Tech Insights

【CVE-2024-8499】Checkout Field Editor for WooCommerceに反映型XSS脆弱性、ユーザー情報漏洩のリスクに

【CVE-2024-8499】Checkout Field Editor for WooCom...

WordPressプラグインCheckout Field Editor for WooCommerceのバージョン2.0.3以前に反映型クロスサイトスクリプティングの脆弱性が発見された。render_review_request_notice関数での入力検証の不備が原因で、認証不要で悪意のあるスクリプトを注入可能。CVSSスコア4.7の中程度の深刻度だが、ECサイトのユーザー情報漏洩のリスクがある。

【CVE-2024-8499】Checkout Field Editor for WooCom...

WordPressプラグインCheckout Field Editor for WooCommerceのバージョン2.0.3以前に反映型クロスサイトスクリプティングの脆弱性が発見された。render_review_request_notice関数での入力検証の不備が原因で、認証不要で悪意のあるスクリプトを注入可能。CVSSスコア4.7の中程度の深刻度だが、ECサイトのユーザー情報漏洩のリスクがある。

【CVE-2024-35522】Netgear EX3700 AC750に深刻な認証済みコマンドインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-35522】Netgear EX3700 AC750に深刻な認証済みコマン...

Netgear EX3700 AC750 WiFi Range Extender Essentials Editionにおいて、operating_mode.cgiのap_modeパラメータを介した認証済みコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4のHigh評価で、機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、ファームウェアの更新による対応が必要となっている。

【CVE-2024-35522】Netgear EX3700 AC750に深刻な認証済みコマン...

Netgear EX3700 AC750 WiFi Range Extender Essentials Editionにおいて、operating_mode.cgiのap_modeパラメータを介した認証済みコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4のHigh評価で、機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、ファームウェアの更新による対応が必要となっている。

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトとSSRF攻撃のリスクが浮上

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...

Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...

Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。

【CVE-2024-47826】eLabFTW 5.1.5未満でHTML注入の脆弱性が発見、研究データの保護に向けた対策が急務に

【CVE-2024-47826】eLabFTW 5.1.5未満でHTML注入の脆弱性が発見、研...

研究室向け電子実験ノートeLabFTWのバージョン5.1.5未満において、実験・データベース・検索ページでHTML注入が可能となる脆弱性が発見された。CVSSスコアは3.5(低)と評価されているものの、研究データの重要性から早急な対応が必要とされる。この問題はバージョン5.1.5へのアップデートで解決可能だが、今後も継続的なセキュリティ対策の強化が求められる。

【CVE-2024-47826】eLabFTW 5.1.5未満でHTML注入の脆弱性が発見、研...

研究室向け電子実験ノートeLabFTWのバージョン5.1.5未満において、実験・データベース・検索ページでHTML注入が可能となる脆弱性が発見された。CVSSスコアは3.5(低)と評価されているものの、研究データの重要性から早急な対応が必要とされる。この問題はバージョン5.1.5へのアップデートで解決可能だが、今後も継続的なセキュリティ対策の強化が求められる。

【CVE-2024-9486】Kubernetes Image Builder v0.1.37以前にデフォルト認証情報の脆弱性、root権限取得のリスクで緊急アップデートを推奨

【CVE-2024-9486】Kubernetes Image Builder v0.1.37...

Kubernetes Image Builder v0.1.37以前のバージョンで、Proxmoxプロバイダーを使用したVMイメージにデフォルト認証情報が残存する重大な脆弱性が発見された。CVSSスコア9.8のCRITICALレベルで、root権限でのアクセスが可能となるリスクがある。v0.1.38で修正されており、影響を受けるシステムの緊急アップデートが推奨される。

【CVE-2024-9486】Kubernetes Image Builder v0.1.37...

Kubernetes Image Builder v0.1.37以前のバージョンで、Proxmoxプロバイダーを使用したVMイメージにデフォルト認証情報が残存する重大な脆弱性が発見された。CVSSスコア9.8のCRITICALレベルで、root権限でのアクセスが可能となるリスクがある。v0.1.38で修正されており、影響を受けるシステムの緊急アップデートが推奨される。

【CVE-2024-45085】IBM WebSphere Application Server 8.5にDoS脆弱性、特定設定下でサービス停止の可能性

【CVE-2024-45085】IBM WebSphere Application Serve...

IBMは2024年10月15日、WebSphere Application Server 8.5において特定の設定下でサービス拒否攻撃が可能となる脆弱性を公開した。CVSSスコア5.9の中程度の深刻度と評価され、リモートからの攻撃により予期せぬエラーを引き起こしサービスの停止につながる可能性がある。既知の攻撃は確認されていないものの、システム管理者は適切なパッチ適用などの対策が必要となる。

【CVE-2024-45085】IBM WebSphere Application Serve...

IBMは2024年10月15日、WebSphere Application Server 8.5において特定の設定下でサービス拒否攻撃が可能となる脆弱性を公開した。CVSSスコア5.9の中程度の深刻度と評価され、リモートからの攻撃により予期せぬエラーを引き起こしサービスの停止につながる可能性がある。既知の攻撃は確認されていないものの、システム管理者は適切なパッチ適用などの対策が必要となる。

【CVE-2024-49340】IBM Watson Studio Local 1.2.3でCSRF脆弱性、不正操作実行のリスクに対応急ぐ

【CVE-2024-49340】IBM Watson Studio Local 1.2.3でC...

IBMはWatson Studio Local 1.2.3においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見したと発表した。CVE-2024-49340として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度であり、信頼されたユーザーから送信された不正な操作要求が実行される可能性がある。影響を受けるのはバージョン1.2.3のみで、早急な修正パッチの適用が推奨されている。

【CVE-2024-49340】IBM Watson Studio Local 1.2.3でC...

IBMはWatson Studio Local 1.2.3においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見したと発表した。CVE-2024-49340として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度であり、信頼されたユーザーから送信された不正な操作要求が実行される可能性がある。影響を受けるのはバージョン1.2.3のみで、早急な修正パッチの適用が推奨されている。

【CVE-2024-38139】Microsoft Dataverseに特権昇格の脆弱性、認証システムの不備により高リスクの脅威に

【CVE-2024-38139】Microsoft Dataverseに特権昇格の脆弱性、認証...

Microsoftは2024年10月15日、Microsoft Dataverseに特権昇格の脆弱性が存在することを公開した。CVE-2024-38139として識別されるこの脆弱性は、認証の不備により認可された攻撃者がネットワークを介して特権を昇格させることを可能にする。CVSSスコアは8.7と高く、機密性と完全性への影響が特に懸念される。

【CVE-2024-38139】Microsoft Dataverseに特権昇格の脆弱性、認証...

Microsoftは2024年10月15日、Microsoft Dataverseに特権昇格の脆弱性が存在することを公開した。CVE-2024-38139として識別されるこの脆弱性は、認証の不備により認可された攻撃者がネットワークを介して特権を昇格させることを可能にする。CVSSスコアは8.7と高く、機密性と完全性への影響が特に懸念される。

【CVE-2024-38190】Microsoft Power Platformに重大な認証バイパスの脆弱性、情報漏洩のリスクが浮上

【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...

MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。

【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...

MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。

【CVE-2024-38204】Microsoft Azure FunctionsでImagine Cup Siteの情報漏洩脆弱性が発見、権限昇格の危険性が浮上

【CVE-2024-38204】Microsoft Azure FunctionsでImagi...

MicrosoftはImagine Cup Siteにおいて深刻な情報漏洩の脆弱性を発見した。CVE-2024-38204として識別されたこの脆弱性は、認可された攻撃者がネットワーク経由で権限を昇格させることを可能にする。CVSSスコア7.5を記録し、攻撃の自動化も可能なため、早急な対策が求められている。

【CVE-2024-38204】Microsoft Azure FunctionsでImagi...

MicrosoftはImagine Cup Siteにおいて深刻な情報漏洩の脆弱性を発見した。CVE-2024-38204として識別されたこの脆弱性は、認可された攻撃者がネットワーク経由で権限を昇格させることを可能にする。CVSSスコア7.5を記録し、攻撃の自動化も可能なため、早急な対策が求められている。

一般社団法人日本経営協会がM&A実務オンラインセミナーを開催、専門弁護士による実践的な知識習得の機会を提供

一般社団法人日本経営協会がM&A実務オンラインセミナーを開催、専門弁護士による実践的な知識習得...

一般社団法人日本経営協会は2025年2月10日、M&A実務に関するオンラインセミナーを開催する予定だ。五大法律事務所出身の専門弁護士による3時間半の講義では、M&A取引の基本からクロスボーダー案件まで幅広い内容を解説する。見逃し配信も用意され、より多くの受講者がM&A実務の知識を効率的に習得できる機会を提供するだろう。

一般社団法人日本経営協会がM&A実務オンラインセミナーを開催、専門弁護士による実践的な知識習得...

一般社団法人日本経営協会は2025年2月10日、M&A実務に関するオンラインセミナーを開催する予定だ。五大法律事務所出身の専門弁護士による3時間半の講義では、M&A取引の基本からクロスボーダー案件まで幅広い内容を解説する。見逃し配信も用意され、より多くの受講者がM&A実務の知識を効率的に習得できる機会を提供するだろう。

ピープルドットがAI・データサイエンス分野でスタートアップ支援プラットフォームを開始、日本のシリコンバレー創出を目指す取り組みを展開

ピープルドットがAI・データサイエンス分野でスタートアップ支援プラットフォームを開始、日本のシ...

株式会社ピープルドットが、AI・データサイエンス分野における日本のシリコンバレー創出を目指し、新プラットフォーム「AI & データサイエンス・アントレプレナー・ステーション」を開始。データサイエンス・ビジネススクールdatamixの卒業生コミュニティを活用し、集合知による新規事業創出を支援する。活動費やMVP制作費の提供など、具体的な支援体制も整備。

ピープルドットがAI・データサイエンス分野でスタートアップ支援プラットフォームを開始、日本のシ...

株式会社ピープルドットが、AI・データサイエンス分野における日本のシリコンバレー創出を目指し、新プラットフォーム「AI & データサイエンス・アントレプレナー・ステーション」を開始。データサイエンス・ビジネススクールdatamixの卒業生コミュニティを活用し、集合知による新規事業創出を支援する。活動費やMVP制作費の提供など、具体的な支援体制も整備。

わいんびとがApple PayとGoogle Payの提供を開始、PayPayと楽天ペイも順次導入でモバイル決済サービスが充実

わいんびとがApple PayとGoogle Payの提供を開始、PayPayと楽天ペイも順次...

日本ワイン専門のモール型ECプラットフォーム「わいんびと」が、Apple PayとGoogle Payによるモバイル決済サービスの提供を2024年11月12日より開始。さらにPayPayや楽天ペイなどの人気モバイル決済サービスも順次導入予定で、安全性と利便性を兼ね備えた購買体験の提供を目指す。高度なセキュリティ機能により決済の安全性が向上し、決済手続きの簡素化も実現。

わいんびとがApple PayとGoogle Payの提供を開始、PayPayと楽天ペイも順次...

日本ワイン専門のモール型ECプラットフォーム「わいんびと」が、Apple PayとGoogle Payによるモバイル決済サービスの提供を2024年11月12日より開始。さらにPayPayや楽天ペイなどの人気モバイル決済サービスも順次導入予定で、安全性と利便性を兼ね備えた購買体験の提供を目指す。高度なセキュリティ機能により決済の安全性が向上し、決済手続きの簡素化も実現。

INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万円でRustが最高額を記録

INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万...

INSTANTROOM株式会社が運営するフリーランスボードが2024年11月の市場動向を発表。17万件以上の案件を分析した結果、フリーランスエンジニアの月額平均単価は72.1万円で、最高単価は320万円を記録。開発言語別ではRustが82.9万円で最高額となり、フレームワークではRSpecが86.4万円を記録。リモートワーク比率は87.3%に達し、柔軟な働き方が浸透している。

INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万...

INSTANTROOM株式会社が運営するフリーランスボードが2024年11月の市場動向を発表。17万件以上の案件を分析した結果、フリーランスエンジニアの月額平均単価は72.1万円で、最高単価は320万円を記録。開発言語別ではRustが82.9万円で最高額となり、フレームワークではRSpecが86.4万円を記録。リモートワーク比率は87.3%に達し、柔軟な働き方が浸透している。

日立とレジリアがTWX-21サプライチェーンプラットフォームで連携、リスク可視化とデータドリブンな調達管理を実現

日立とレジリアがTWX-21サプライチェーンプラットフォームで連携、リスク可視化とデータドリブ...

日立製作所とResilireは2024年11月12日よりTWX-21サプライチェーンプラットフォームでの連携を開始した。約30,000社の調達パートナーと約85,000社の企業間取引データを活用し、2次サプライヤー以降まで含めたサプライチェーン構造の可視化を実現する。価格推移分析による適正コストでの調達やサプライヤーリスク分析に基づく分散購買が可能になり、データドリブンな戦略的調達の実現が期待できる。

日立とレジリアがTWX-21サプライチェーンプラットフォームで連携、リスク可視化とデータドリブ...

日立製作所とResilireは2024年11月12日よりTWX-21サプライチェーンプラットフォームでの連携を開始した。約30,000社の調達パートナーと約85,000社の企業間取引データを活用し、2次サプライヤー以降まで含めたサプライチェーン構造の可視化を実現する。価格推移分析による適正コストでの調達やサプライヤーリスク分析に基づく分散購買が可能になり、データドリブンな戦略的調達の実現が期待できる。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロスサイトスクリプティング脆弱性が発見、修正版のアップデートを推奨

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱性、バージョン1.4.20で修正済み

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...

WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...

WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。

【CVE-2024-50448】YITH WooCommerce Product Add-Ons 4.14.1にXSS脆弱性、即時アップデートが必要に

【CVE-2024-50448】YITH WooCommerce Product Add-On...

YITH WooCommerce Product Add-Onsのバージョン4.14.1以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1の高リスクと評価されており、攻撃者はネットワークを介して特権なしで攻撃を実行可能。YITHは修正パッチを含むバージョン4.14.2をリリースしており、影響を受ける可能性のあるユーザーには直ちにアップデートが推奨される。

【CVE-2024-50448】YITH WooCommerce Product Add-On...

YITH WooCommerce Product Add-Onsのバージョン4.14.1以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1の高リスクと評価されており、攻撃者はネットワークを介して特権なしで攻撃を実行可能。YITHは修正パッチを含むバージョン4.14.2をリリースしており、影響を受ける可能性のあるユーザーには直ちにアップデートが推奨される。

【CVE-2024-45477】Apache NiFiのParameter Context機能に深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクに対応急ぐ

【CVE-2024-45477】Apache NiFiのParameter Context機能...

Apache Software FoundationはApache NiFi 1.10.0から1.27.0および2.0.0-M1から2.0.0-M3において、Parameter Contextの設定に関する重大な脆弱性を公開した。認証済みユーザーによる任意のJavaScriptコード実行が可能となるクロスサイトスクリプティングの脆弱性が確認され、Apache NiFi 1.28.0または2.0.0-M4以降へのアップグレードが推奨されている。

【CVE-2024-45477】Apache NiFiのParameter Context機能...

Apache Software FoundationはApache NiFi 1.10.0から1.27.0および2.0.0-M1から2.0.0-M3において、Parameter Contextの設定に関する重大な脆弱性を公開した。認証済みユーザーによる任意のJavaScriptコード実行が可能となるクロスサイトスクリプティングの脆弱性が確認され、Apache NiFi 1.28.0または2.0.0-M4以降へのアップグレードが推奨されている。

【CVE-2024-44038】WordPress用Sunshine Photo Cart 3.2.9にアクセス制御の脆弱性、早急なアップデートが必要に

【CVE-2024-44038】WordPress用Sunshine Photo Cart 3...

Patchstack OÜはWordPress用プラグインSunshine Photo Cartのバージョン3.2.9以前に存在するアクセス制御の脆弱性を報告した。CVE-2024-44038として識別されるこの脆弱性は、認証機能の不備により保護されたリソースへの不正アクセスを許してしまう可能性がある。CVSSスコアは5.3(MEDIUM)と評価され、バージョン3.2.10への更新で修正されている。

【CVE-2024-44038】WordPress用Sunshine Photo Cart 3...

Patchstack OÜはWordPress用プラグインSunshine Photo Cartのバージョン3.2.9以前に存在するアクセス制御の脆弱性を報告した。CVE-2024-44038として識別されるこの脆弱性は、認証機能の不備により保護されたリソースへの不正アクセスを許してしまう可能性がある。CVSSスコアは5.3(MEDIUM)と評価され、バージョン3.2.10への更新で修正されている。

【CVE-2024-43956】WordPressプラグインMemberPress 1.11.34に認証の脆弱性、アクセス制御機能の不備で深刻な影響の可能性

【CVE-2024-43956】WordPressプラグインMemberPress 1.11....

Patchstack OÜがWordPressプラグインMemberPress 1.11.34以前のバージョンに認証の脆弱性を発見。CVSSスコア6.5のミディアム評価で、特別な権限なしでネットワーク経由の攻撃が可能。アクセス制御機能の不備により、本来制限すべき機能への不正アクセスのリスクが指摘されている。Caseproof, LLCはバージョン1.11.35で修正を実施。

【CVE-2024-43956】WordPressプラグインMemberPress 1.11....

Patchstack OÜがWordPressプラグインMemberPress 1.11.34以前のバージョンに認証の脆弱性を発見。CVSSスコア6.5のミディアム評価で、特別な権限なしでネットワーク経由の攻撃が可能。アクセス制御機能の不備により、本来制限すべき機能への不正アクセスのリスクが指摘されている。Caseproof, LLCはバージョン1.11.35で修正を実施。

【CVE-2024-44006】WooCommerce Multilingual & Multicurrency 5.3.7で認証機能の脆弱性に対応、セキュリティ強化へ

【CVE-2024-44006】WooCommerce Multilingual & Mult...

OnTheGoSystemsが開発するWooCommerce Multilingual & Multicurrencyプラグインにおいて、認証に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-44006】として識別され、CVSSスコア4.3のミディアムレベルと評価されている。バージョン5.3.7で修正パッチが適用され、全てのユーザーに対して最新バージョンへのアップデートが推奨される。

【CVE-2024-44006】WooCommerce Multilingual & Mult...

OnTheGoSystemsが開発するWooCommerce Multilingual & Multicurrencyプラグインにおいて、認証に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-44006】として識別され、CVSSスコア4.3のミディアムレベルと評価されている。バージョン5.3.7で修正パッチが適用され、全てのユーザーに対して最新バージョンへのアップデートが推奨される。

東芝デジタルソリューションズがSATLYS映像解析AIのNVIDIA Jetson対応版を提供開始、エッジデバイスでの高度な映像解析が可能に

東芝デジタルソリューションズがSATLYS映像解析AIのNVIDIA Jetson対応版を提供...

東芝デジタルソリューションズは映像解析の学習済みAIモデル「SATLYS映像解析AI」において、NVIDIA Jetson対応版の提供を開始した。人物/物体検出・追跡、カメラ間追跡、顔認識、人物属性推定の4種類のAIモデルを提供し、エッジデバイス内での高度な映像解析処理を実現。リアルタイム性やプライバシーへの配慮が必要なアプリケーション開発を迅速かつ容易に行うことが可能になる。

東芝デジタルソリューションズがSATLYS映像解析AIのNVIDIA Jetson対応版を提供...

東芝デジタルソリューションズは映像解析の学習済みAIモデル「SATLYS映像解析AI」において、NVIDIA Jetson対応版の提供を開始した。人物/物体検出・追跡、カメラ間追跡、顔認識、人物属性推定の4種類のAIモデルを提供し、エッジデバイス内での高度な映像解析処理を実現。リアルタイム性やプライバシーへの配慮が必要なアプリケーション開発を迅速かつ容易に行うことが可能になる。

TwoFiveがなりすましメール対策実態調査を発表、日経225企業のDMARC導入率が92パーセントまで向上し対策が加速

TwoFiveがなりすましメール対策実態調査を発表、日経225企業のDMARC導入率が92パー...

株式会社TwoFiveが日経225企業のなりすましメール対策実態調査結果を発表。DMARC導入率は92.0%で前年比24.0ポイント増、強制力のあるポリシー適用組織も50.7%まで上昇。受信側DMARCサービスは664件と倍増し、送受信双方での対策が進展。意図しないメール送信の監視と処理状況の把握に対する意識の高まりが顕著となった。

TwoFiveがなりすましメール対策実態調査を発表、日経225企業のDMARC導入率が92パー...

株式会社TwoFiveが日経225企業のなりすましメール対策実態調査結果を発表。DMARC導入率は92.0%で前年比24.0ポイント増、強制力のあるポリシー適用組織も50.7%まで上昇。受信側DMARCサービスは664件と倍増し、送受信双方での対策が進展。意図しないメール送信の監視と処理状況の把握に対する意識の高まりが顕著となった。

【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆弱性、アクセス制御の不備で情報漏洩のリスクに

【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆...

CozyThemes社のWordPressテーマFotaWP 1.4.1以前のバージョンにおいて権限管理の脆弱性が発見された。CVE-2024-43980として識別されたこの問題は、アクセス制御の設定が不適切であり、CVSSスコア6.5(MEDIUM)と評価されている。Patchstack Allianceのメンバーによって発見され、バージョン1.4.2で修正された本脆弱性は、不正アクセスのリスクを抱えている。

【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆...

CozyThemes社のWordPressテーマFotaWP 1.4.1以前のバージョンにおいて権限管理の脆弱性が発見された。CVE-2024-43980として識別されたこの問題は、アクセス制御の設定が不適切であり、CVSSスコア6.5(MEDIUM)と評価されている。Patchstack Allianceのメンバーによって発見され、バージョン1.4.2で修正された本脆弱性は、不正アクセスのリスクを抱えている。

【CVE-2024-51557】Wave 2.0にOTPレート制限の欠如による脆弱性、認証済み攻撃者によるOTPボミングのリスクが深刻化

【CVE-2024-51557】Wave 2.0にOTPレート制限の欠如による脆弱性、認証済み...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントにOTP要求のレート制限が実装されていない脆弱性が発見された。CVE-2024-51557として識別されるこの脆弱性は、認証された攻撃者による大量のOTP要求送信を可能にし、標的システムへのOTPボミングやフラッディング攻撃のリスクをもたらす。Wave 2.0のバージョン1.1.7未満が影響を受け、CVSSスコア7.1の高リスクと評価されている。

【CVE-2024-51557】Wave 2.0にOTPレート制限の欠如による脆弱性、認証済み...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントにOTP要求のレート制限が実装されていない脆弱性が発見された。CVE-2024-51557として識別されるこの脆弱性は、認証された攻撃者による大量のOTP要求送信を可能にし、標的システムへのOTPボミングやフラッディング攻撃のリスクをもたらす。Wave 2.0のバージョン1.1.7未満が影響を受け、CVSSスコア7.1の高リスクと評価されている。

【CVE-2024-10761】Umbraco CMS 12.3.6にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2024-10761】Umbraco CMS 12.3.6にクロスサイトスクリプティ...

VulDBは2024年11月4日、Umbraco CMS 12.3.6のダッシュボードにクロスサイトスクリプティングの脆弱性が存在することを公開した。脆弱性は/Umbraco/preview/frameのidパラメータに関連し、culture引数の操作により攻撃が可能となる。CVSSスコアは5.3(中程度)で、リモートからの攻撃が可能であり、既に詳細が公開されているため早急な対応が求められる。

【CVE-2024-10761】Umbraco CMS 12.3.6にクロスサイトスクリプティ...

VulDBは2024年11月4日、Umbraco CMS 12.3.6のダッシュボードにクロスサイトスクリプティングの脆弱性が存在することを公開した。脆弱性は/Umbraco/preview/frameのidパラメータに関連し、culture引数の操作により攻撃が可能となる。CVSSスコアは5.3(中程度)で、リモートからの攻撃が可能であり、既に詳細が公開されているため早急な対応が求められる。

【CVE-2024-51661】WordPressプラグインMedia Library Assistant 3.19にRCE脆弱性が発見、即時アップデートの必要性が浮上

【CVE-2024-51661】WordPressプラグインMedia Library Ass...

WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。

【CVE-2024-51661】WordPressプラグインMedia Library Ass...

WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。

【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの不備でアカウント乗っ取りの危険性が浮上

【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの...

Brokerage Technology SolutionsのWave 2.0において、APIベースのログインシステムに重大な脆弱性が発見された。バージョン1.1.7未満のシステムで認証失敗の試行回数に制限がないため、ブルートフォース攻撃によってOTP、MPIN、パスワードが不正取得される可能性がある。CVSS v4.0で9.3のクリティカル評価を受け、早急な対策が必要とされている。

【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの...

Brokerage Technology SolutionsのWave 2.0において、APIベースのログインシステムに重大な脆弱性が発見された。バージョン1.1.7未満のシステムで認証失敗の試行回数に制限がないため、ブルートフォース攻撃によってOTP、MPIN、パスワードが不正取得される可能性がある。CVSS v4.0で9.3のクリティカル評価を受け、早急な対策が必要とされている。

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修正、メモリ管理機能の強化へ

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...

Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...

Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。