Tech Insights

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7.14.6と8.7.1で対策実施

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...

オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...

オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。

【CVE-2024-50557】Siemens製品にiPerf機能の入力検証における重大な脆弱性が発見、未認証の攻撃者による任意コード実行のリスク

【CVE-2024-50557】Siemens製品にiPerf機能の入力検証における重大な脆弱...

Siemensは複数の産業用通信機器における重大な脆弱性を公開した。RUGGEDCOM RM1224やSCALANCEシリーズなどのバージョン8.2未満の製品で、iperf機能の設定フィールドにおける入力検証の不備が発見された。未認証のリモート攻撃者による任意のコード実行が可能となる危険性があり、CVSSスコアは3.1で7.2、4.0で8.6と高い深刻度を示している。

【CVE-2024-50557】Siemens製品にiPerf機能の入力検証における重大な脆弱...

Siemensは複数の産業用通信機器における重大な脆弱性を公開した。RUGGEDCOM RM1224やSCALANCEシリーズなどのバージョン8.2未満の製品で、iperf機能の設定フィールドにおける入力検証の不備が発見された。未認証のリモート攻撃者による任意のコード実行が可能となる危険性があり、CVSSスコアは3.1で7.2、4.0で8.6と高い深刻度を示している。

【CVE-2024-50460】WordPress用Firelight Lightboxプラグインにクロスサイトスクリプティングの脆弱性、バージョン2.3.4で修正完了

【CVE-2024-50460】WordPress用Firelight Lightboxプラグ...

FirelightWP社が開発するWordPress用プラグインFirelight Lightboxにおいて、バージョン2.3.3以前に影響を与えるクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-50460】として識別され、CVSSスコア5.9のミディアムレベルと評価されている。攻撃の前提条件として高い権限が必要とされるものの、技術的な複雑さは低く、影響範囲が制限されたスコープを超えて広がる可能性が指摘されている。

【CVE-2024-50460】WordPress用Firelight Lightboxプラグ...

FirelightWP社が開発するWordPress用プラグインFirelight Lightboxにおいて、バージョン2.3.3以前に影響を与えるクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-50460】として識別され、CVSSスコア5.9のミディアムレベルと評価されている。攻撃の前提条件として高い権限が必要とされるものの、技術的な複雑さは低く、影響範囲が制限されたスコープを超えて広がる可能性が指摘されている。

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、重大度HIGHで早急な対応が必要に

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...

SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...

SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。

【CVE-2024-43296】WordPress HTML5 Video Player 2.5.30に認証不備の脆弱性、アクセス制御の改善が急務に

【CVE-2024-43296】WordPress HTML5 Video Player 2....

bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度(4.3)の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。

【CVE-2024-43296】WordPress HTML5 Video Player 2....

bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度(4.3)の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する脆弱性、未認証でのアクセスが可能な状態に

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...

Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...

Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbnxt_reのセットアップ処理に問題発覚

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbn...

Linuxカーネルにおいて、RDMAドライバbnxt_reのセットアップ処理に関連するメモリリーク脆弱性が発見された。bnxt_re_setup_chip_ctx()関数内でbnxt_qplib_map_db_bar()が失敗した際にrdev->chip_ctxのメモリ解放が行われないという問題が確認されている。影響を受けるバージョンは6.5から6.6.59未満、6.11.6未満、6.12-rc4未満となっており、各バージョン向けのパッチが提供されている。

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbn...

Linuxカーネルにおいて、RDMAドライバbnxt_reのセットアップ処理に関連するメモリリーク脆弱性が発見された。bnxt_re_setup_chip_ctx()関数内でbnxt_qplib_map_db_bar()が失敗した際にrdev->chip_ctxのメモリ解放が行われないという問題が確認されている。影響を受けるバージョンは6.5から6.6.59未満、6.11.6未満、6.12-rc4未満となっており、各バージョン向けのパッチが提供されている。

【CVE-2024-43312】WPC Frequently Bought Together for WooCommerceに認可制御の脆弱性、バージョン7.2.0で修正完了

【CVE-2024-43312】WPC Frequently Bought Together ...

WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4(Medium)と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。

【CVE-2024-43312】WPC Frequently Bought Together ...

WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4(Medium)と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の欠如による脆弱性が発見、アクセス制御の不備に注意

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...

WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...

WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。

【CVE-2024-50104】Linux kernelのsdm845 soundcardで重大な脆弱性を発見、システムクラッシュのリスクに警鐘

【CVE-2024-50104】Linux kernelのsdm845 soundcardで重...

Linux kernelの開発チームは、sdm845 soundcardにおけるSoundwire runtime stream割り当ての重大な脆弱性を発見した。Qualcomm RB3ボードで特に影響が大きく、音声再生時にNULLポインターデリファレンスによるシステムクラッシュを引き起こす可能性がある。この問題は早急な対応が必要とされ、開発者らはパッチの適用を推奨している。

【CVE-2024-50104】Linux kernelのsdm845 soundcardで重...

Linux kernelの開発チームは、sdm845 soundcardにおけるSoundwire runtime stream割り当ての重大な脆弱性を発見した。Qualcomm RB3ボードで特に影響が大きく、音声再生時にNULLポインターデリファレンスによるシステムクラッシュを引き起こす可能性がある。この問題は早急な対応が必要とされ、開発者らはパッチの適用を推奨している。

【CVE-2024-47435】Adobe Substance3D - Painterにメモリ読み取りの脆弱性、ASLRバイパスのリスクに注意

【CVE-2024-47435】Adobe Substance3D - Painterにメモリ...

Adobe Substance3D - Painter 10.1.0以前のバージョンにメモリ読み取りの脆弱性が発見された。CVE-2024-47435として識別されるこの脆弱性は、攻撃者がASLRなどの保護機能を回避できる可能性がある。攻撃には悪意のあるファイルを開く必要があるものの、CVSS基本値5.5の中程度の深刻度と評価されており、早急な対応が求められている。

【CVE-2024-47435】Adobe Substance3D - Painterにメモリ...

Adobe Substance3D - Painter 10.1.0以前のバージョンにメモリ読み取りの脆弱性が発見された。CVE-2024-47435として識別されるこの脆弱性は、攻撃者がASLRなどの保護機能を回避できる可能性がある。攻撃には悪意のあるファイルを開く必要があるものの、CVSS基本値5.5の中程度の深刻度と評価されており、早急な対応が求められている。

【CVE-2024-47428】Adobe Substance3D - Painter 10.1.0以前に範囲外書き込みの脆弱性、任意コード実行のリスクで早急な対応が必要

【CVE-2024-47428】Adobe Substance3D - Painter 10....

Adobe Substance3D - Painter 10.1.0以前のバージョンに重大な脆弱性が発見された。CVE-2024-47428として識別されるこの脆弱性は、範囲外書き込み(CWE-787)に分類され、CVSSスコア7.8のHighレベルと評価されている。攻撃には悪意のあるファイルを開く必要があるが、成功した場合は現在のユーザー権限でコードが実行される可能性があり、早急な対応が求められている。

【CVE-2024-47428】Adobe Substance3D - Painter 10....

Adobe Substance3D - Painter 10.1.0以前のバージョンに重大な脆弱性が発見された。CVE-2024-47428として識別されるこの脆弱性は、範囲外書き込み(CWE-787)に分類され、CVSSスコア7.8のHighレベルと評価されている。攻撃には悪意のあるファイルを開く必要があるが、成功した場合は現在のユーザー権限でコードが実行される可能性があり、早急な対応が求められている。

【CVE-2024-43293】WordPressプラグインRecipe Card Blocks 3.3.1に認証の脆弱性、アクセス制御の設定不備で整合性に影響

【CVE-2024-43293】WordPressプラグインRecipe Card Block...

WPZOOMが開発するWordPressプラグインRecipe Card Blocks for Gutenberg & Elementorにおいて、3.3.1以前のバージョンで認証に関する脆弱性が発見された。この脆弱性はCVE-2024-43293として識別され、CVSSスコア4.3(MEDIUM)が付与されている。アクセス制御の設定不備により、権限のないユーザーによるリソースへのアクセスが可能となる可能性がある。

【CVE-2024-43293】WordPressプラグインRecipe Card Block...

WPZOOMが開発するWordPressプラグインRecipe Card Blocks for Gutenberg & Elementorにおいて、3.3.1以前のバージョンで認証に関する脆弱性が発見された。この脆弱性はCVE-2024-43293として識別され、CVSSスコア4.3(MEDIUM)が付与されている。アクセス制御の設定不備により、権限のないユーザーによるリソースへのアクセスが可能となる可能性がある。

【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性、家庭向けネットワークのセキュリティリスクに

【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算...

Cisco Talosの研究者によってLevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性が発見された。CVE-2024-28052として識別されるこの脆弱性は、CVSSスコア5.3のMEDIUMレベルで、特別な権限なしで攻撃が可能。影響を受けるバージョンはR0.40e6で、家庭や小規模オフィスのネットワークセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算...

Cisco Talosの研究者によってLevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性が発見された。CVE-2024-28052として識別されるこの脆弱性は、CVSSスコア5.3のMEDIUMレベルで、特別な権限なしで攻撃が可能。影響を受けるバージョンはR0.40e6で、家庭や小規模オフィスのネットワークセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-10996】1000 Projects Bookstore Management System 1.0にSQL injection脆弱性、早急な対応が必要に

【CVE-2024-10996】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のprocess_category_edit.phpファイルでSQL injection脆弱性が発見された。catパラメータの操作により攻撃が可能で、CVSS 4.0では6.9(MEDIUM)の評価。リモートから実行可能で特権不要、exploitも公開済みのため早急な対応が必要となっている。

【CVE-2024-10996】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のprocess_category_edit.phpファイルでSQL injection脆弱性が発見された。catパラメータの操作により攻撃が可能で、CVSS 4.0では6.9(MEDIUM)の評価。リモートから実行可能で特権不要、exploitも公開済みのため早急な対応が必要となっている。

【CVE-2024-48039】CubeWP All-in-One Dynamic Content Framework 1.1.15に認証の脆弱性、アクセス制御の不備で権限管理に問題

【CVE-2024-48039】CubeWP All-in-One Dynamic Conte...

WordPressプラグインのCubeWP All-in-One Dynamic Content Framework 1.1.15以前のバージョンにおいて、アクセス制御の設定が不適切な脆弱性が発見された。CVSSスコア4.3を記録し、攻撃の複雑さは低いと評価されている。特権レベルは必要だが利用者の関与は不要で、整合性への影響が懸念される。1.1.16以降のバージョンで修正済み。

【CVE-2024-48039】CubeWP All-in-One Dynamic Conte...

WordPressプラグインのCubeWP All-in-One Dynamic Content Framework 1.1.15以前のバージョンにおいて、アクセス制御の設定が不適切な脆弱性が発見された。CVSSスコア4.3を記録し、攻撃の複雑さは低いと評価されている。特権レベルは必要だが利用者の関与は不要で、整合性への影響が懸念される。1.1.16以降のバージョンで修正済み。

【CVE-2024-50458】WordPress用プラグインAdvanced Sermons 3.4にXSS脆弱性、バージョン3.5で修正完了

【CVE-2024-50458】WordPress用プラグインAdvanced Sermons...

WordPressプラグインAdvanced Sermonsのバージョン3.4以前にクロスサイトスクリプティング脆弱性が発見された。CVSS 3.1スコア6.5の中程度の深刻度で、攻撃には低い権限と利用者の操作が必要となる。SOPROBROによって発見されたこの脆弱性は、バージョン3.5で修正された。SSVCによる評価では、脆弱性の自動化可能性はなく、技術的影響は部分的とされている。

【CVE-2024-50458】WordPress用プラグインAdvanced Sermons...

WordPressプラグインAdvanced Sermonsのバージョン3.4以前にクロスサイトスクリプティング脆弱性が発見された。CVSS 3.1スコア6.5の中程度の深刻度で、攻撃には低い権限と利用者の操作が必要となる。SOPROBROによって発見されたこの脆弱性は、バージョン3.5で修正された。SSVCによる評価では、脆弱性の自動化可能性はなく、技術的影響は部分的とされている。

【CVE-2024-50243】Linuxカーネルのntfs3ファイルシステムに重大な脆弱性、一般保護違反の問題に対処完了

【CVE-2024-50243】Linuxカーネルのntfs3ファイルシステムに重大な脆弱性、...

Linuxカーネルの開発チームがntfs3ファイルシステムにおける重要な脆弱性の修正パッチを公開した。CVE-2024-50243として識別されるこの脆弱性は、ntfs_create_inode()関数における非常駐属性の削除処理に関連する一般保護違反の問題を引き起こす。影響を受けるバージョンは6.6.60以前、6.11.7以前、6.12-rc3以前で、修正パッチの適用によりファイルシステムの安定性と信頼性が向上する。

【CVE-2024-50243】Linuxカーネルのntfs3ファイルシステムに重大な脆弱性、...

Linuxカーネルの開発チームがntfs3ファイルシステムにおける重要な脆弱性の修正パッチを公開した。CVE-2024-50243として識別されるこの脆弱性は、ntfs_create_inode()関数における非常駐属性の削除処理に関連する一般保護違反の問題を引き起こす。影響を受けるバージョンは6.6.60以前、6.11.7以前、6.12-rc3以前で、修正パッチの適用によりファイルシステムの安定性と信頼性が向上する。

【CVE-2024-50224】Linuxカーネルspi-fsl-dspiモジュールの脆弱性修正、システム安定性が向上へ

【CVE-2024-50224】Linuxカーネルspi-fsl-dspiモジュールの脆弱性修...

Linuxカーネルのspi-fsl-dspiモジュールにおいて、GPIOチップセレクトを使用しない場合にシステムがクラッシュする脆弱性が修正された。【CVE-2024-50224】として識別されるこの問題は、NULLポインタ参照によるシステムクラッシュを引き起こす可能性があり、spi_get_csgpiod()の戻り値チェックを追加することで解決された。この修正により、SPIデバイス制御の安定性が向上し、システム全体のセキュリティが強化される。

【CVE-2024-50224】Linuxカーネルspi-fsl-dspiモジュールの脆弱性修...

Linuxカーネルのspi-fsl-dspiモジュールにおいて、GPIOチップセレクトを使用しない場合にシステムがクラッシュする脆弱性が修正された。【CVE-2024-50224】として識別されるこの問題は、NULLポインタ参照によるシステムクラッシュを引き起こす可能性があり、spi_get_csgpiod()の戻り値チェックを追加することで解決された。この修正により、SPIデバイス制御の安定性が向上し、システム全体のセキュリティが強化される。

【CVE-2024-50227】Linuxカーネルthunderboltにスタック領域外読み取りの脆弱性、KASANによる早期発見で対策へ

【CVE-2024-50227】Linuxカーネルthunderboltにスタック領域外読み取...

Linuxカーネルのthunderboltコンポーネントにおいて、tb_retimer_scan関数でスタック領域外読み取りの脆弱性が発見された。この問題はKASANによって検出され、ループ変数の制御不備によってスタック上の配列範囲外を読み取る可能性がある。影響を受けるバージョンはLinux 6.11から6.11.6までで、6.11.7以降のバージョンでは修正が適用されている。

【CVE-2024-50227】Linuxカーネルthunderboltにスタック領域外読み取...

Linuxカーネルのthunderboltコンポーネントにおいて、tb_retimer_scan関数でスタック領域外読み取りの脆弱性が発見された。この問題はKASANによって検出され、ループ変数の制御不備によってスタック上の配列範囲外を読み取る可能性がある。影響を受けるバージョンはLinux 6.11から6.11.6までで、6.11.7以降のバージョンでは修正が適用されている。

【CVE-2024-50223】Linuxカーネルのtask_numa_work関数でヌルポインタ参照の脆弱性が発見、システムの安定性に影響

【CVE-2024-50223】Linuxカーネルのtask_numa_work関数でヌルポイ...

Linuxカーネルにおいて、task_numa_work関数内でのヌルポインタ参照による重大な脆弱性が発見された。stress-ng-vm-segvテストによって特定されたこの問題は、システムクラッシュを引き起こす可能性があり、特にNUMAバランシング機能を使用するシステムに影響を及ぼす。Linux 6.6.60以降のバージョンで修正が実装され、システムの安定性が向上している。

【CVE-2024-50223】Linuxカーネルのtask_numa_work関数でヌルポイ...

Linuxカーネルにおいて、task_numa_work関数内でのヌルポインタ参照による重大な脆弱性が発見された。stress-ng-vm-segvテストによって特定されたこの問題は、システムクラッシュを引き起こす可能性があり、特にNUMAバランシング機能を使用するシステムに影響を及ぼす。Linux 6.6.60以降のバージョンで修正が実装され、システムの安定性が向上している。

【CVE-2024-49948】Linuxカーネルのqdisc_pkt_len_init関数に脆弱性、GSOパケット処理の安全性に懸念

【CVE-2024-49948】Linuxカーネルのqdisc_pkt_len_init関数に...

Linuxカーネルのネットワークスタックにおいて、qdisc_pkt_len_init関数のGSOパケット処理に関する重要な脆弱性が発見された。virtio_net_hdr_to_skb()関数によるTCPヘッダーの不完全な検証が原因で、特定条件下でバッファアンダーフローが発生する可能性がある。この問題は特にLinux 3.9以降のバージョンに影響を及ぼすため、早急なパッチ適用が推奨されている。

【CVE-2024-49948】Linuxカーネルのqdisc_pkt_len_init関数に...

Linuxカーネルのネットワークスタックにおいて、qdisc_pkt_len_init関数のGSOパケット処理に関する重要な脆弱性が発見された。virtio_net_hdr_to_skb()関数によるTCPヘッダーの不完全な検証が原因で、特定条件下でバッファアンダーフローが発生する可能性がある。この問題は特にLinux 3.9以降のバージョンに影響を及ぼすため、早急なパッチ適用が推奨されている。

【CVE-2024-10999】CodeAstro Real Estate Management System 1.0に深刻な脆弱性、リモートからの攻撃が可能に

【CVE-2024-10999】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page内のaboutadd.phpファイルに制限のないアップロードの脆弱性が発見された。CVSSスコアは4.0で5.1を記録し、リモートからの攻撃が可能であることから早急な対応が必要とされている。既に攻撃手法が公開されており、不動産管理システムという性質上、情報漏洩のリスクが高く注意が必要だ。

【CVE-2024-10999】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page内のaboutadd.phpファイルに制限のないアップロードの脆弱性が発見された。CVSSスコアは4.0で5.1を記録し、リモートからの攻撃が可能であることから早急な対応が必要とされている。既に攻撃手法が公開されており、不動産管理システムという性質上、情報漏洩のリスクが高く注意が必要だ。

【CVE-2024-10989】code-projects E-Health Care System 1.0でSQLインジェクションの脆弱性を発見、医療データの漏洩リスクに警鐘

【CVE-2024-10989】code-projects E-Health Care Sys...

code-projects E-Health Care System 1.0のAdmin/detail.phpファイルにおいて、s_idパラメータに対するSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-10989】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されており、医療データの漏洩リスクが指摘されている。

【CVE-2024-10989】code-projects E-Health Care Sys...

code-projects E-Health Care System 1.0のAdmin/detail.phpファイルにおいて、s_idパラメータに対するSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-10989】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されており、医療データの漏洩リスクが指摘されている。

【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、Author権限での攻撃に注意

【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、...

WordPressプラグインのEasy SVG Supportにおいて、バージョン3.7以前に深刻な脆弱性が発見された。CVSSスコア6.4のこの脆弱性は、REST APIを介したSVGファイルアップロードにおける不適切な入力サニタイズとアウトプットエスケープが原因で発生している。認証済みの攻撃者がAuthor以上の権限を持っている場合に悪用が可能となっている。

【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、...

WordPressプラグインのEasy SVG Supportにおいて、バージョン3.7以前に深刻な脆弱性が発見された。CVSSスコア6.4のこの脆弱性は、REST APIを介したSVGファイルアップロードにおける不適切な入力サニタイズとアウトプットエスケープが原因で発生している。認証済みの攻撃者がAuthor以上の権限を持っている場合に悪用が可能となっている。

【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの危険性に対処

【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの...

kernel.orgは、Linuxカーネル2.6.30から6.12-rc2に存在するSCTPの重要な脆弱性を修正した。この脆弱性は、sctp_listen_start関数内でautobindが失敗した際の状態遷移の問題に起因しており、特定条件下でシステムクラッシュを引き起こす可能性がある。Linux 4.19.323以降の各安定版で修正が提供され、セキュリティが強化された。

【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの...

kernel.orgは、Linuxカーネル2.6.30から6.12-rc2に存在するSCTPの重要な脆弱性を修正した。この脆弱性は、sctp_listen_start関数内でautobindが失敗した際の状態遷移の問題に起因しており、特定条件下でシステムクラッシュを引き起こす可能性がある。Linux 4.19.323以降の各安定版で修正が提供され、セキュリティが強化された。

【CVE-2024-50217】Linuxカーネルのbtrfsにuse-after-free脆弱性、メモリ管理の改善で対策を実施

【CVE-2024-50217】Linuxカーネルのbtrfsにuse-after-free脆...

Linuxカーネルのbtrfsファイルシステムにおいて、block deviceファイルのuse-after-free脆弱性が発見された。同一のfsidと異なるdev_uuidsを持つ2つのイメージを特定の順序でマウントすることで発生する問題で、btrfs_close_one_device関数内でdevice->bdev_fileをNULLに設定する修正が実装された。Linux 4.8以降から6.11.6までのバージョンが影響を受け、6.11.7以降で修正された。

【CVE-2024-50217】Linuxカーネルのbtrfsにuse-after-free脆...

Linuxカーネルのbtrfsファイルシステムにおいて、block deviceファイルのuse-after-free脆弱性が発見された。同一のfsidと異なるdev_uuidsを持つ2つのイメージを特定の順序でマウントすることで発生する問題で、btrfs_close_one_device関数内でdevice->bdev_fileをNULLに設定する修正が実装された。Linux 4.8以降から6.11.6までのバージョンが影響を受け、6.11.7以降で修正された。

【CVE-2024-50245】Linux kernelのntfs3ファイルシステムにデッドロック脆弱性、複数バージョンで修正パッチをリリース

【CVE-2024-50245】Linux kernelのntfs3ファイルシステムにデッドロ...

Linux kernel開発チームは、ntfs3ファイルシステムのmi_read関数におけるデッドロックの脆弱性を公開した。この問題はni_lock_dir()関数内で異なるサブクラスのミューテックスロックが使用されることにより発生し、システムの安定性に影響を与える可能性がある。影響を受けるバージョンは5.15系から6.12-rc3まで広範に及び、各バージョンに対する修正パッチが提供されている。

【CVE-2024-50245】Linux kernelのntfs3ファイルシステムにデッドロ...

Linux kernel開発チームは、ntfs3ファイルシステムのmi_read関数におけるデッドロックの脆弱性を公開した。この問題はni_lock_dir()関数内で異なるサブクラスのミューテックスロックが使用されることにより発生し、システムの安定性に影響を与える可能性がある。影響を受けるバージョンは5.15系から6.12-rc3まで広範に及び、各バージョンに対する修正パッチが提供されている。

MicrosoftがVisual Studio 2022 v17.13 Preview 1をリリース、AIと品質管理機能の強化で開発効率が向上

MicrosoftがVisual Studio 2022 v17.13 Preview 1をリ...

MicrosoftはVisual Studio 2022 v17.13 Preview 1を発表し、AIを活用したコード補完とリファクタリング支援機能を強化。診断機能とデバッグツールの改良により問題の特定と修正が効率化され、セキュリティ機能の拡充でコードとデータの保護も強化。開発者の生産性向上と高品質なソフトウェア開発の実現を目指す。

MicrosoftがVisual Studio 2022 v17.13 Preview 1をリ...

MicrosoftはVisual Studio 2022 v17.13 Preview 1を発表し、AIを活用したコード補完とリファクタリング支援機能を強化。診断機能とデバッグツールの改良により問題の特定と修正が効率化され、セキュリティ機能の拡充でコードとデータの保護も強化。開発者の生産性向上と高品質なソフトウェア開発の実現を目指す。

LegalscapeがTSUNAGU広島2024に出展、AIを活用したリーガルリサーチプラットフォームで法務DXを加速

LegalscapeがTSUNAGU広島2024に出展、AIを活用したリーガルリサーチプラット...

株式会社Legalscapeが2024年11月19日から20日に開催される「TSUNAGU広島 2024」への出展を発表。2021年からサービスを開始したリーガルリサーチプラットフォームは、2023年9月に日本初となる生成AIと自然言語処理技術を組み合わせたAIリサーチ機能を導入。3,200冊以上の書籍を含む35,000件超のコンテンツを提供し、企業法務部・法律事務所など20,000名以上が利用する業界最大級のサービスへと成長。

LegalscapeがTSUNAGU広島2024に出展、AIを活用したリーガルリサーチプラット...

株式会社Legalscapeが2024年11月19日から20日に開催される「TSUNAGU広島 2024」への出展を発表。2021年からサービスを開始したリーガルリサーチプラットフォームは、2023年9月に日本初となる生成AIと自然言語処理技術を組み合わせたAIリサーチ機能を導入。3,200冊以上の書籍を含む35,000件超のコンテンツを提供し、企業法務部・法律事務所など20,000名以上が利用する業界最大級のサービスへと成長。