガーされ、機密性の高いメモリ情報の漏洩やASLRバイパスのリスクがある。CVSSスコアは5.5(Medium)で、早急なアップデートが推奨される。

【CVE-2024-47445】Adobe After Effects 24.6.2に深刻な脆...

Adobe After Effectsのバージョン23.6.9、24.6.2以前において、Out-of-bounds read脆弱性が発見された。この脆弱性は悪意のあるファイルを開くことでトリガーされ、機密性の高いメモリ情報の漏洩やASLRバイパスのリスクがある。CVSSスコアは5.5(Medium)で、早急なアップデートが推奨される。

【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによる攻撃の可能性が示唆される

【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによ...

MirahezeのWikiDiscoverにおいて、Special:WikiDiscoverページでwiki情報を表示する際にXSS脆弱性が発見された。wiki名や説明文に対するエスケープ処理が実装されておらず、悪意のあるXSSペイロードが実行可能な状態であった。CVSS v3.1で深刻度7.6(High)と評価され、特権レベルは必要だが複雑な条件なしで攻撃が可能な状況にあった。コミット2ce846dd93による修正パッチの適用が推奨されている。

【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによ...

MirahezeのWikiDiscoverにおいて、Special:WikiDiscoverページでwiki情報を表示する際にXSS脆弱性が発見された。wiki名や説明文に対するエスケープ処理が実装されておらず、悪意のあるXSSペイロードが実行可能な状態であった。CVSS v3.1で深刻度7.6(High)と評価され、特権レベルは必要だが複雑な条件なしで攻撃が可能な状況にあった。コミット2ce846dd93による修正パッチの適用が推奨されている。

【CVE-2024-46613】WeeChat 4.4.2未満のバージョンで整数オーバーフローとバッファオーバーフローの脆弱性が発見、早急な対応が必要に

【CVE-2024-46613】WeeChat 4.4.2未満のバージョンで整数オーバーフロー...

2024年11月10日、WeeChat 4.4.2より前のバージョンにおいて深刻な整数オーバーフローとバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-46613】として識別され、リスト内のアイテム数が2つ十億を超えた際にcore/core-string.cファイル内の複数の関数で問題が発生することが確認されている。影響を受ける関数はstring_free_split_sharedなど4つが特定されている。

【CVE-2024-46613】WeeChat 4.4.2未満のバージョンで整数オーバーフロー...

2024年11月10日、WeeChat 4.4.2より前のバージョンにおいて深刻な整数オーバーフローとバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-46613】として識別され、リスト内のアイテム数が2つ十億を超えた際にcore/core-string.cファイル内の複数の関数で問題が発生することが確認されている。影響を受ける関数はstring_free_split_sharedなど4つが特定されている。

【CVE-2024-11077】code-projects Job Recruitment 1.0にSQLインジェクション脆弱性、個人情報漏洩のリスクが深刻化

【CVE-2024-11077】code-projects Job Recruitment 1...

VulDBは2024年11月11日、code-projects Job Recruitment 1.0のindex.phpファイルに存在するSQLインジェクション脆弱性を報告した。CVE-2024-11077として識別されるこの脆弱性は、emailパラメータを経由した攻撃が可能で、特権やユーザー操作を必要としない。CVSS 4.0スコアは6.9を記録し、既に攻撃コードが公開された状態にある。

【CVE-2024-11077】code-projects Job Recruitment 1...

VulDBは2024年11月11日、code-projects Job Recruitment 1.0のindex.phpファイルに存在するSQLインジェクション脆弱性を報告した。CVE-2024-11077として識別されるこの脆弱性は、emailパラメータを経由した攻撃が可能で、特権やユーザー操作を必要としない。CVSS 4.0スコアは6.9を記録し、既に攻撃コードが公開された状態にある。

【CVE-2024-50234】Linux iwlegacyドライバーに深刻な脆弱性、休止状態からの復帰時に問題発生

【CVE-2024-50234】Linux iwlegacyドライバーに深刻な脆弱性、休止状態...

Linuxカーネルのiwlegacyドライバーにおいて、休止状態からの復帰時に深刻な脆弱性が発見された。iwl4965デバイスの古い割り込みがクリアされないことで、デバイスの復帰処理と再起動処理が競合し、システムの安定性が損なわれる可能性がある。この問題はCVE-2024-50234として特定され、割り込み有効化前に古い割り込みをクリアする修正パッチが実装された。

【CVE-2024-50234】Linux iwlegacyドライバーに深刻な脆弱性、休止状態...

Linuxカーネルのiwlegacyドライバーにおいて、休止状態からの復帰時に深刻な脆弱性が発見された。iwl4965デバイスの古い割り込みがクリアされないことで、デバイスの復帰処理と再起動処理が競合し、システムの安定性が損なわれる可能性がある。この問題はCVE-2024-50234として特定され、割り込み有効化前に古い割り込みをクリアする修正パッチが実装された。

【CVE-2024-50249】Linux kernelのACPI CPPCモジュールにスピンロックの脆弱性、システムの安定性に影響

【CVE-2024-50249】Linux kernelのACPI CPPCモジュールにスピン...

Linuxカーネルの開発チームが、ACPI CPPCモジュールにおけるスピンロックの実装に関する重要な脆弱性を修正。通常のスピンロックとraw_spin_lockの混在による待機状態の衝突問題を解決し、システムの安定性と信頼性を向上。影響を受けるバージョンに対して迅速なパッチ適用を推奨している。

【CVE-2024-50249】Linux kernelのACPI CPPCモジュールにスピン...

Linuxカーネルの開発チームが、ACPI CPPCモジュールにおけるスピンロックの実装に関する重要な脆弱性を修正。通常のスピンロックとraw_spin_lockの混在による待機状態の衝突問題を解決し、システムの安定性と信頼性を向上。影響を受けるバージョンに対して迅速なパッチ適用を推奨している。

【CVE-2024-51584】Marquee Elementor with Posts 1.2.0にXSS脆弱性が発見、WordPressサイトのセキュリティリスクが増大

【CVE-2024-51584】Marquee Elementor with Posts 1....

Patchstack OÜは2024年11月10日、WordPress用プラグインMarquee Elementor with Postsにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。DOM-Based XSSとして分類され、Webページ生成時の入力値の不適切な処理が原因とされている。

【CVE-2024-51584】Marquee Elementor with Posts 1....

Patchstack OÜは2024年11月10日、WordPress用プラグインMarquee Elementor with Postsにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。DOM-Based XSSとして分類され、Webページ生成時の入力値の不適切な処理が原因とされている。

【CVE-2024-51489】Ampache 7.0.1未満のバージョンにCSRF脆弱性、メッセージ機能のトークン検証に不備

【CVE-2024-51489】Ampache 7.0.1未満のバージョンにCSRF脆弱性、メ...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、メッセージ送信時のCSRFトークン検証が不十分であることが判明した。この脆弱性により、攻撃者は悪意のあるリクエストを通じて管理者を含む任意のユーザーにメッセージを送信可能となる。深刻度はCVSS v4.0で5.3(中程度)と評価されており、開発チームは全てのユーザーにバージョン7.0.1への更新を推奨している。

【CVE-2024-51489】Ampache 7.0.1未満のバージョンにCSRF脆弱性、メ...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、メッセージ送信時のCSRFトークン検証が不十分であることが判明した。この脆弱性により、攻撃者は悪意のあるリクエストを通じて管理者を含む任意のユーザーにメッセージを送信可能となる。深刻度はCVSS v4.0で5.3(中程度)と評価されており、開発チームは全てのユーザーにバージョン7.0.1への更新を推奨している。

【CVE-2024-50854】Tenda G3のスタックオーバーフロー脆弱性が発見、formSetPortMapping機能に深刻な影響

【CVE-2024-50854】Tenda G3のスタックオーバーフロー脆弱性が発見、form...

Tenda G3 v3.0 v15.11.0.20において、formSetPortMapping機能にスタックオーバーフローの脆弱性が発見された。CVE-2024-50854として識別されたこの脆弱性は、自動化された攻撃が可能であり、技術的な影響が大きいとされている。CISA-ADPによる評価では、早急な対応が必要とされており、セキュリティパッチの適用が推奨されている。

【CVE-2024-50854】Tenda G3のスタックオーバーフロー脆弱性が発見、form...

Tenda G3 v3.0 v15.11.0.20において、formSetPortMapping機能にスタックオーバーフローの脆弱性が発見された。CVE-2024-50854として識別されたこの脆弱性は、自動化された攻撃が可能であり、技術的な影響が大きいとされている。CISA-ADPによる評価では、早急な対応が必要とされており、セキュリティパッチの適用が推奨されている。

【CVE-2024-49505】OpenSUSE MirrorCacheにXSS脆弱性、バージョン1.083で修正完了

【CVE-2024-49505】OpenSUSE MirrorCacheにXSS脆弱性、バージ...

OpenSUSE TumbleweedのMirrorCacheにおいて、REGEXとPパラメータを介して任意のJavaScriptコードが実行可能となるXSS脆弱性が発見された。CVSSスコア5.3のMedium評価で、バージョン1.083未満が影響を受ける。特別な権限なしで攻撃可能だが、エクスプロイトの自動化は困難とされている。最新バージョン1.083へのアップデートで対策可能だ。

【CVE-2024-49505】OpenSUSE MirrorCacheにXSS脆弱性、バージ...

OpenSUSE TumbleweedのMirrorCacheにおいて、REGEXとPパラメータを介して任意のJavaScriptコードが実行可能となるXSS脆弱性が発見された。CVSSスコア5.3のMedium評価で、バージョン1.083未満が影響を受ける。特別な権限なしで攻撃可能だが、エクスプロイトの自動化は困難とされている。最新バージョン1.083へのアップデートで対策可能だ。

【CVE-2024-51793】WordPress RepairBuddyプラグインにWebシェルアップロードの脆弱性、緊急対応が必要な状況に

【CVE-2024-51793】WordPress RepairBuddyプラグインにWebシ...

WordPress RepairBuddyプラグインのバージョン3.8115以前に存在する重大な脆弱性が発見された。CVSSスコア10.0を記録するこの脆弱性では、認証不要で危険なWebシェルをアップロード可能な状態となっている。Patchstack Allianceのstealthcopterによって発見されたこの問題は、システムの完全な制御権限を攻撃者に与える可能性があり、早急な対策が必要となっている。

【CVE-2024-51793】WordPress RepairBuddyプラグインにWebシ...

WordPress RepairBuddyプラグインのバージョン3.8115以前に存在する重大な脆弱性が発見された。CVSSスコア10.0を記録するこの脆弱性では、認証不要で危険なWebシェルをアップロード可能な状態となっている。Patchstack Allianceのstealthcopterによって発見されたこの問題は、システムの完全な制御権限を攻撃者に与える可能性があり、早急な対策が必要となっている。

【CVE-2024-51597】ThemeShark Templates & Widgets for Elementor 1.1.7にストアド型XSS脆弱性が発見、早急なアップデートが必要に

【CVE-2024-51597】ThemeShark Templates & Widgets ...

WordPressプラグイン「ThemeShark Templates & Widgets for Elementor」にストアド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51597として識別されるこの脆弱性は、バージョン1.1.7以前の全てのバージョンに影響を与え、CVSSスコア6.5のMedium評価となっている。攻撃者が特権アカウントを利用して悪意のあるスクリプトを埋め込む可能性があり、早急な対応が推奨される。

【CVE-2024-51597】ThemeShark Templates & Widgets ...

WordPressプラグイン「ThemeShark Templates & Widgets for Elementor」にストアド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51597として識別されるこの脆弱性は、バージョン1.1.7以前の全てのバージョンに影響を与え、CVSSスコア6.5のMedium評価となっている。攻撃者が特権アカウントを利用して悪意のあるスクリプトを埋め込む可能性があり、早急な対応が推奨される。

【CVE-2024-51591】WordPressプラグインSlicko 1.2.0にXSS脆弱性、DOM-Based型の攻撃に注意

【CVE-2024-51591】WordPressプラグインSlicko 1.2.0にXSS脆...

WordPressプラグインのSlickoにおいて、DOM-Based型のXSS脆弱性が発見された。CVE-2024-51591として識別されるこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。CVSSスコアは6.5でMedium評価とされており、攻撃には低権限とユーザーの関与が必要とされる。開発者による迅速な対応が求められている。

【CVE-2024-51591】WordPressプラグインSlicko 1.2.0にXSS脆...

WordPressプラグインのSlickoにおいて、DOM-Based型のXSS脆弱性が発見された。CVE-2024-51591として識別されるこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。CVSSスコアは6.5でMedium評価とされており、攻撃には低権限とユーザーの関与が必要とされる。開発者による迅速な対応が求められている。

【CVE-2024-51589】WordPressプラグインBigmart Elementsにクロスサイトスクリプティングの脆弱性が発見、早急な対応が必要に

【CVE-2024-51589】WordPressプラグインBigmart Elementsに...

WordPressプラグインBigmart Elementsのバージョン1.0.3以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51589として識別されるこの脆弱性は、CVSSスコア6.5を記録し、攻撃者による悪意のあるスクリプト実行の可能性がある。特権レベルとユーザーの関与が必要だが、早急なアップデートによる対応が推奨される。

【CVE-2024-51589】WordPressプラグインBigmart Elementsに...

WordPressプラグインBigmart Elementsのバージョン1.0.3以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51589として識別されるこの脆弱性は、CVSSスコア6.5を記録し、攻撃者による悪意のあるスクリプト実行の可能性がある。特権レベルとユーザーの関与が必要だが、早急なアップデートによる対応が推奨される。