Tech Insights

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジェクションの脆弱性、リモート攻撃が可能な状態に

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性、Contributor権限での悪用が可能に

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱性、複数製品のアップデートで対応完了

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱...

F5 NetworksはNGINX OpenID Connect実装において、ログイン時のnonceチェックが行われないセッション固定の脆弱性を公開した。この問題により攻撃者は被害者のセッションを制御下のアカウントに固定可能となる。NGINX Instance Manager、NGINX API Connectivity Manager、NGINX Ingress Controllerなど複数製品への影響が判明し、各製品のアップデートで対応を完了している。

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱...

F5 NetworksはNGINX OpenID Connect実装において、ログイン時のnonceチェックが行われないセッション固定の脆弱性を公開した。この問題により攻撃者は被害者のセッションを制御下のアカウントに固定可能となる。NGINX Instance Manager、NGINX API Connectivity Manager、NGINX Ingress Controllerなど複数製品への影響が判明し、各製品のアップデートで対応を完了している。

【CVE-2024-10020】Heateor Social Login WordPress 1.1.35で認証バイパスの脆弱性が発見、管理者アカウントも危険に

【CVE-2024-10020】Heateor Social Login WordPress ...

WordPressプラグインのHeateor Social Login WordPress 1.1.35以前のバージョンで認証バイパスの脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者が任意のユーザーとしてログイン可能。管理者アカウントもソーシャルログイン認証が許可されている場合は危険にさらされる。早急なアップデートと認証設定の見直しが推奨される。

【CVE-2024-10020】Heateor Social Login WordPress ...

WordPressプラグインのHeateor Social Login WordPress 1.1.35以前のバージョンで認証バイパスの脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者が任意のユーザーとしてログイン可能。管理者アカウントもソーシャルログイン認証が許可されている場合は危険にさらされる。早急なアップデートと認証設定の見直しが推奨される。

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻な脆弱性、任意コード実行の危険性が浮上

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻...

Adobeが3DペイントソフトウェアSubstance3D - Painter 10.0.1以前のバージョンにOut-of-bounds Write脆弱性を確認。CVSSスコア7.8(High)で、悪意あるファイルを開くことで任意コードが実行される可能性。機密性・完全性・可用性すべてで高レベルの影響。CISA-ADPも確認し、早急な対応を推奨している。

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻...

Adobeが3DペイントソフトウェアSubstance3D - Painter 10.0.1以前のバージョンにOut-of-bounds Write脆弱性を確認。CVSSスコア7.8(High)で、悪意あるファイルを開くことで任意コードが実行される可能性。機密性・完全性・可用性すべてで高レベルの影響。CISA-ADPも確認し、早急な対応を推奨している。

【CVE-2024-10329】Ultimate Bootstrap Elements for Elementor 1.4.6に機密情報漏洩の脆弱性、認証済みユーザーからの攻撃に注意

【CVE-2024-10329】Ultimate Bootstrap Elements for...

WordPressプラグインUltimate Bootstrap Elements for Elementor 1.4.6以前のバージョンに機密情報漏洩の脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが非公開テンプレートの内容を閲覧可能な状態となっている。CVSS v3.1で4.3(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-10329】Ultimate Bootstrap Elements for...

WordPressプラグインUltimate Bootstrap Elements for Elementor 1.4.6以前のバージョンに機密情報漏洩の脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが非公開テンプレートの内容を閲覧可能な状態となっている。CVSS v3.1で4.3(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保存される脆弱性が発覚、物理アクセスによる情報漏洩のリスクに

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保...

TP-Link Tapo H100 IoT Smart Hubにおいて、Wi-Fi認証情報が平文でファームウェアに保存される重大な脆弱性が発見された。CERT-Inが公開したこの脆弱性は物理的なアクセス権を持つ攻撃者によって悪用される可能性があり、CVSSスコア4.4(MEDIUM)と評価されている。影響を受けるバージョンは1.5.22未満で、早急なアップデートが推奨される。

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保...

TP-Link Tapo H100 IoT Smart Hubにおいて、Wi-Fi認証情報が平文でファームウェアに保存される重大な脆弱性が発見された。CERT-Inが公開したこの脆弱性は物理的なアクセス権を持つ攻撃者によって悪用される可能性があり、CVSSスコア4.4(MEDIUM)と評価されている。影響を受けるバージョンは1.5.22未満で、早急なアップデートが推奨される。

【CVE-2024-38408】QualcommのBTコントローラに重大な暗号化の脆弱性、Snapdragonプラットフォーム全般に影響

【CVE-2024-38408】QualcommのBTコントローラに重大な暗号化の脆弱性、Sn...

Qualcommは2024年11月4日、BTコントローラにおける重大な暗号化の脆弱性を公開した。CVE-2024-38408として報告されたこの問題は、予期しない状況下でのLMP開始暗号化コマンド処理に関する脆弱性で、CVSS v3.1で8.2のスコアを記録。Snapdragon Auto、Mobile、Compute、Connectivityなど、広範な製品群に影響を及ぼすことが判明している。

【CVE-2024-38408】QualcommのBTコントローラに重大な暗号化の脆弱性、Sn...

Qualcommは2024年11月4日、BTコントローラにおける重大な暗号化の脆弱性を公開した。CVE-2024-38408として報告されたこの問題は、予期しない状況下でのLMP開始暗号化コマンド処理に関する脆弱性で、CVSS v3.1で8.2のスコアを記録。Snapdragon Auto、Mobile、Compute、Connectivityなど、広範な製品群に影響を及ぼすことが判明している。

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃者による情報漏洩のリスクが判明

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃...

Wave 2.0において、APIレスポンスの脆弱な暗号化を悪用できる重大な脆弱性が発見された。CVE-2024-51556として識別されるこの脆弱性は、認証済みの攻撃者がAPIリクエストURLのuser_idパラメータを操作することで、他のユーザーの機密情報に不正にアクセスできる問題がある。CVSSスコア7.1のHigh評価で、バージョン1.1.7未満が影響を受ける。

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃...

Wave 2.0において、APIレスポンスの脆弱な暗号化を悪用できる重大な脆弱性が発見された。CVE-2024-51556として識別されるこの脆弱性は、認証済みの攻撃者がAPIリクエストURLのuser_idパラメータを操作することで、他のユーザーの機密情報に不正にアクセスできる問題がある。CVSSスコア7.1のHigh評価で、バージョン1.1.7未満が影響を受ける。

【CVE-2024-10035】BG-TEK CoslatV3にコードインジェクションの脆弱性、サポート終了製品のため早急な対応が必要に

【CVE-2024-10035】BG-TEK CoslatV3にコードインジェクションの脆弱性...

TR-CERTはBG-TEK Informatics Security TechnologiesのCoslatV3に深刻なコードインジェクションの脆弱性を発見した。CVE-2024-10035として識別されるこの脆弱性は、バージョン0から3.1069までのすべてのバージョンに影響を及ぼし、CVSS v4.0で深刻度9.2のクリティカルと評価されている。すでにサポートが終了している製品であるため、ユーザーには早急な対応が求められる。

【CVE-2024-10035】BG-TEK CoslatV3にコードインジェクションの脆弱性...

TR-CERTはBG-TEK Informatics Security TechnologiesのCoslatV3に深刻なコードインジェクションの脆弱性を発見した。CVE-2024-10035として識別されるこの脆弱性は、バージョン0から3.1069までのすべてのバージョンに影響を及ぼし、CVSS v4.0で深刻度9.2のクリティカルと評価されている。すでにサポートが終了している製品であるため、ユーザーには早急な対応が求められる。

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻撃者による機密情報漏洩のリスクに

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントでの不適切な例外処理に起因する重大な脆弱性が発見された。CVE-2024-51560として識別されるこの脆弱性は、認証済みの遠隔攻撃者がuserIdパラメータに不正な入力を行うことで、システム上の機密情報を含むエラーメッセージを取得可能。CVSS 4.0で7.1のHighスコアを記録し、早急な対応が必要とされている。

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントでの不適切な例外処理に起因する重大な脆弱性が発見された。CVE-2024-51560として識別されるこの脆弱性は、認証済みの遠隔攻撃者がuserIdパラメータに不正な入力を行うことで、システム上の機密情報を含むエラーメッセージを取得可能。CVSS 4.0で7.1のHighスコアを記録し、早急な対応が必要とされている。

【CVE-2024-43937】WP Crowdfunding 2.1.10に認証不備の脆弱性、設定変更機能に深刻な影響

【CVE-2024-43937】WP Crowdfunding 2.1.10に認証不備の脆弱性...

WordPressプラグインWP Crowdfundingにおいて、バージョン2.1.10以前に認証に関する重大な脆弱性が発見された。CVE-2024-43937として識別されるこの脆弱性は、CVSSスコア6.4(MEDIUM)と評価され、低権限ユーザーによる設定変更を可能にする深刻な問題を引き起こしている。Themeumは対策として認証機能を強化したバージョン2.1.11をリリースしている。

【CVE-2024-43937】WP Crowdfunding 2.1.10に認証不備の脆弱性...

WordPressプラグインWP Crowdfundingにおいて、バージョン2.1.10以前に認証に関する重大な脆弱性が発見された。CVE-2024-43937として識別されるこの脆弱性は、CVSSスコア6.4(MEDIUM)と評価され、低権限ユーザーによる設定変更を可能にする深刻な問題を引き起こしている。Themeumは対策として認証機能を強化したバージョン2.1.11をリリースしている。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3.70に認証の脆弱性、アクセス制御の設定不備により権限昇格の可能性

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証の脆弱性、アクセス制御の設定ミスによるセキュリティリスクが発生

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な認証脆弱性が発見、中程度の深刻度でセキュリティリスクに警鐘

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な...

Patchstack OÜがWordPressプラグイン「WP Free SSL」のバージョン1.2.6以前に認証の脆弱性が存在することを報告した。CVE-2024-44020として識別されるこの脆弱性は、CWE-862に分類される認可制御の不備が原因で、CVSSスコア4.3の中程度の深刻度を記録している。SSL証明書の管理やHTTPS強制設定に関する機能に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な...

Patchstack OÜがWordPressプラグイン「WP Free SSL」のバージョン1.2.6以前に認証の脆弱性が存在することを報告した。CVE-2024-44020として識別されるこの脆弱性は、CWE-862に分類される認可制御の不備が原因で、CVSSスコア4.3の中程度の深刻度を記録している。SSL証明書の管理やHTTPS強制設定に関する機能に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイパスの脆弱性が発見、アクセス制御機能の強化版をリリース

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイ...

WebsiteinWP社が提供するWordPressテーマBlogpoet 1.0.3およびそれ以前のバージョンにおいて認証バイパスの脆弱性が発見された。CVE-2024-43998として識別されるこの脆弱性は、CVSSv3.1で6.5のミディアムレベルと評価されており、アクセス制御の欠如により正規の認証プロセスをバイパスされる可能性がある。対策としてバージョン1.0.4への更新が推奨される。

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイ...

WebsiteinWP社が提供するWordPressテーマBlogpoet 1.0.3およびそれ以前のバージョンにおいて認証バイパスの脆弱性が発見された。CVE-2024-43998として識別されるこの脆弱性は、CVSSv3.1で6.5のミディアムレベルと評価されており、アクセス制御の欠如により正規の認証プロセスをバイパスされる可能性がある。対策としてバージョン1.0.4への更新が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10にアクセス制御の脆弱性、認可の欠如による影響に注意

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアクセス制御の脆弱性、情報漏洩のリスクに対応急ぐ

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-8934】BeckhoffのTwinCAT Package Managerにコマンドインジェクションの脆弱性、管理者権限で悪用の可能性

【CVE-2024-8934】BeckhoffのTwinCAT Package Manager...

BeckhoffのTwinCAT Package Managerにおいて、管理者権限を持つローカルユーザーがUIを通じて特別に細工された値を入力することで、任意のOSコマンドが実行可能となる脆弱性が発見された。CVE-2024-8934として識別されるこの脆弱性は、バージョン1.0.603.0未満のすべてのバージョンに影響を及ぼし、CVSSスコア6.5のミディアムレベルと評価されている。

【CVE-2024-8934】BeckhoffのTwinCAT Package Manager...

BeckhoffのTwinCAT Package Managerにおいて、管理者権限を持つローカルユーザーがUIを通じて特別に細工された値を入力することで、任意のOSコマンドが実行可能となる脆弱性が発見された。CVE-2024-8934として識別されるこの脆弱性は、バージョン1.0.603.0未満のすべてのバージョンに影響を及ぼし、CVSSスコア6.5のミディアムレベルと評価されている。

【CVE-2024-10687】Contest Gallery 24.0.3以前のバージョンでSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-10687】Contest Gallery 24.0.3以前のバージョンで...

WordPressプラグインContest Gallery 24.0.3以前のバージョンで認証不要のSQLインジェクション脆弱性が発見された。$collectedIdsパラメータのエスケープ処理不備により、既存のSQLクエリへの追加クエリ挿入が可能で、データベースからの機密情報抽出のリスクがある。CVSS評価は9.8のクリティカルで、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-10687】Contest Gallery 24.0.3以前のバージョンで...

WordPressプラグインContest Gallery 24.0.3以前のバージョンで認証不要のSQLインジェクション脆弱性が発見された。$collectedIdsパラメータのエスケープ処理不備により、既存のSQLクエリへの追加クエリ挿入が可能で、データベースからの機密情報抽出のリスクがある。CVSS評価は9.8のクリティカルで、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-9867】Element Pack Elementor Addonsに深刻な脆弱性、Contributor権限での任意スクリプト実行が可能に

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-51739】Combodo iToPにユーザー列挙の脆弱性、パスワードリセット機能の応答メッセージを統一化し対策へ

【CVE-2024-51739】Combodo iToPにユーザー列挙の脆弱性、パスワードリセ...

Combodo社のIT Service Management向けツールiToPにおいて、Rest APIを介したユーザー列挙の脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性は、未認証ユーザーによるユーザー列挙を可能にし、有効なアカウントに対するブルートフォース攻撃のリスクを高める問題となっている。対策として、バージョン2.7.11、3.0.5、3.1.2、3.2.0で修正が実施された。

【CVE-2024-51739】Combodo iToPにユーザー列挙の脆弱性、パスワードリセ...

Combodo社のIT Service Management向けツールiToPにおいて、Rest APIを介したユーザー列挙の脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性は、未認証ユーザーによるユーザー列挙を可能にし、有効なアカウントに対するブルートフォース攻撃のリスクを高める問題となっている。対策として、バージョン2.7.11、3.0.5、3.1.2、3.2.0で修正が実施された。

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未認証での任意のショートコード実行が可能に

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未...

WordPressのイベントチケッティングプラグインTickeraにおいて、バージョン3.5.4.4以前に重大な脆弱性が発見された。CVE-2024-10263として識別されたこの脆弱性は、未認証の攻撃者が任意のショートコードを実行できる問題であり、CVSSスコア7.3の高い深刻度を記録。do_shortcode関数の実行前に適切な値の検証が行われていないことが原因で、早急なアップデートが推奨される。

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未...

WordPressのイベントチケッティングプラグインTickeraにおいて、バージョン3.5.4.4以前に重大な脆弱性が発見された。CVE-2024-10263として識別されたこの脆弱性は、未認証の攻撃者が任意のショートコードを実行できる問題であり、CVSSスコア7.3の高い深刻度を記録。do_shortcode関数の実行前に適切な値の検証が行われていないことが原因で、早急なアップデートが推奨される。

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆弱性が発見、認証なしでバックアップデータにアクセス可能に

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆...

WordPressプラグインのEverest Backupにおいて、バージョン2.2.13以前に深刻な情報漏洩の脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、認証なしでバックアップファイル名の取得とダウンロードが可能となる。プロセス統計ファイルの露出が原因で、サイト全体のセキュリティが脅かされる可能性がある。

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆...

WordPressプラグインのEverest Backupにおいて、バージョン2.2.13以前に深刻な情報漏洩の脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、認証なしでバックアップファイル名の取得とダウンロードが可能となる。プロセス統計ファイルの露出が原因で、サイト全体のセキュリティが脅かされる可能性がある。

【CVE-2024-9657】Element Pack Elementor Addons 5.10.2以前に認証済みXSS脆弱性が発見、深刻度は中程度と評価

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正アクセスのリスクが浮上

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正...

Cisco TalosがLevelOne WBR-6012 R0.40e6のWebアプリケーション機能においてCSRF脆弱性を発見。CVSSスコア8.8のHIGH評価で、特別に細工されたHTTPリクエストによる不正アクセスが可能となる。攻撃者が悪意のあるWebページを通じて攻撃を仕掛けることができ、システムの機密性と完全性に重大な影響を及ぼす可能性がある。

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正...

Cisco TalosがLevelOne WBR-6012 R0.40e6のWebアプリケーション機能においてCSRF脆弱性を発見。CVSSスコア8.8のHIGH評価で、特別に細工されたHTTPリクエストによる不正アクセスが可能となる。攻撃者が悪意のあるWebページを通じて攻撃を仕掛けることができ、システムの機密性と完全性に重大な影響を及ぼす可能性がある。

【CVE-2024-23309】LevelOne WBR-6012に認証バイパスの脆弱性、IPアドレス認証の設計上の問題で不正アクセスの危険性

【CVE-2024-23309】LevelOne WBR-6012に認証バイパスの脆弱性、IP...

Cisco TalosがLevelOne WBR-6012ルーター(ファームウェアR0.40e6)に重大な認証バイパスの脆弱性を発見。IPアドレスによる認証に依存する設計上の問題により、攻撃者は認証なしでシステムにアクセス可能。CVSS 9.0のCritical評価で、特権不要かつユーザー操作不要の攻撃が可能。CWE-291に分類される認証の実装不備により、管理者権限の不正取得やシステムの改ざんのリスクが指摘されている。

【CVE-2024-23309】LevelOne WBR-6012に認証バイパスの脆弱性、IP...

Cisco TalosがLevelOne WBR-6012ルーター(ファームウェアR0.40e6)に重大な認証バイパスの脆弱性を発見。IPアドレスによる認証に依存する設計上の問題により、攻撃者は認証なしでシステムにアクセス可能。CVSS 9.0のCritical評価で、特権不要かつユーザー操作不要の攻撃が可能。CWE-291に分類される認証の実装不備により、管理者権限の不正取得やシステムの改ざんのリスクが指摘されている。

【CVE-2024-22066】ZTE ZXR10 ZSR V2に特権昇格の脆弱性、デバイスの機密情報漏洩のリスクが発生

【CVE-2024-22066】ZTE ZXR10 ZSR V2に特権昇格の脆弱性、デバイスの...

ZTE CorporationはインテリジェントマルチサービスルーターZXR10 ZSR V2における特権昇格の脆弱性【CVE-2024-22066】を公開した。この脆弱性により認証済み攻撃者がデバイスの機密情報を取得できる可能性があり、CVSSスコア7.5の深刻度の高い脆弱性として評価されている。Windows、Linux、ARM 64bitプラットフォーム上で動作するZXR10 1800-2S ZSRV2 V3.00.40が影響を受ける。

【CVE-2024-22066】ZTE ZXR10 ZSR V2に特権昇格の脆弱性、デバイスの...

ZTE CorporationはインテリジェントマルチサービスルーターZXR10 ZSR V2における特権昇格の脆弱性【CVE-2024-22066】を公開した。この脆弱性により認証済み攻撃者がデバイスの機密情報を取得できる可能性があり、CVSSスコア7.5の深刻度の高い脆弱性として評価されている。Windows、Linux、ARM 64bitプラットフォーム上で動作するZXR10 1800-2S ZSRV2 V3.00.40が影響を受ける。

【CVE-2024-10452】Grafana 10.4.0で認可バイパスの脆弱性が発見、組織管理者の権限制御に課題

【CVE-2024-10452】Grafana 10.4.0で認可バイパスの脆弱性が発見、組織...

Grafana Labsは2024年10月29日、Grafana 10.4.0における認可バイパスの脆弱性【CVE-2024-10452】を公開した。組織管理者が他組織の保留中の招待を削除できる問題で、CVSSスコアは2.2(Low)と評価されている。攻撃には高い特権レベルと複雑な条件が必要とされ、技術的影響も部分的なものにとどまるため、実際のリスクは限定的とされている。

【CVE-2024-10452】Grafana 10.4.0で認可バイパスの脆弱性が発見、組織...

Grafana Labsは2024年10月29日、Grafana 10.4.0における認可バイパスの脆弱性【CVE-2024-10452】を公開した。組織管理者が他組織の保留中の招待を削除できる問題で、CVSSスコアは2.2(Low)と評価されている。攻撃には高い特権レベルと複雑な条件が必要とされ、技術的影響も部分的なものにとどまるため、実際のリスクは限定的とされている。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃のリスクに警戒

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

HOT TOPICS

新着順
ITニュース
イベント・セミナー
カテゴリ別
企業内ハラスメントの実態調査で約8割の管理職が指導事例を見聞き、悪用事例も約7割が経験していると判明
  • XEXEQ編集部
  • XEXEQ編集部
JLab JapanがJBUDS SPORT ANC 4を発売、タッチ&スワイプ操作とノイズキャンセリング搭載のスポーツイヤホン
  • XEXEQ編集部
  • XEXEQ編集部
SOUNDPEATSがCCイヤーカフを発売、耳を塞がない新型ワイヤレスイヤフォンで快適な装着感を実現
  • XEXEQ編集部
  • XEXEQ編集部
セルシスがCLIP STUDIO PAINT v4.0を発表、パペット変形機能など多数の新機能で制作効率が向上へ
  • XEXEQ編集部
  • XEXEQ編集部
パナソニックがコリコランワイド腰用セットを12月発売、高周波治療による腰のコリ改善を実現
  • XEXEQ編集部
  • XEXEQ編集部
マウスコンピューターが947gの14型ビジネスノートPCを発売、LTE通信対応とMIL規格準拠で機動性と堅牢性を実現
  • XEXEQ編集部
  • XEXEQ編集部
日本ギガバイトが初の白い筐体採用27型ゲーミングモニターM27QA ICEを発売、WQHD解像度と180Hz表示に対応
  • XEXEQ編集部
  • XEXEQ編集部
ビーマップがWi-Fi HaLow対応IoTゲートウェイEAP112を発売、4G LTEバックホールと高い防水性能で屋外設置に対応
  • XEXEQ編集部
  • XEXEQ編集部
finalがノイキャンオンリーモード搭載のワイヤレスヘッドホンWHP01K MK2を発表、11月29日から販売開始へ
  • XEXEQ編集部
  • XEXEQ編集部
エムエスアイコンピュータージャパンがMAGシリーズの新型ゲーミングモニターを発表、RAPID VAパネル採用で高コントラストと高速応答を両立
  • XEXEQ編集部
  • XEXEQ編集部
AmazonがAnthropicに追加40億ドル投資、基礎モデルのトレーニングと次世代チップ開発で協力体制を強化
  • XEXEQ編集部
  • XEXEQ編集部
BLUESOUNDがコンパクトなストリーマーNODE NANOを発表、高性能DACと6万円を切る価格で注目を集める
  • XEXEQ編集部
  • XEXEQ編集部
DUNUが9ドライバ搭載のフラッグシップイヤフォンDK3001 BDを発売、Glacierドライバー搭載で高音質を実現へ
  • XEXEQ編集部
  • XEXEQ編集部
Windows 11 バージョン 24H2でUbisoft製ゲームの応答不能問題が発生、アサシンクリードシリーズなど複数タイトルに影響
  • XEXEQ編集部
  • XEXEQ編集部
LINE WORKSがDrive機能専用アプリを提供開始、スマートフォンからのファイル管理が直感的に
  • XEXEQ編集部
  • XEXEQ編集部
IBMとAMDがIBM CloudでのAMD Instinctアクセラレータ導入を発表、生成AIモデルの処理性能向上へ
  • XEXEQ編集部
  • XEXEQ編集部
住友電工情報システムが楽々Webデータベース Ver.3.8.2を提供開始、複数アプリのデータ俯瞰機能で業務効率化を実現
  • XEXEQ編集部
  • XEXEQ編集部
NECが先端技術コンサルティングサービスの提供を開始、世界トップレベルの研究者の知見でDX推進を加速
  • XEXEQ編集部
  • XEXEQ編集部
NTTデータがデータセンター向け液体冷却技術の検証施設Data Center Trial Fieldを千葉県野田市に開設へ
  • XEXEQ編集部
  • XEXEQ編集部
メルカリが新たな補償方針とサポート体制を強化、商品回収センター新設で取引トラブル解決を加速
  • XEXEQ編集部
  • XEXEQ編集部
横浜市営地下鉄が全40駅でクレジットカード等のタッチ決済乗車サービスを開始、首都圏初の導入で利便性向上へ
  • XEXEQ編集部
  • XEXEQ編集部
英国CMAがAppleのブラウザ市場での制限的慣行を指摘、イノベーション阻害と暫定結論を発表
  • XEXEQ編集部
  • XEXEQ編集部
アクセルラボのSpaceCore導入IoT住宅が神奈川県警の認定を取得、戸建て住宅初の快挙を達成
  • XEXEQ編集部
  • XEXEQ編集部
エクセルソフトがAI/HPC開発者向けイベントを2025年1月に開催、インテルの最新技術とツールの活用法を解説
  • XEXEQ編集部
  • XEXEQ編集部
Baseusが完全ワイヤレスイヤホン6機種を日本初投入、高音質とノイズキャンセリング機能で差別化を図る
  • XEXEQ編集部
  • XEXEQ編集部
マイナビバイトの座ってイイッスPROJECTがACCグランプリ受賞、アルバイト環境改善の取り組みが高評価
  • XEXEQ編集部
  • XEXEQ編集部
FRとNFT Mediaがメディアパートナーシップを締結、Web3ゲームeスポーツの認知拡大へ向け新たな一歩
  • XEXEQ編集部
  • XEXEQ編集部
クラスターがバーチャルわかものハローワークで学生企画イベントを開催、メタバースからリアルへの送客を促進
  • XEXEQ編集部
  • XEXEQ編集部
finalがゲーム専用ワイヤレスイヤホンVR3000 Wirelessを発表、超低遅延接続で没入感を向上
  • XEXEQ編集部
  • XEXEQ編集部
CIOが3合1ワイヤレス充電器SMARTCOBY Ex02を発売、MagSafe対応で完全パススルー充電機能を搭載
  • XEXEQ編集部
  • XEXEQ編集部
すべての最新情報を見る
ITニュースの最新情報を見る
イベント・セミナーの最新情報を見る

#AI

#SEO

#SNS

#広告

#デザイン

#コンピュータ

#セキュリティ

#プログラミング

#ビジネススキル

#マーケティング

#経営

#経済

#資格

#職業

#職種

#心理学

#ブロックチェーン

#IoT

#インターネット

#VR

#AR

#MR

#ソフトウェア

#ハードウェア

#ゲーム

#DX