Tech Insights

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限での任意ファイル読み取りとSSRF攻撃のリスクが発覚

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...

Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...

Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。

【CVE-2024-52571】Siemens社のTecnomatix Plant Simulationに深刻な脆弱性、コード実行の危険性が発覚

【CVE-2024-52571】Siemens社のTecnomatix Plant Simul...

Siemens社は製造シミュレーションソフトウェアTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。WRLファイル解析時の範囲外書き込みの脆弱性により、攻撃者がコードを実行できる可能性がある。CVSS v3.1で7.8(High)と評価される深刻な問題であり、早急なアップデートが推奨される。

【CVE-2024-52571】Siemens社のTecnomatix Plant Simul...

Siemens社は製造シミュレーションソフトウェアTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。WRLファイル解析時の範囲外書き込みの脆弱性により、攻撃者がコードを実行できる可能性がある。CVSS v3.1で7.8(High)と評価される深刻な問題であり、早急なアップデートが推奨される。

【CVE-2024-52565】Tecnomatix Plant Simulationに深刻な脆弱性、製造プロセスのセキュリティリスクに警鐘

【CVE-2024-52565】Tecnomatix Plant Simulationに深刻な...

Siemensは2024年11月18日、製造プロセスシミュレーションツールTecnomatix Plant SimulationのV2302とV2404に境界外書き込みの脆弱性が存在すると発表した。特別に細工されたWRLファイルにより任意のコード実行が可能となる脆弱性で、CVSSスコアは最大7.8と高い評価を受けている。製造業のデジタルツイン実現に影響を与える可能性があり、早急な対応が求められる。

【CVE-2024-52565】Tecnomatix Plant Simulationに深刻な...

Siemensは2024年11月18日、製造プロセスシミュレーションツールTecnomatix Plant SimulationのV2302とV2404に境界外書き込みの脆弱性が存在すると発表した。特別に細工されたWRLファイルにより任意のコード実行が可能となる脆弱性で、CVSSスコアは最大7.8と高い評価を受けている。製造業のデジタルツイン実現に影響を与える可能性があり、早急な対応が求められる。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイトスクリプティング攻撃のリスクが浮上

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が発見、ExamplePluginのデバイスNotes機能に深刻な影響

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バージョンでパッチを公開

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バ...

Red Hat社がMoodleの認可に関する脆弱性【CVE-2024-48897】を公開した。RSSフィードの編集・削除権限の確認が不十分で、未認可ユーザーによる不正操作のリスクが存在する。影響を受けるバージョンは4.4.0-4.4.4、4.3.0-4.3.8、4.2.0-4.2.11、4.1.0-4.1.14および4.1.0以前で、CVSSスコアは6.5(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バ...

Red Hat社がMoodleの認可に関する脆弱性【CVE-2024-48897】を公開した。RSSフィードの編集・削除権限の確認が不十分で、未認可ユーザーによる不正操作のリスクが存在する。影響を受けるバージョンは4.4.0-4.4.4、4.3.0-4.3.8、4.2.0-4.2.11、4.1.0-4.1.14および4.1.0以前で、CVSSスコアは6.5(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱性、バージョン10.0.17で対策を実施

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱...

GitHubは2024年11月15日、資産およびIT管理ソフトウェアパッケージGLPIにおいて、認証済みユーザーによるSQL injectionの脆弱性を公開した。CVE-2024-45608として識別されるこの脆弱性は、CVSS v3.1基本値6.5(Medium)と評価されており、バージョン9.5.0以上10.0.17未満のGLPIが影響を受ける。対策としてバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱...

GitHubは2024年11月15日、資産およびIT管理ソフトウェアパッケージGLPIにおいて、認証済みユーザーによるSQL injectionの脆弱性を公開した。CVE-2024-45608として識別されるこの脆弱性は、CVSS v3.1基本値6.5(Medium)と評価されており、バージョン9.5.0以上10.0.17未満のGLPIが影響を受ける。対策としてバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へのアップグレードによる対応が必要に

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Traversal脆弱性、webshellアップロードによる任意コード実行の危険性

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...

TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...

TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。

【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性、認証なしで任意のコード実行が可能に

【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TWCERT/CCがTRCore DVCのパストラバーサル脆弱性【CVE-2024-11311】を公開した。バージョン6.0から6.3が影響を受け、CVSSスコア9.8と深刻度が高い。認証なしでの任意のファイルアップロードが可能で、Webシェルを介した任意のコード実行のリスクがある。早急なセキュリティ対策が求められる状況となっている。

【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TWCERT/CCがTRCore DVCのパストラバーサル脆弱性【CVE-2024-11311】を公開した。バージョン6.0から6.3が影響を受け、CVSSスコア9.8と深刻度が高い。認証なしでの任意のファイルアップロードが可能で、Webシェルを介した任意のコード実行のリスクがある。早急なセキュリティ対策が求められる状況となっている。

SpecteeがAIリアルタイム防災サービスのウェビナーを開催、自治体の防災DX推進に向けた取り組みを紹介

SpecteeがAIリアルタイム防災サービスのウェビナーを開催、自治体の防災DX推進に向けた取...

株式会社Specteeは神奈川県藤沢市防災安全部危機管理課の担当者を招き、AIリアルタイム防災・危機管理サービスSpectee Proの活用方法について解説するオンラインセミナーを2024年11月29日に開催する。南海トラフや首都直下型地震、気候変動による豪雨増加など自然災害リスクが高まる中、自治体における効果的な防災対策の実現を目指している。

SpecteeがAIリアルタイム防災サービスのウェビナーを開催、自治体の防災DX推進に向けた取...

株式会社Specteeは神奈川県藤沢市防災安全部危機管理課の担当者を招き、AIリアルタイム防災・危機管理サービスSpectee Proの活用方法について解説するオンラインセミナーを2024年11月29日に開催する。南海トラフや首都直下型地震、気候変動による豪雨増加など自然災害リスクが高まる中、自治体における効果的な防災対策の実現を目指している。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサイトスクリプティングの脆弱性、医療システムのセキュリティ対策が急務に

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認証不要で任意のスクリプト実行が可能に

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-11244】code-projects Farmacia 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行が可能に

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行...

TRCore DVCのバージョン6.0から6.3において、パストラバーサル脆弱性と危険なファイルのアップロード制限の欠如が発見された。CVSSスコア9.8のこの脆弱性により、認証されていないリモート攻撃者が任意のディレクトリにWebシェルをアップロードし、システム上で不正なコードを実行することが可能となる。TWCERTは早急な対策を推奨している。

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行...

TRCore DVCのバージョン6.0から6.3において、パストラバーサル脆弱性と危険なファイルのアップロード制限の欠如が発見された。CVSSスコア9.8のこの脆弱性により、認証されていないリモート攻撃者が任意のディレクトリにWebシェルをアップロードし、システム上で不正なコードを実行することが可能となる。TWCERTは早急な対策を推奨している。

【CVE-2024-11257】Beauty Parlour Management System 1.0でSQLインジェクションの脆弱性が発見、パスワードリセット機能に深刻な問題

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバーフローの脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...

Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...

Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証済み攻撃者によるコマンド実行のリスクが浮上

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レポートページでの攻撃が可能に

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリスクに対応するアップデートを実施

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-52574】SiemensのTecnomatix Plant Simulationに深刻な脆弱性、バッファオーバーフロー対策が急務に

【CVE-2024-52574】SiemensのTecnomatix Plant Simula...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のバッファオーバーフロー脆弱性が発見された。CVSSスコアは最大7.8を記録し、攻撃者による任意のコード実行が可能となる危険性がある。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、Siemens社は修正パッチを提供している。製造業のデジタル化に影響を与える可能性がある重要な脆弱性への対応が求められる。

【CVE-2024-52574】SiemensのTecnomatix Plant Simula...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のバッファオーバーフロー脆弱性が発見された。CVSSスコアは最大7.8を記録し、攻撃者による任意のコード実行が可能となる危険性がある。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、Siemens社は修正パッチを提供している。製造業のデジタル化に影響を与える可能性がある重要な脆弱性への対応が求められる。

【CVE-2024-52570】Tecnomatix Plant SimulationにWRLファイル解析の脆弱性、コード実行のリスクが発生

【CVE-2024-52570】Tecnomatix Plant SimulationにWRL...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル解析時のOut-of-bounds Write脆弱性が発見された。CVSSスコアは7.8(High)と評価され、攻撃者による任意のコード実行のリスクがある。影響を受けるバージョンはV2302の0から2302.0018未満およびV2404の0から2404.0007未満で、早急なアップデートが推奨される。

【CVE-2024-52570】Tecnomatix Plant SimulationにWRL...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル解析時のOut-of-bounds Write脆弱性が発見された。CVSSスコアは7.8(High)と評価され、攻撃者による任意のコード実行のリスクがある。影響を受けるバージョンはV2302の0から2302.0018未満およびV2404の0から2404.0007未満で、早急なアップデートが推奨される。

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外書き込みの脆弱性、コード実行のリスクで早急な対応が必要に

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外...

Siemensは2024年11月18日、Tecnomatix Plant Simulation V2302およびV2404に存在する重大な脆弱性情報を公開した。特別に細工されたWRLファイルを処理する際に発生する境界外書き込みの問題で、現在のプロセスのコンテキストでコードが実行される可能性がある。CVSSスコアは7.8と高く評価されており、早急な対応が求められている。

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外...

Siemensは2024年11月18日、Tecnomatix Plant Simulation V2302およびV2404に存在する重大な脆弱性情報を公開した。特別に細工されたWRLファイルを処理する際に発生する境界外書き込みの問題で、現在のプロセスのコンテキストでコードが実行される可能性がある。CVSSスコアは7.8と高く評価されており、早急な対応が求められている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正済み

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11にクロスサイトスクリプティングの脆弱性、情報漏洩のリスクに警戒

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52426】WordPress Linear Plugin 2.7.11に...

Patchstack OÜが2024年11月18日、WordPress用プラグインLinear linear 2.7.11以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開。CVSSスコア6.5のミディアムレベルと評価され、DOM Based XSSによる情報漏洩やセッションハイジャックのリスクが指摘されている。開発元のLinear Oyは早急な対応を迫られている。

【CVE-2024-52424】WordPress用Wp-Login Customizerプラグインに深刻な脆弱性、早急なアップデートが必要に

【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...

Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。

【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...

Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。

【CVE-2024-52419】WordPress Copy Anything to Clipboard 4.0.3にXSS脆弱性、ユーザーセッションへの影響に注意

【CVE-2024-52419】WordPress Copy Anything to Clip...

WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。

【CVE-2024-52419】WordPress Copy Anything to Clip...

WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24.10.0で修正完了

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...

オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXSS攻撃が可能に

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-20530】Cisco ISEに重大な脆弱性、管理インターフェースでのXS...

CiscoのIdentity Services Engine(ISE)の管理インターフェースに深刻な脆弱性が発見された。CVE-2024-20530として識別されるこの脆弱性は、Web管理インターフェースでユーザー入力の検証が適切に行われないことが原因で、攻撃者が細工されたリンクをユーザーにクリックさせることで任意のスクリプトを実行される可能性がある。影響を受けるバージョンはISE 3.0.0から3.4.0まで。

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題で複数バージョンに影響

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...

Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。

【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...

Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。

HOT TOPICS