Tech Insights

ソフトクリエイトがSCSmart クラウド設定監査サービスを提供開始、月額7万5000円でクラウド環境のセキュリティを強化

ソフトクリエイトがSCSmart クラウド設定監査サービスを提供開始、月額7万5000円でクラ...

株式会社ソフトクリエイトが、パブリッククラウドのセキュリティ設定を定期的に調査し問題点の検出と改善アドバイスを実施する「SCSmart クラウド設定監査サービス」を提供開始した。SBテクノロジー株式会社が開発した「クラウドパトロール」とSOC環境およびナレッジを組み合わせ、設定ミスによるインシデントや意図しない公開設定などのリスクを検知する。月額7万5000円で利用可能。

ソフトクリエイトがSCSmart クラウド設定監査サービスを提供開始、月額7万5000円でクラ...

株式会社ソフトクリエイトが、パブリッククラウドのセキュリティ設定を定期的に調査し問題点の検出と改善アドバイスを実施する「SCSmart クラウド設定監査サービス」を提供開始した。SBテクノロジー株式会社が開発した「クラウドパトロール」とSOC環境およびナレッジを組み合わせ、設定ミスによるインシデントや意図しない公開設定などのリスクを検知する。月額7万5000円で利用可能。

【CVE-2024-47454】Adobe Illustrator 28.7.1に脆弱性、機密メモリ情報漏洩のリスクが判明

【CVE-2024-47454】Adobe Illustrator 28.7.1に脆弱性、機密...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンにOut-of-bounds読み取りの脆弱性が存在することを公開した。この脆弱性により、攻撃者が機密メモリ情報を取得してASLRなどの保護機能を回避できる可能性がある。CVSSスコアは5.5で中程度と評価されており、攻撃には悪意のあるファイルを開く必要がある。

【CVE-2024-47454】Adobe Illustrator 28.7.1に脆弱性、機密...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンにOut-of-bounds読み取りの脆弱性が存在することを公開した。この脆弱性により、攻撃者が機密メモリ情報を取得してASLRなどの保護機能を回避できる可能性がある。CVSSスコアは5.5で中程度と評価されており、攻撃には悪意のあるファイルを開く必要がある。

【CVE-2024-47457】Adobe Illustrator 28.7.1以前にNULLポインタ参照の脆弱性、アプリケーションのクラッシュリスクに注意

【CVE-2024-47457】Adobe Illustrator 28.7.1以前にNULL...

Adobe Illustratorのバージョン28.7.1以前にNULLポインタ参照の脆弱性が発見された。CVE-2024-47457として識別されるこの脆弱性は、悪意のあるファイルを開くことでアプリケーションがクラッシュしDoS状態に陥る可能性がある。CVSSスコアは5.5で中程度の深刻度とされており、ユーザーの操作が必要となる。影響を受けるユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-47457】Adobe Illustrator 28.7.1以前にNULL...

Adobe Illustratorのバージョン28.7.1以前にNULLポインタ参照の脆弱性が発見された。CVE-2024-47457として識別されるこの脆弱性は、悪意のあるファイルを開くことでアプリケーションがクラッシュしDoS状態に陥る可能性がある。CVSSスコアは5.5で中程度の深刻度とされており、ユーザーの操作が必要となる。影響を受けるユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-47442】After Effects 24.6.2以前に境界外書き込みの脆弱性、任意のコード実行のリスクで早急な対応が必要

【CVE-2024-47442】After Effects 24.6.2以前に境界外書き込みの...

Adobe社がAfter Effects 24.6.2以前のバージョンに境界外書き込みの脆弱性が存在することを公表した。CVE-2024-47442として識別されるこの脆弱性は、CVSS 3.1で7.8の高い深刻度を記録。悪意のあるファイルを開くことで攻撃が成立し、現在のユーザー権限でコードが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2024-47442】After Effects 24.6.2以前に境界外書き込みの...

Adobe社がAfter Effects 24.6.2以前のバージョンに境界外書き込みの脆弱性が存在することを公表した。CVE-2024-47442として識別されるこの脆弱性は、CVSS 3.1で7.8の高い深刻度を記録。悪意のあるファイルを開くことで攻撃が成立し、現在のユーザー権限でコードが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2024-47445】Adobe After Effects 24.6.2に深刻な脆弱性、メモリ情報漏洩のリスクが発覚

【CVE-2024-47445】Adobe After Effects 24.6.2に深刻な脆...

Adobe After Effectsのバージョン23.6.9、24.6.2以前において、Out-of-bounds read脆弱性が発見された。この脆弱性は悪意のあるファイルを開くことでトリガーされ、機密性の高いメモリ情報の漏洩やASLRバイパスのリスクがある。CVSSスコアは5.5(Medium)で、早急なアップデートが推奨される。

【CVE-2024-47445】Adobe After Effects 24.6.2に深刻な脆...

Adobe After Effectsのバージョン23.6.9、24.6.2以前において、Out-of-bounds read脆弱性が発見された。この脆弱性は悪意のあるファイルを開くことでトリガーされ、機密性の高いメモリ情報の漏洩やASLRバイパスのリスクがある。CVSSスコアは5.5(Medium)で、早急なアップデートが推奨される。

【CVE-2024-41738】IBM TXSeries for Multiplatforms 10.1に情報漏洩の脆弱性、中間者攻撃による情報漏洩のリスクに注意

【CVE-2024-41738】IBM TXSeries for Multiplatforms...

IBMはTXSeries for Multiplatforms 10.1における情報漏洩の脆弱性【CVE-2024-41738】を公開した。HTTP GETメソッドのクエリ文字列から機密情報が取得可能で、中間者攻撃による情報漏洩のリスクがある。CVSS基本値は5.9(中)で、特別な権限は不要だがネットワークを介した攻撃が可能なため、早急な対策が推奨される。

【CVE-2024-41738】IBM TXSeries for Multiplatforms...

IBMはTXSeries for Multiplatforms 10.1における情報漏洩の脆弱性【CVE-2024-41738】を公開した。HTTP GETメソッドのクエリ文字列から機密情報が取得可能で、中間者攻撃による情報漏洩のリスクがある。CVSS基本値は5.9(中)で、特別な権限は不要だがネットワークを介した攻撃が可能なため、早急な対策が推奨される。

【CVE-2024-44197】macOS Ventura 13.7.1とSonoma 14.7.1でメモリ処理の脆弱性に対処、サービス拒否攻撃のリスクを軽減

【CVE-2024-44197】macOS Ventura 13.7.1とSonoma 14....

Appleが2024年10月28日にmacOS Ventura 13.7.1とmacOS Sonoma 14.7.1のセキュリティアップデートをリリースした。メモリ処理の改善により、悪意のあるアプリケーションによるサービス拒否攻撃の可能性がある脆弱性【CVE-2024-44197】に対処。CVSSスコアは2.7で深刻度は低いものの、システムの安定性確保のため早急なアップデートが推奨される。

【CVE-2024-44197】macOS Ventura 13.7.1とSonoma 14....

Appleが2024年10月28日にmacOS Ventura 13.7.1とmacOS Sonoma 14.7.1のセキュリティアップデートをリリースした。メモリ処理の改善により、悪意のあるアプリケーションによるサービス拒否攻撃の可能性がある脆弱性【CVE-2024-44197】に対処。CVSSスコアは2.7で深刻度は低いものの、システムの安定性確保のため早急なアップデートが推奨される。

【CVE-2024-40592】FortiClient MacOSに深刻な暗号化署名検証の脆弱性、複数バージョンに影響

【CVE-2024-40592】FortiClient MacOSに深刻な暗号化署名検証の脆弱...

FortinetはFortiClient MacOSの複数バージョンにおける重要な脆弱性を公開した。この問題は暗号化署名の不適切な検証に起因しており、ローカルで認証された攻撃者がインストール時のrace conditionを利用して悪意のあるパッケージと入れ替える可能性がある。影響を受けるバージョンは7.4.0、7.2.4以下、7.0.10以下、6.4.10以下で、CVSSスコアは6.8と評価されている。

【CVE-2024-40592】FortiClient MacOSに深刻な暗号化署名検証の脆弱...

FortinetはFortiClient MacOSの複数バージョンにおける重要な脆弱性を公開した。この問題は暗号化署名の不適切な検証に起因しており、ローカルで認証された攻撃者がインストール時のrace conditionを利用して悪意のあるパッケージと入れ替える可能性がある。影響を受けるバージョンは7.4.0、7.2.4以下、7.0.10以下、6.4.10以下で、CVSSスコアは6.8と評価されている。

【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによる攻撃の可能性が示唆される

【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによ...

MirahezeのWikiDiscoverにおいて、Special:WikiDiscoverページでwiki情報を表示する際にXSS脆弱性が発見された。wiki名や説明文に対するエスケープ処理が実装されておらず、悪意のあるXSSペイロードが実行可能な状態であった。CVSS v3.1で深刻度7.6(High)と評価され、特権レベルは必要だが複雑な条件なしで攻撃が可能な状況にあった。コミット2ce846dd93による修正パッチの適用が推奨されている。

【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによ...

MirahezeのWikiDiscoverにおいて、Special:WikiDiscoverページでwiki情報を表示する際にXSS脆弱性が発見された。wiki名や説明文に対するエスケープ処理が実装されておらず、悪意のあるXSSペイロードが実行可能な状態であった。CVSS v3.1で深刻度7.6(High)と評価され、特権レベルは必要だが複雑な条件なしで攻撃が可能な状況にあった。コミット2ce846dd93による修正パッチの適用が推奨されている。

【CVE-2024-47594】SAP NetWeaver Enterprise Portal KMC 7.5にXSS脆弱性、セッション情報漏洩のリスクに注意

【CVE-2024-47594】SAP NetWeaver Enterprise Portal...

SAPは2024年10月8日、SAP NetWeaver Enterprise Portal KMC 7.5にクロスサイトスクリプティング脆弱性が存在することを公表した。CVSSスコア5.4の中程度の深刻度と評価されており、KMCサーブレットにおけるユーザー入力の不適切な処理により、攻撃者が細工したスクリプトを通じてWebブラウザセッションの情報が漏洩する可能性がある。

【CVE-2024-47594】SAP NetWeaver Enterprise Portal...

SAPは2024年10月8日、SAP NetWeaver Enterprise Portal KMC 7.5にクロスサイトスクリプティング脆弱性が存在することを公表した。CVSSスコア5.4の中程度の深刻度と評価されており、KMCサーブレットにおけるユーザー入力の不適切な処理により、攻撃者が細工したスクリプトを通じてWebブラウザセッションの情報が漏洩する可能性がある。

【CVE-2024-46613】WeeChat 4.4.2未満のバージョンで整数オーバーフローとバッファオーバーフローの脆弱性が発見、早急な対応が必要に

【CVE-2024-46613】WeeChat 4.4.2未満のバージョンで整数オーバーフロー...

2024年11月10日、WeeChat 4.4.2より前のバージョンにおいて深刻な整数オーバーフローとバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-46613】として識別され、リスト内のアイテム数が2つ十億を超えた際にcore/core-string.cファイル内の複数の関数で問題が発生することが確認されている。影響を受ける関数はstring_free_split_sharedなど4つが特定されている。

【CVE-2024-46613】WeeChat 4.4.2未満のバージョンで整数オーバーフロー...

2024年11月10日、WeeChat 4.4.2より前のバージョンにおいて深刻な整数オーバーフローとバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-46613】として識別され、リスト内のアイテム数が2つ十億を超えた際にcore/core-string.cファイル内の複数の関数で問題が発生することが確認されている。影響を受ける関数はstring_free_split_sharedなど4つが特定されている。

【CVE-2024-11077】code-projects Job Recruitment 1.0にSQLインジェクション脆弱性、個人情報漏洩のリスクが深刻化

【CVE-2024-11077】code-projects Job Recruitment 1...

VulDBは2024年11月11日、code-projects Job Recruitment 1.0のindex.phpファイルに存在するSQLインジェクション脆弱性を報告した。CVE-2024-11077として識別されるこの脆弱性は、emailパラメータを経由した攻撃が可能で、特権やユーザー操作を必要としない。CVSS 4.0スコアは6.9を記録し、既に攻撃コードが公開された状態にある。

【CVE-2024-11077】code-projects Job Recruitment 1...

VulDBは2024年11月11日、code-projects Job Recruitment 1.0のindex.phpファイルに存在するSQLインジェクション脆弱性を報告した。CVE-2024-11077として識別されるこの脆弱性は、emailパラメータを経由した攻撃が可能で、特権やユーザー操作を必要としない。CVSS 4.0スコアは6.9を記録し、既に攻撃コードが公開された状態にある。

【CVE-2024-51584】Marquee Elementor with Posts 1.2.0にXSS脆弱性が発見、WordPressサイトのセキュリティリスクが増大

【CVE-2024-51584】Marquee Elementor with Posts 1....

Patchstack OÜは2024年11月10日、WordPress用プラグインMarquee Elementor with Postsにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。DOM-Based XSSとして分類され、Webページ生成時の入力値の不適切な処理が原因とされている。

【CVE-2024-51584】Marquee Elementor with Posts 1....

Patchstack OÜは2024年11月10日、WordPress用プラグインMarquee Elementor with Postsにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。DOM-Based XSSとして分類され、Webページ生成時の入力値の不適切な処理が原因とされている。

【CVE-2024-49580】JetBrains Ktorに深刻な脆弱性、HttpCache Pluginのキャッシュ処理に不備でレスポンス情報漏洩のリスク

【CVE-2024-49580】JetBrains Ktorに深刻な脆弱性、HttpCache...

JetBrains社がKtorのバージョン3.0.0未満に存在する重要な脆弱性情報を公開。HttpCache Pluginの不適切なキャッシュ処理により、レスポンス情報が漏洩する可能性が確認された。CVSSスコアは5.3(MEDIUM)で、攻撃の自動化が可能とされている。開発者には最新版への更新が推奨され、特にセキュリティ要件の厳しいアプリケーションでは早急な対応が必要とされる。

【CVE-2024-49580】JetBrains Ktorに深刻な脆弱性、HttpCache...

JetBrains社がKtorのバージョン3.0.0未満に存在する重要な脆弱性情報を公開。HttpCache Pluginの不適切なキャッシュ処理により、レスポンス情報が漏洩する可能性が確認された。CVSSスコアは5.3(MEDIUM)で、攻撃の自動化が可能とされている。開発者には最新版への更新が推奨され、特にセキュリティ要件の厳しいアプリケーションでは早急な対応が必要とされる。

【CVE-2024-49505】OpenSUSE MirrorCacheにXSS脆弱性、バージョン1.083で修正完了

【CVE-2024-49505】OpenSUSE MirrorCacheにXSS脆弱性、バージ...

OpenSUSE TumbleweedのMirrorCacheにおいて、REGEXとPパラメータを介して任意のJavaScriptコードが実行可能となるXSS脆弱性が発見された。CVSSスコア5.3のMedium評価で、バージョン1.083未満が影響を受ける。特別な権限なしで攻撃可能だが、エクスプロイトの自動化は困難とされている。最新バージョン1.083へのアップデートで対策可能だ。

【CVE-2024-49505】OpenSUSE MirrorCacheにXSS脆弱性、バージ...

OpenSUSE TumbleweedのMirrorCacheにおいて、REGEXとPパラメータを介して任意のJavaScriptコードが実行可能となるXSS脆弱性が発見された。CVSSスコア5.3のMedium評価で、バージョン1.083未満が影響を受ける。特別な権限なしで攻撃可能だが、エクスプロイトの自動化は困難とされている。最新バージョン1.083へのアップデートで対策可能だ。

【CVE-2024-51589】WordPressプラグインBigmart Elementsにクロスサイトスクリプティングの脆弱性が発見、早急な対応が必要に

【CVE-2024-51589】WordPressプラグインBigmart Elementsに...

WordPressプラグインBigmart Elementsのバージョン1.0.3以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51589として識別されるこの脆弱性は、CVSSスコア6.5を記録し、攻撃者による悪意のあるスクリプト実行の可能性がある。特権レベルとユーザーの関与が必要だが、早急なアップデートによる対応が推奨される。

【CVE-2024-51589】WordPressプラグインBigmart Elementsに...

WordPressプラグインBigmart Elementsのバージョン1.0.3以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51589として識別されるこの脆弱性は、CVSSスコア6.5を記録し、攻撃者による悪意のあるスクリプト実行の可能性がある。特権レベルとユーザーの関与が必要だが、早急なアップデートによる対応が推奨される。

【CVE-2024-51588】Super Addons for Elementor 1.0にXSS脆弱性、DOM操作による情報漏洩のリスクに注意

【CVE-2024-51588】Super Addons for Elementor 1.0に...

WordPress用プラグインSuper Addons for Elementor 1.0以前のバージョンにDOM-Based XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、攻撃条件の複雑さは低いとされている。特権レベルは必要だが利用者の関与が求められ、影響範囲の変更があるため注意が必要だ。Patchstack Allianceの研究者により発見されたこの脆弱性への対応が求められる。

【CVE-2024-51588】Super Addons for Elementor 1.0に...

WordPress用プラグインSuper Addons for Elementor 1.0以前のバージョンにDOM-Based XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、攻撃条件の複雑さは低いとされている。特権レベルは必要だが利用者の関与が求められ、影響範囲の変更があるため注意が必要だ。Patchstack Allianceの研究者により発見されたこの脆弱性への対応が求められる。

【CVE-2024-52351】BU Slideshow 2.3.10にクロスサイトスクリプティングの脆弱性が発見、早急な対応が必要に

【CVE-2024-52351】BU Slideshow 2.3.10にクロスサイトスクリプテ...

Boston University (IS&T)のWordPressプラグインBU Slideshowにおいて、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-52351として識別されるこの脆弱性は、バージョン2.3.10以前のすべてのバージョンに影響を及ぼし、CVSSスコア6.5の中程度の深刻度と評価されている。攻撃成功時には情報漏洩やサイト改ざんのリスクがあり、早急な対応が推奨される。

【CVE-2024-52351】BU Slideshow 2.3.10にクロスサイトスクリプテ...

Boston University (IS&T)のWordPressプラグインBU Slideshowにおいて、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-52351として識別されるこの脆弱性は、バージョン2.3.10以前のすべてのバージョンに影響を及ぼし、CVSSスコア6.5の中程度の深刻度と評価されている。攻撃成功時には情報漏洩やサイト改ざんのリスクがあり、早急な対応が推奨される。

【CVE-2024-51843】WordPressのHorsemanagerプラグインにSQL Injection脆弱性が発見、深刻度8.5の高リスク問題に

【CVE-2024-51843】WordPressのHorsemanagerプラグインにSQL...

WordPressのHorsemanagerプラグインでSQL Injection脆弱性が発見された。CVE-2024-51843として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える。CVSSスコア8.5と高い深刻度を示しており、ネットワーク経由での攻撃が可能なため、早急なアップデートが推奨されている。Patchstack Allianceのメンバーによって発見された本脆弱性は、データベースの改ざんや情報漏洩のリスクを含んでいる。

【CVE-2024-51843】WordPressのHorsemanagerプラグインにSQL...

WordPressのHorsemanagerプラグインでSQL Injection脆弱性が発見された。CVE-2024-51843として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える。CVSSスコア8.5と高い深刻度を示しており、ネットワーク経由での攻撃が可能なため、早急なアップデートが推奨されている。Patchstack Allianceのメンバーによって発見された本脆弱性は、データベースの改ざんや情報漏洩のリスクを含んでいる。

【CVE-2024-46890】SINEC INSの全バージョンに重大な脆弱性、特権ユーザーによる任意コード実行が可能に

【CVE-2024-46890】SINEC INSの全バージョンに重大な脆弱性、特権ユーザーに...

SiemensのSINEC INSにおいて、V1.0 SP2 Update 3未満の全バージョンに影響を与える重大な脆弱性が発見された。WebAPIの特定のエンドポイントにおける入力値の検証が不適切であり、高い特権を持つ認証済みリモート攻撃者がOS上で任意のコードを実行可能となる。CVSS v3.1で9.1、CVSS v4.0で9.4と評価される深刻な脆弱性への早急な対応が求められている。

【CVE-2024-46890】SINEC INSの全バージョンに重大な脆弱性、特権ユーザーに...

SiemensのSINEC INSにおいて、V1.0 SP2 Update 3未満の全バージョンに影響を与える重大な脆弱性が発見された。WebAPIの特定のエンドポイントにおける入力値の検証が不適切であり、高い特権を持つ認証済みリモート攻撃者がOS上で任意のコードを実行可能となる。CVSS v3.1で9.1、CVSS v4.0で9.4と評価される深刻な脆弱性への早急な対応が求められている。

【CVE-2024-8882】Zyxel GS1900-48スイッチにバッファオーバーフロー脆弱性、DoS攻撃のリスクが発生

【CVE-2024-8882】Zyxel GS1900-48スイッチにバッファオーバーフロー脆...

Zyxel社のGS1900-48スイッチファームウェアV2.80(AAHN.1)C0以前のバージョンにおいて、CGIプログラムのバッファオーバーフロー脆弱性が発見された。この脆弱性はCVE-2024-8882として識別され、管理者権限を持つLANベースの攻撃者による細工されたURLを通じたDoS攻撃を可能にする。CVSSスコアは4.5(Medium)と評価されている。

【CVE-2024-8882】Zyxel GS1900-48スイッチにバッファオーバーフロー脆...

Zyxel社のGS1900-48スイッチファームウェアV2.80(AAHN.1)C0以前のバージョンにおいて、CGIプログラムのバッファオーバーフロー脆弱性が発見された。この脆弱性はCVE-2024-8882として識別され、管理者権限を持つLANベースの攻撃者による細工されたURLを通じたDoS攻撃を可能にする。CVSSスコアは4.5(Medium)と評価されている。

【CVE-2024-24122】Wanxing Technology Yituプロジェクトでリモートコード実行の脆弱性が発見、システム起動時の自動実行が可能に

【CVE-2024-24122】Wanxing Technology Yituプロジェクトでリ...

Wanxing TechnologyのYituプロジェクトで重大な脆弱性が発見された。CVE-2024-24122として識別されるこの脆弱性は、CVSS 3.1で深刻度9.8のクリティカルと評価されている。攻撃者はexp.adpxファイルを利用してシステム起動フォルダに悪意のあるスクリプトを配置し、システム再起動時に自動実行させることが可能となっている。特権やユーザー操作が不要な点が特に危険視されている。

【CVE-2024-24122】Wanxing Technology Yituプロジェクトでリ...

Wanxing TechnologyのYituプロジェクトで重大な脆弱性が発見された。CVE-2024-24122として識別されるこの脆弱性は、CVSS 3.1で深刻度9.8のクリティカルと評価されている。攻撃者はexp.adpxファイルを利用してシステム起動フォルダに悪意のあるスクリプトを配置し、システム再起動時に自動実行させることが可能となっている。特権やユーザー操作が不要な点が特に危険視されている。

【CVE-2024-24116】Ruijie RG-NBS2009G-Pに特権昇格の脆弱性、リモート攻撃のリスクに早急な対応が必要

【CVE-2024-24116】Ruijie RG-NBS2009G-Pに特権昇格の脆弱性、リ...

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2に特権昇格の脆弱性を発見したと発表した。system/config_menu.htmを介したリモートからの特権取得が可能で、攻撃の自動化も可能とされている。CISAによる評価では部分的な技術的影響があるとされ、早急な対策が必要とされている。

【CVE-2024-24116】Ruijie RG-NBS2009G-Pに特権昇格の脆弱性、リ...

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2に特権昇格の脆弱性を発見したと発表した。system/config_menu.htmを介したリモートからの特権取得が可能で、攻撃の自動化も可能とされている。CISAによる評価では部分的な技術的影響があるとされ、早急な対策が必要とされている。

【CVE-2024-11057】Codezips Hospital Appointment System 1.0に深刻なSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2024-11057】Codezips Hospital Appointment S...

Codezips Hospital Appointment System 1.0のremoveBranchResult.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5を記録し、認証なしでリモート攻撃が可能な状態。既にエクスプロイトコードが公開されており、医療機関の予約システムとして使用されている性質上、早急なセキュリティ対策の実施が求められている。

【CVE-2024-11057】Codezips Hospital Appointment S...

Codezips Hospital Appointment System 1.0のremoveBranchResult.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5を記録し、認証なしでリモート攻撃が可能な状態。既にエクスプロイトコードが公開されており、医療機関の予約システムとして使用されている性質上、早急なセキュリティ対策の実施が求められている。

【CVE-2024-11055】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性、管理者機能に深刻な影響

【CVE-2024-11055】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、admin-profile.phpファイルのadminname引数にSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能な深刻な問題となっている。既に攻撃コードが公開されており、早急な対応が必要とされている。システム管理者は直ちにセキュリティパッチの適用を検討すべきだ。

【CVE-2024-11055】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、admin-profile.phpファイルのadminname引数にSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能な深刻な問題となっている。既に攻撃コードが公開されており、早急な対応が必要とされている。システム管理者は直ちにセキュリティパッチの適用を検討すべきだ。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証での攻撃が可能に

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネル名が漏洩する問題が発覚

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネ...

Mattermost社が自社製品の重要な脆弱性を公開した。Mattermost 10.0.0および9.11.0-9.11.2において、Elasticsearch v8が有効化されている環境下でチャンネルスイッチャーを使用した際、ユーザーがメンバーではないプライベートチャンネルの名前が漏洩する問題が発見された。CVSSスコアは4.3を記録し、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネ...

Mattermost社が自社製品の重要な脆弱性を公開した。Mattermost 10.0.0および9.11.0-9.11.2において、Elasticsearch v8が有効化されている環境下でチャンネルスイッチャーを使用した際、ユーザーがメンバーではないプライベートチャンネルの名前が漏洩する問題が発見された。CVSSスコアは4.3を記録し、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-51485】Ampache7.0.1未満のバージョンでCSRF脆弱性が発見、プラグイン管理機能に深刻な影響

【CVE-2024-51485】Ampache7.0.1未満のバージョンでCSRF脆弱性が発見...

オーディオ・ビデオストリーミングおよびファイル管理アプリケーションのAmpacheにおいて、プラグインの有効化・無効化機能に関する深刻な脆弱性が発見された。CVE-2024-51485として識別されるこの脆弱性は、CSRFトークンの検証が不十分であることが原因で、攻撃者による不正なプラグイン状態の変更を可能にする。修正版となるバージョン7.0.1が公開され、すべてのユーザーに対して早急なアップデートが推奨されている。

【CVE-2024-51485】Ampache7.0.1未満のバージョンでCSRF脆弱性が発見...

オーディオ・ビデオストリーミングおよびファイル管理アプリケーションのAmpacheにおいて、プラグインの有効化・無効化機能に関する深刻な脆弱性が発見された。CVE-2024-51485として識別されるこの脆弱性は、CSRFトークンの検証が不十分であることが原因で、攻撃者による不正なプラグイン状態の変更を可能にする。修正版となるバージョン7.0.1が公開され、すべてのユーザーに対して早急なアップデートが推奨されている。

【CVE-2024-50970】Itsourcecode Online Furniture Shopping Project 1.0にSQLインジェクション脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-50970】Itsourcecode Online Furniture S...

MITREは2024年11月13日、Itsourcecode Online Furniture Shopping Project 1.0のorderview1.phpにSQLインジェクションの脆弱性が存在することを公表した。この脆弱性により、リモートの攻撃者がidパラメータを介して任意のSQLコマンドを実行できる可能性がある。開発者やシステム管理者は早急な対応を迫られている状況だ。

【CVE-2024-50970】Itsourcecode Online Furniture S...

MITREは2024年11月13日、Itsourcecode Online Furniture Shopping Project 1.0のorderview1.phpにSQLインジェクションの脆弱性が存在することを公表した。この脆弱性により、リモートの攻撃者がidパラメータを介して任意のSQLコマンドを実行できる可能性がある。開発者やシステム管理者は早急な対応を迫られている状況だ。

【CVE-2024-50852】Tenda G3 v3.0にコマンドインジェクションの脆弱性、製品のセキュリティに深刻な影響

【CVE-2024-50852】Tenda G3 v3.0にコマンドインジェクションの脆弱性、...

Tenda G3 v3.0 v15.11.0.20において、formSetUSBPartitionUmount関数にコマンドインジェクションの脆弱性が発見された。MITREが【CVE-2024-50852】として識別したこの脆弱性は、攻撃の自動化が可能であり、製品のセキュリティに重大な影響を及ぼす可能性がある。現在、製品の状態に関する情報は提供されておらず、ユーザーは早急なセキュリティ対策の実施を求められている。

【CVE-2024-50852】Tenda G3 v3.0にコマンドインジェクションの脆弱性、...

Tenda G3 v3.0 v15.11.0.20において、formSetUSBPartitionUmount関数にコマンドインジェクションの脆弱性が発見された。MITREが【CVE-2024-50852】として識別したこの脆弱性は、攻撃の自動化が可能であり、製品のセキュリティに重大な影響を及ぼす可能性がある。現在、製品の状態に関する情報は提供されておらず、ユーザーは早急なセキュリティ対策の実施を求められている。

HOT TOPICS