Tech Insights
【CVE-2024-11529】IrfanView 4.67.0.0にDWGファイル解析の重大...
Zero Day Initiativeが画像ビューアソフトウェアIrfanView 4.67.0.0におけるDWGファイル解析の重大な脆弱性を報告。CVE-2024-11529として識別されるこの脆弱性は、バッファ範囲外の読み取りに起因するリモートコード実行の可能性があり、CVSSスコア7.8と高い深刻度を示している。ユーザーの操作を必要とする攻撃シナリオに注意が必要だ。
【CVE-2024-11529】IrfanView 4.67.0.0にDWGファイル解析の重大...
Zero Day Initiativeが画像ビューアソフトウェアIrfanView 4.67.0.0におけるDWGファイル解析の重大な脆弱性を報告。CVE-2024-11529として識別されるこの脆弱性は、バッファ範囲外の読み取りに起因するリモートコード実行の可能性があり、CVSSスコア7.8と高い深刻度を示している。ユーザーの操作を必要とする攻撃シナリオに注意が必要だ。
【CVE-2024-11526】IrfanView 4.67.0.0でCGMファイル解析の脆弱...
Zero Day Initiativeは画像ビューアソフトウェアIrfanView 4.67.0.0においてCGMファイルの解析処理に脆弱性が存在することを公開した。CVSSスコア7.8の高リスク脆弱性で、悪意のあるページやファイルを通じて攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、適切な入力検証の欠如により深刻な影響をもたらす可能性がある。
【CVE-2024-11526】IrfanView 4.67.0.0でCGMファイル解析の脆弱...
Zero Day Initiativeは画像ビューアソフトウェアIrfanView 4.67.0.0においてCGMファイルの解析処理に脆弱性が存在することを公開した。CVSSスコア7.8の高リスク脆弱性で、悪意のあるページやファイルを通じて攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、適切な入力検証の欠如により深刻な影響をもたらす可能性がある。
【CVE-2024-11525】IrfanView 4.67.0.0にDXFファイル解析の重大...
Zero Day InitiativeがIrfanView 4.67.0.0に影響を及ぼすDXFファイル解析の脆弱性を公開した。CVSSスコア7.8を記録するこの脆弱性は、Use-After-Free型の欠陥によりリモートコード実行を可能にする。悪意のあるページやファイルを開くことで攻撃が実行可能で、特権は不要とされている。開発者による早急な対応が求められる深刻な脆弱性として注目されている。
【CVE-2024-11525】IrfanView 4.67.0.0にDXFファイル解析の重大...
Zero Day InitiativeがIrfanView 4.67.0.0に影響を及ぼすDXFファイル解析の脆弱性を公開した。CVSSスコア7.8を記録するこの脆弱性は、Use-After-Free型の欠陥によりリモートコード実行を可能にする。悪意のあるページやファイルを開くことで攻撃が実行可能で、特権は不要とされている。開発者による早急な対応が求められる深刻な脆弱性として注目されている。
【CVE-2024-11523】IrfanView 4.67.0.0でDXFファイル解析の脆弱...
Zero Day Initiativeが、IrfanView 4.67.0.0においてDXFファイルの解析処理に関連する深刻な脆弱性を公開した。ユーザー入力の不適切な検証によりメモリ破損が発生し、攻撃者による任意のコード実行を許す可能性がある。CVSS 3.0で7.8のスコアを記録し、深刻度はHIGHに分類。セキュリティ対策の見直しと迅速なアップデートが推奨される。
【CVE-2024-11523】IrfanView 4.67.0.0でDXFファイル解析の脆弱...
Zero Day Initiativeが、IrfanView 4.67.0.0においてDXFファイルの解析処理に関連する深刻な脆弱性を公開した。ユーザー入力の不適切な検証によりメモリ破損が発生し、攻撃者による任意のコード実行を許す可能性がある。CVSS 3.0で7.8のスコアを記録し、深刻度はHIGHに分類。セキュリティ対策の見直しと迅速なアップデートが推奨される。
【CVE-2024-11522】IrfanView 4.67.0.0でDXFファイル解析の脆弱...
Zero Day Initiativeが2024年11月22日、IrfanView 4.67.0.0にDXFファイル解析時のメモリ破損によるリモートコード実行の脆弱性を発見したと発表。CVSSスコア7.8の深刻な脆弱性で、悪意のあるページやファイルを通じて攻撃が可能。ユーザー入力データの検証が不十分なことが原因で、現在のプロセスのコンテキストで任意のコードが実行可能な状態にある。
【CVE-2024-11522】IrfanView 4.67.0.0でDXFファイル解析の脆弱...
Zero Day Initiativeが2024年11月22日、IrfanView 4.67.0.0にDXFファイル解析時のメモリ破損によるリモートコード実行の脆弱性を発見したと発表。CVSSスコア7.8の深刻な脆弱性で、悪意のあるページやファイルを通じて攻撃が可能。ユーザー入力データの検証が不十分なことが原因で、現在のプロセスのコンテキストで任意のコードが実行可能な状態にある。
【CVE-2024-11520】IrfanView 4.67.0.0にリモートコード実行の脆弱...
Zero Day Initiativeは2024年11月22日、IrfanViewのARWファイル解析における重大な脆弱性を公開した。CVSSスコア7.8と高く評価されたこの脆弱性は、ユーザーが悪意のあるファイルを開くことでリモートコード実行を許してしまう問題を含んでおり、バージョン4.67.0.0が影響を受ける。早急な対応が求められる状況となっている。
【CVE-2024-11520】IrfanView 4.67.0.0にリモートコード実行の脆弱...
Zero Day Initiativeは2024年11月22日、IrfanViewのARWファイル解析における重大な脆弱性を公開した。CVSSスコア7.8と高く評価されたこの脆弱性は、ユーザーが悪意のあるファイルを開くことでリモートコード実行を許してしまう問題を含んでおり、バージョン4.67.0.0が影響を受ける。早急な対応が求められる状況となっている。
【CVE-2024-11516】IrfanView 4.67 32bitでJPMファイル解析の...
Zero Day Initiativeは2024年11月22日、IrfanView 4.67 32bitにおいてJPMファイルの解析処理に関するヒープベースバッファオーバーフローの脆弱性を発見した。CVE-2024-11516として識別されたこの脆弱性は、CVSSスコア7.8と高く評価されており、攻撃者による任意のコード実行を許してしまう可能性がある。ユーザーの関与が必要となるものの、特権は不要とされている。
【CVE-2024-11516】IrfanView 4.67 32bitでJPMファイル解析の...
Zero Day Initiativeは2024年11月22日、IrfanView 4.67 32bitにおいてJPMファイルの解析処理に関するヒープベースバッファオーバーフローの脆弱性を発見した。CVE-2024-11516として識別されたこの脆弱性は、CVSSスコア7.8と高く評価されており、攻撃者による任意のコード実行を許してしまう可能性がある。ユーザーの関与が必要となるものの、特権は不要とされている。
Linuxカーネルdvbdevのメモリアクセス脆弱性、明示的なガード追加による対策を実施
kernel.orgはLinuxカーネルのdvbdevコンポーネントに存在するメモリアクセスの脆弱性対策として、明示的なガードを追加するセキュリティアップデートを公開した。この脆弱性はCONFIG_DVB_DYNAMIC_MINORSの設定状態による動作の違いと境界チェックの不足に起因しており、特定のデバイスで予期せぬメモリアクセスが発生する可能性があった。
Linuxカーネルdvbdevのメモリアクセス脆弱性、明示的なガード追加による対策を実施
kernel.orgはLinuxカーネルのdvbdevコンポーネントに存在するメモリアクセスの脆弱性対策として、明示的なガードを追加するセキュリティアップデートを公開した。この脆弱性はCONFIG_DVB_DYNAMIC_MINORSの設定状態による動作の違いと境界チェックの不足に起因しており、特定のデバイスで予期せぬメモリアクセスが発生する可能性があった。
【CVE-2024-53057】Linuxカーネルのqdisc処理に重大な脆弱性、UAFの問題...
Linuxカーネルにおいて、qdisc_tree_reduce_backlogの処理に関する重要な脆弱性が発見された。この問題はメジャーハンドルffff:を持つQdiscsの処理に関連しており、特にDRRのようなアクティブクラスリストを維持するqdiscsにおいて、深刻なUAF(Use-After-Free)の問題を引き起こす可能性がある。複数のバージョンで修正がリリースされ、早急な更新が推奨される。
【CVE-2024-53057】Linuxカーネルのqdisc処理に重大な脆弱性、UAFの問題...
Linuxカーネルにおいて、qdisc_tree_reduce_backlogの処理に関する重要な脆弱性が発見された。この問題はメジャーハンドルffff:を持つQdiscsの処理に関連しており、特にDRRのようなアクティブクラスリストを維持するqdiscsにおいて、深刻なUAF(Use-After-Free)の問題を引き起こす可能性がある。複数のバージョンで修正がリリースされ、早急な更新が推奨される。
Linux kernelのio_uringに脆弱性、フリーズ処理時のデッドロックリスクが判明
kernel.orgが2024年11月19日に公開したLinux kernelのio_uring脆弱性【CVE-2024-53052】は、書き込み開始時のsuper block rwsem処理に起因するデッドロックの危険性を持つ。フリーズ処理との競合によってシステムが応答不能に陥る可能性があるが、CAP_SYS_ADMIN権限が必要なため一般ユーザーへの影響は限定的である。
Linux kernelのio_uringに脆弱性、フリーズ処理時のデッドロックリスクが判明
kernel.orgが2024年11月19日に公開したLinux kernelのio_uring脆弱性【CVE-2024-53052】は、書き込み開始時のsuper block rwsem処理に起因するデッドロックの危険性を持つ。フリーズ処理との競合によってシステムが応答不能に陥る可能性があるが、CAP_SYS_ADMIN権限が必要なため一般ユーザーへの影響は限定的である。
【CVE-2024-53043】Linuxカーネルのmctp i2cモジュールにNULLアドレ...
Linuxカーネルのmctp i2cモジュールにおいて、近隣テーブルエントリが存在しない場合のNULLアドレス処理に関する脆弱性が発見された。この問題は【CVE-2024-53043】として特定され、Linux 5.18以降の特定バージョンに影響を与える。最新のセキュリティアップデートでは、パケット破棄処理の実装やアドレスチェックの強化により、潜在的なセキュリティリスクの軽減が図られている。
【CVE-2024-53043】Linuxカーネルのmctp i2cモジュールにNULLアドレ...
Linuxカーネルのmctp i2cモジュールにおいて、近隣テーブルエントリが存在しない場合のNULLアドレス処理に関する脆弱性が発見された。この問題は【CVE-2024-53043】として特定され、Linux 5.18以降の特定バージョンに影響を与える。最新のセキュリティアップデートでは、パケット破棄処理の実装やアドレスチェックの強化により、潜在的なセキュリティリスクの軽減が図られている。
【CVE-2024-52392】WordPress W3SPEEDSTERプラグインにCSRF...
Patchstack OÜはWordPress用プラグインW3SPEEDSTERにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見した。バージョン7.25以前が影響を受け、CVSSスコア6.3のMedium評価とされている。攻撃の複雑さは低いものの利用者の関与が必要で、情報漏洩や改ざんのリスクがある。バージョン7.27以降で修正されているため、影響を受けるバージョンを使用している場合は最新版への更新が推奨される。
【CVE-2024-52392】WordPress W3SPEEDSTERプラグインにCSRF...
Patchstack OÜはWordPress用プラグインW3SPEEDSTERにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見した。バージョン7.25以前が影響を受け、CVSSスコア6.3のMedium評価とされている。攻撃の複雑さは低いものの利用者の関与が必要で、情報漏洩や改ざんのリスクがある。バージョン7.27以降で修正されているため、影響を受けるバージョンを使用している場合は最新版への更新が推奨される。
【CVE-2024-50301】Linuxカーネルで発見されたslab-out-of-boun...
Linuxカーネルのsecurity/keysコンポーネントで深刻な脆弱性が発見され修正された。key_task_permission関数での境界外読み取りの問題が確認され、特にROOTノードでショートカットを含むスロットの処理に関連する重要な脆弱性として認識されている。この問題は32個以上の類似ハッシュを持つ入力で再現可能であり、システムのセキュリティを著しく損なう可能性があった。
【CVE-2024-50301】Linuxカーネルで発見されたslab-out-of-boun...
Linuxカーネルのsecurity/keysコンポーネントで深刻な脆弱性が発見され修正された。key_task_permission関数での境界外読み取りの問題が確認され、特にROOTノードでショートカットを含むスロットの処理に関連する重要な脆弱性として認識されている。この問題は32個以上の類似ハッシュを持つ入力で再現可能であり、システムのセキュリティを著しく損なう可能性があった。
【CVE-2024-50283】Linuxカーネルのksmbd機能にUAF脆弱性、セッション管...
Linuxカーネルの開発チームは、ksmbd機能におけるセッション管理の脆弱性【CVE-2024-50283】を2024年11月19日に公開した。この脆弱性はsmb3_preauth_hash_rsp関数内でのksmbd_user_session_putの呼び出しタイミングに起因するスラブのUse-After-Free(UAF)の問題で、Linux kernel 1da177e4c3f4からの複数バージョンに影響を与えている。6.1.117以降などの最新版で修正された。
【CVE-2024-50283】Linuxカーネルのksmbd機能にUAF脆弱性、セッション管...
Linuxカーネルの開発チームは、ksmbd機能におけるセッション管理の脆弱性【CVE-2024-50283】を2024年11月19日に公開した。この脆弱性はsmb3_preauth_hash_rsp関数内でのksmbd_user_session_putの呼び出しタイミングに起因するスラブのUse-After-Free(UAF)の問題で、Linux kernel 1da177e4c3f4からの複数バージョンに影響を与えている。6.1.117以降などの最新版で修正された。
【CVE-2024-50276】Linuxカーネルのmse102xドライバに重大な脆弱性、複数...
Linuxカーネルのvertexcom mse102xドライバにおいて、TX skbの二重解放による脆弱性【CVE-2024-50276】が発見され、2024年11月19日に修正パッチがリリースされた。この脆弱性はLinux 5.17から6.6.61までの広範なバージョンに影響を与え、システムクラッシュを引き起こす可能性があるため、早急なパッチ適用が推奨されている。
【CVE-2024-50276】Linuxカーネルのmse102xドライバに重大な脆弱性、複数...
Linuxカーネルのvertexcom mse102xドライバにおいて、TX skbの二重解放による脆弱性【CVE-2024-50276】が発見され、2024年11月19日に修正パッチがリリースされた。この脆弱性はLinux 5.17から6.6.61までの広範なバージョンに影響を与え、システムクラッシュを引き起こす可能性があるため、早急なパッチ適用が推奨されている。
【CVE-2024-50163】LinuxカーネルのBPFリダイレクトフラグ重複問題が修正、ク...
kernel.orgは2024年11月7日、LinuxカーネルのBPF機能において内部フラグとUAPIフラグの重複による脆弱性を公開した。SKBとXDPのリダイレクトパスで同一フラグ値が使用され、特定条件下でクラッシュする可能性があった問題が、スタック割り当てのbpf_redirect_infoとフラグの再定義によって修正された。また、BUILD_BUG_ON()チェックの導入により、今後の同様の問題発生を防止する対策も実施された。
【CVE-2024-50163】LinuxカーネルのBPFリダイレクトフラグ重複問題が修正、ク...
kernel.orgは2024年11月7日、LinuxカーネルのBPF機能において内部フラグとUAPIフラグの重複による脆弱性を公開した。SKBとXDPのリダイレクトパスで同一フラグ値が使用され、特定条件下でクラッシュする可能性があった問題が、スタック割り当てのbpf_redirect_infoとフラグの再定義によって修正された。また、BUILD_BUG_ON()チェックの導入により、今後の同様の問題発生を防止する対策も実施された。
【CVE-2024-50142】Linuxカーネルのxfrmコンポーネントに脆弱性、プレフィッ...
kernel.orgは2024年11月7日、Linuxカーネルのxfrmコンポーネントにおいてプレフィックス長の検証に関する重要な脆弱性を公開した。この脆弱性は【CVE-2024-50142】として特定され、特にバージョン2.6.12以降の環境に影響を及ぼす。kernel.orgは各バージョン向けに修正パッチを提供し、4.19.323以降や5.4.285以降のバージョンでは既に対策が実施されている。
【CVE-2024-50142】Linuxカーネルのxfrmコンポーネントに脆弱性、プレフィッ...
kernel.orgは2024年11月7日、Linuxカーネルのxfrmコンポーネントにおいてプレフィックス長の検証に関する重要な脆弱性を公開した。この脆弱性は【CVE-2024-50142】として特定され、特にバージョン2.6.12以降の環境に影響を及ぼす。kernel.orgは各バージョン向けに修正パッチを提供し、4.19.323以降や5.4.285以降のバージョンでは既に対策が実施されている。
アシュアードが金融分野におけるサイバーセキュリティガイドラインのウェビナーを開催、脆弱性管理要...
株式会社アシュアードは2024年12月5日に金融分野におけるサイバーセキュリティガイドラインの解説ウェビナーを開催する。金融庁が2024年10月4日に策定したガイドラインの脆弱性管理要件に焦点を当て、yamoryを活用した効率的な脆弱性対応について解説する。参加費は無料で、Zoomによるオンライン配信となる。金融機関の情報システム部門やセキュリティ管理部門の担当者に向けた内容となっている。
アシュアードが金融分野におけるサイバーセキュリティガイドラインのウェビナーを開催、脆弱性管理要...
株式会社アシュアードは2024年12月5日に金融分野におけるサイバーセキュリティガイドラインの解説ウェビナーを開催する。金融庁が2024年10月4日に策定したガイドラインの脆弱性管理要件に焦点を当て、yamoryを活用した効率的な脆弱性対応について解説する。参加費は無料で、Zoomによるオンライン配信となる。金融機関の情報システム部門やセキュリティ管理部門の担当者に向けた内容となっている。
博報堂プロダクツとグループ会社がISMSの国際規格認証を取得、情報セキュリティ体制の強化へ
博報堂プロダクツおよびグループ会社は、情報セキュリティマネジメントシステムの国際規格ISO/IEC 27001および国内規格JIS Q 27001の認証を2024年10月16日に取得した。BSIグループジャパン株式会社から認証登録番号IS 810437が発行され、顧客の情報資産を安全に管理する体制が整備された。今後も法令遵守を徹底し、より強固な情報セキュリティ体制の確立を目指す。
博報堂プロダクツとグループ会社がISMSの国際規格認証を取得、情報セキュリティ体制の強化へ
博報堂プロダクツおよびグループ会社は、情報セキュリティマネジメントシステムの国際規格ISO/IEC 27001および国内規格JIS Q 27001の認証を2024年10月16日に取得した。BSIグループジャパン株式会社から認証登録番号IS 810437が発行され、顧客の情報資産を安全に管理する体制が整備された。今後も法令遵守を徹底し、より強固な情報セキュリティ体制の確立を目指す。
東京都がファーストカスタマー・アライアンスを開始、全国自治体と連携しスタートアップの公共調達を促進
東京都は全国の自治体と連携し、スタートアップ製品の公共調達を促進する「ファーストカスタマー・アライアンス」を開始した。政策目的随意契約制度を活用し入札なしでの製品調達を可能にするほか、デロイト トーマツ リスクアドバイザリー合同会社が運営事業者として参画。連携自治体の募集は2024年11月28日から12月27日まで実施される。
東京都がファーストカスタマー・アライアンスを開始、全国自治体と連携しスタートアップの公共調達を促進
東京都は全国の自治体と連携し、スタートアップ製品の公共調達を促進する「ファーストカスタマー・アライアンス」を開始した。政策目的随意契約制度を活用し入札なしでの製品調達を可能にするほか、デロイト トーマツ リスクアドバイザリー合同会社が運営事業者として参画。連携自治体の募集は2024年11月28日から12月27日まで実施される。
株式会社ストライクがM&Aに関するウェビナーを開催、デューデリジェンスの実務と注意点を専門家が解説
株式会社ストライクとアクタスグループは、M&Aにおける重要プロセスであるデューデリジェンスをテーマとしたウェビナーを2024年12月16日に開催する。財務・人事労務の専門家が、実務における具体的な注意点や必要な準備について解説を行う予定だ。ウェビナーは2部構成で、第1部では基礎知識、第2部では実践的なトラブル事例を取り上げ、M&Aを検討する経営者や支援する専門家に向けた情報を提供する。
株式会社ストライクがM&Aに関するウェビナーを開催、デューデリジェンスの実務と注意点を専門家が解説
株式会社ストライクとアクタスグループは、M&Aにおける重要プロセスであるデューデリジェンスをテーマとしたウェビナーを2024年12月16日に開催する。財務・人事労務の専門家が、実務における具体的な注意点や必要な準備について解説を行う予定だ。ウェビナーは2部構成で、第1部では基礎知識、第2部では実践的なトラブル事例を取り上げ、M&Aを検討する経営者や支援する専門家に向けた情報を提供する。
【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メ...
kernel.orgが2024年10月21日に公開したLinuxカーネルのiceドライバの脆弱性情報によると、VF上でのMSI-X値増加時に無効なメモリ操作が発生する問題が確認された。この脆弱性はCVE-2024-50042として識別され、デフォルト値の16を超えるMSI-X設定時にメモリ破損のリスクが高まる。修正パッチではice_vsi_rebuild()を使用して配列の再割り当てを適切に行うことで対応している。
【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メ...
kernel.orgが2024年10月21日に公開したLinuxカーネルのiceドライバの脆弱性情報によると、VF上でのMSI-X値増加時に無効なメモリ操作が発生する問題が確認された。この脆弱性はCVE-2024-50042として識別され、デフォルト値の16を超えるMSI-X設定時にメモリ破損のリスクが高まる。修正パッチではice_vsi_rebuild()を使用して配列の再割り当てを適切に行うことで対応している。
【CVE-2024-9676】Podman、Buildah、CRI-Oにシンボリックリンク脆弱...
Red HatはPodman、Buildah、CRI-Oにおけるcontainers/storage libraryの重要な脆弱性を公開した。CVE-2024-9676として識別されるこの脆弱性は、シンボリックリンクの検証不備によりDoS攻撃やファイル読み取りのリスクを引き起こす可能性がある。Red Hat Enterprise Linux 9およびOpenShift Container Platformの各バージョンに対するセキュリティアップデートが提供され、早急な適用が推奨される。
【CVE-2024-9676】Podman、Buildah、CRI-Oにシンボリックリンク脆弱...
Red HatはPodman、Buildah、CRI-Oにおけるcontainers/storage libraryの重要な脆弱性を公開した。CVE-2024-9676として識別されるこの脆弱性は、シンボリックリンクの検証不備によりDoS攻撃やファイル読み取りのリスクを引き起こす可能性がある。Red Hat Enterprise Linux 9およびOpenShift Container Platformの各バージョンに対するセキュリティアップデートが提供され、早急な適用が推奨される。
【CVE-2024-9776】ImagePress Image Gallery 1.2.2以前...
WordPressプラグインImagePress Image Galleryのバージョン1.2.2以前に、管理者権限を持つユーザーが任意のスクリプトを実行可能なXSS脆弱性が発見された。この脆弱性はマルチサイトインストールとunfiltered_html無効環境で影響を受け、CVSSスコアは4.4でMediumと評価されている。Wordfenceの報告によると、入力値の無害化とエスケープ処理の不備が原因とされ、早急なアップデートが推奨される。
【CVE-2024-9776】ImagePress Image Gallery 1.2.2以前...
WordPressプラグインImagePress Image Galleryのバージョン1.2.2以前に、管理者権限を持つユーザーが任意のスクリプトを実行可能なXSS脆弱性が発見された。この脆弱性はマルチサイトインストールとunfiltered_html無効環境で影響を受け、CVSSスコアは4.4でMediumと評価されている。Wordfenceの報告によると、入力値の無害化とエスケープ処理の不備が原因とされ、早急なアップデートが推奨される。
【CVE-2024-9756】Order Attachments for WooCommerc...
WordPressプラグインのOrder Attachments for WooCommerceにおいて、認証をバイパスできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-9756】として登録され、バージョン2.0から2.4.1に影響を与える。Subscriber以上の権限を持つユーザーが限定的な任意のファイルアップロードを実行できる可能性があり、早急な対応が求められている。
【CVE-2024-9756】Order Attachments for WooCommerc...
WordPressプラグインのOrder Attachments for WooCommerceにおいて、認証をバイパスできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-9756】として登録され、バージョン2.0から2.4.1に影響を与える。Subscriber以上の権限を持つユーザーが限定的な任意のファイルアップロードを実行できる可能性があり、早急な対応が求められている。
【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...
WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。
【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...
WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。
【CVE-2024-9802】Zoweにconformance validation endp...
Open Mainframe ProjectのZoweで認証バイパスの脆弱性が発見された。バージョン2.11.0から2.17.0未満が影響を受け、認証されていないユーザーがconformance validation endpointを通じてサービスの詳細情報にアクセス可能となる。CVSSスコア5.3のMedium深刻度で、CWE-312に分類される重要な脆弱性として注目される。早急な対応が推奨される。
【CVE-2024-9802】Zoweにconformance validation endp...
Open Mainframe ProjectのZoweで認証バイパスの脆弱性が発見された。バージョン2.11.0から2.17.0未満が影響を受け、認証されていないユーザーがconformance validation endpointを通じてサービスの詳細情報にアクセス可能となる。CVSSスコア5.3のMedium深刻度で、CWE-312に分類される重要な脆弱性として注目される。早急な対応が推奨される。
OpenAIが日本のChatGPTユーザーに消費税課税を通知、2025年1月から10%の消費税...
OpenAIは2024年11月25日、日本のChatGPTユーザー向けに2025年1月1日からの消費税課税開始を通知した。これにより、ChatGPT Plusなどの有料サービスには10%の消費税が加算される。現在月額20ドル(約3000円)のChatGPT Plusは、消費税込みの新料金体系に移行することになる。
OpenAIが日本のChatGPTユーザーに消費税課税を通知、2025年1月から10%の消費税...
OpenAIは2024年11月25日、日本のChatGPTユーザー向けに2025年1月1日からの消費税課税開始を通知した。これにより、ChatGPT Plusなどの有料サービスには10%の消費税が加算される。現在月額20ドル(約3000円)のChatGPT Plusは、消費税込みの新料金体系に移行することになる。
【CVE-2024-11649】Beauty Parlour Management Syste...
1000 Projects社のBeauty Parlour Management System 1.0において、search-appointment.phpファイルに重大な脆弱性が発見された。CVE-2024-11649として識別されるこの脆弱性は、SQL injectionによる攻撃が可能で、CVSS 4.0で6.9のスコアを記録。リモートからの攻撃が可能で、特権や利用者の操作を必要としないため、早急な対策が求められている。
【CVE-2024-11649】Beauty Parlour Management Syste...
1000 Projects社のBeauty Parlour Management System 1.0において、search-appointment.phpファイルに重大な脆弱性が発見された。CVE-2024-11649として識別されるこの脆弱性は、SQL injectionによる攻撃が可能で、CVSS 4.0で6.9のスコアを記録。リモートからの攻撃が可能で、特権や利用者の操作を必要としないため、早急な対策が求められている。
【CVE-2024-11557】IrfanView 4.67.0.0にDXFファイル解析の脆弱...
Zero Day Initiativeは2024年11月22日、IrfanViewのDXFファイル解析機能においてメモリ破損によるリモートコード実行の脆弱性を発見したことを公開した。CVE-2024-11557として識別されたこの脆弱性は、CVSS v3.0で7.8(HIGH)と評価され、ユーザー提供データの不適切な検証により、攻撃者が任意のコードを実行できる状態となっている。
【CVE-2024-11557】IrfanView 4.67.0.0にDXFファイル解析の脆弱...
Zero Day Initiativeは2024年11月22日、IrfanViewのDXFファイル解析機能においてメモリ破損によるリモートコード実行の脆弱性を発見したことを公開した。CVE-2024-11557として識別されたこの脆弱性は、CVSS v3.0で7.8(HIGH)と評価され、ユーザー提供データの不適切な検証により、攻撃者が任意のコードを実行できる状態となっている。