Tech Insights

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りのリスクで緊急アップデートが必要に

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りの...

IT資産管理ソフトウェアGLPIにおいて、認証済みユーザーが他のアカウントを乗っ取り可能なSQLインジェクションの脆弱性が発見された。CVE-2024-40638として識別されたこの脆弱性は、CVSSスコア8.1と高い深刻度を示しており、バージョン0.85から10.0.17未満のすべてのバージョンが影響を受ける。開発チームはバージョン10.0.17で修正を実施。

【CVE-2024-11258】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性、管理者ページが攻撃の対象に

【CVE-2024-11258】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-11258】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。

【CVE-2024-11247】SourceCodester Online Eyewear Shop 1.0にXSS脆弱性が発見、リモート攻撃のリスクが拡大

【CVE-2024-11247】SourceCodester Online Eyewear S...

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-11247】SourceCodester Online Eyewear S...

SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5.2.1にXSS脆弱性、認証不要の攻撃が可能に

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-10793】WordPressプラグインWP Activity Log 5...

WordPressプラグインWP Activity Logにおいて、バージョン5.2.1以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア7.2と高い深刻度に分類されており、認証を必要としない攻撃者が任意のWebスクリプトを注入可能。管理者ページにアクセスした際に実行される悪意のあるスクリプトを埋め込むことができ、セキュリティリスクが高い状態となっている。

【CVE-2024-10582】Music Player For Elementor 2.4.1以前に脆弱性、認証済みユーザーによる未認可テンプレートインポートが可能な状態に

【CVE-2024-10582】Music Player For Elementor 2.4....

WordPressのプラグインMusic Player For Elementorにおいて、バージョン2.4.1以前に認証済みユーザーによる未認可のテンプレートインポートを可能にする脆弱性が発見された。import_mpfe_template()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがテンプレートをインポート可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、データの整合性に関する潜在的なリスクが存在する。

【CVE-2024-10582】Music Player For Elementor 2.4....

WordPressのプラグインMusic Player For Elementorにおいて、バージョン2.4.1以前に認証済みユーザーによる未認可のテンプレートインポートを可能にする脆弱性が発見された。import_mpfe_template()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがテンプレートをインポート可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、データの整合性に関する潜在的なリスクが存在する。

【CVE-2024-52573】SiemensのTecnomatix Plant Simulationに深刻な脆弱性、バッファオーバーフローによる任意コード実行の危険性

【CVE-2024-52573】SiemensのTecnomatix Plant Simula...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル解析時のバッファオーバーフロー脆弱性(CVE-2024-52573)が発見された。この脆弱性により攻撃者が任意のコードを実行できる可能性があり、CVSSスコアは7.8と高い深刻度を示している。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、早急なアップデートが推奨される。

【CVE-2024-52573】SiemensのTecnomatix Plant Simula...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル解析時のバッファオーバーフロー脆弱性(CVE-2024-52573)が発見された。この脆弱性により攻撃者が任意のコードを実行できる可能性があり、CVSSスコアは7.8と高い深刻度を示している。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、早急なアップデートが推奨される。

【CVE-2024-52569】SiemensのTecnomatix Plant Simulationに深刻な脆弱性、製造プロセスのセキュリティに影響

【CVE-2024-52569】SiemensのTecnomatix Plant Simula...

Siemens社のTecnomatix Plant Simulation V2302とV2404に境界外書き込みの脆弱性が発見された。特別に細工されたWRLファイルを解析する際に発生する問題で、攻撃者によるコード実行の可能性がある。CVSSスコアは7.8(High)を記録し、影響を受けるバージョンはV2302.0018未満とV2404.0007未満。製造プロセスの最適化やシミュレーションに使用される重要なソフトウェアであるため、早急な対応が求められている。

【CVE-2024-52569】SiemensのTecnomatix Plant Simula...

Siemens社のTecnomatix Plant Simulation V2302とV2404に境界外書き込みの脆弱性が発見された。特別に細工されたWRLファイルを解析する際に発生する問題で、攻撃者によるコード実行の可能性がある。CVSSスコアは7.8(High)を記録し、影響を受けるバージョンはV2302.0018未満とV2404.0007未満。製造プロセスの最適化やシミュレーションに使用される重要なソフトウェアであるため、早急な対応が求められている。

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にSQLインジェクション脆弱性が発見、データベースへの不正アクセスのリスクが浮上

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...

Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。

【CVE-2024-52436】WordPressのPost SMTPプラグイン2.9.9にS...

Patchstack OÜは、WordPressのPost SMTPプラグインにおけるSQLインジェクションの脆弱性を公開した。この脆弱性はCVE-2024-52436として識別され、バージョン2.9.9以前に影響する。CVSS v3.1で7.6(High)と評価される深刻な脆弱性で、特権を持つ攻撃者によってデータベースへの不正アクセスが可能になる。攻撃の複雑さは低く、早急な対策が求められる。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆弱性、深刻度は中程度でCVSS値6.5を記録

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...

WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...

WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0で修正完了へ

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...

オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。

【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意のファイル読み取りが可能に

【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意...

TRCoreのDVCバージョン6.0から6.3において、パストラバーサル脆弱性が発見された。この脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを読み取ることが可能となる。CVSSスコアは7.5と高く、TWCERTは攻撃の自動化も可能であると報告している。早急な対策が必要とされる事態となっている。

【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意...

TRCoreのDVCバージョン6.0から6.3において、パストラバーサル脆弱性が発見された。この脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを読み取ることが可能となる。CVSSスコアは7.5と高く、TWCERTは攻撃の自動化も可能であると報告している。早急な対策が必要とされる事態となっている。

【CVE-2024-11256】Portfolio Management System MCA 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが深刻化

【CVE-2024-11256】Portfolio Management System MCA...

1000 Projects社のPortfolio Management System MCA 1.0において、login.phpファイルに重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3(HIGH)を記録し、リモートからの攻撃が可能な状態。特権やユーザーの介入も不要で、機密性・整合性・可用性のすべてに影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-11256】Portfolio Management System MCA...

1000 Projects社のPortfolio Management System MCA 1.0において、login.phpファイルに重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3(HIGH)を記録し、リモートからの攻撃が可能な状態。特権やユーザーの介入も不要で、機密性・整合性・可用性のすべてに影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、クロスサイトスクリプティング攻撃のリスクが判明

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...

WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

【CVE-2024-10825】Hide My WP Ghost 5.3.01以前に脆弱性、ク...

WordPressのプラグインHide My WP Ghost – Security & Firewallにおいて、バージョン5.3.01以前に反映型クロスサイトスクリプティングの脆弱性が発見された。URLを介した入力値の無害化処理と出力のエスケープ処理が不十分であり、管理者が悪意のあるリンクをクリックすると任意のWebスクリプトが実行される可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バージョン10.0.17で対策完了

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...

資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...

資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。

【CVE-2024-11312】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性、未認証での任意コード実行が可能に

【CVE-2024-11312】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TRCore社のDVC製品バージョン6.0から6.3において、パストラバーサルによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のCriticalに分類されるこの脆弱性では、未認証のリモート攻撃者がWebシェルをアップロードすることで任意のコード実行が可能となる。TWCERTが公開した情報によると、技術的影響が全体に及び、攻撃の自動化も可能とされている。

【CVE-2024-11312】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TRCore社のDVC製品バージョン6.0から6.3において、パストラバーサルによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のCriticalに分類されるこの脆弱性では、未認証のリモート攻撃者がWebシェルをアップロードすることで任意のコード実行が可能となる。TWCERTが公開した情報によると、技術的影響が全体に及び、攻撃の自動化も可能とされている。

【CVE-2024-20525】Cisco Identity Services EngineにXSS脆弱性、未認証の遠隔攻撃者による攻撃のリスクが発生

【CVE-2024-20525】Cisco Identity Services Engineに...

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1(ミディアム)と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-20525】Cisco Identity Services Engineに...

CiscoはIdentity Services Engineにおいて、Web管理インターフェースのXSS脆弱性【CVE-2024-20525】を公開した。この脆弱性はCVSSv3.1で6.1(ミディアム)と評価され、未認証の遠隔攻撃者が細工されたリンクを通じて任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.4.0までで、Ciscoは各バージョンに対してセキュリティアップデートを提供している。

【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見、ユーザー情報漏洩のリスクが浮上

【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見...

WordPressプラグイン「WP Githuber MD」のバージョン1.16.3以前にStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、特権アカウントとユーザーの操作を必要とするものの攻撃の複雑さは低く、ユーザーの機密情報漏洩やセッション乗っ取りなどのリスクが指摘されている。早急なアップデートによる対策が推奨される。

【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見...

WordPressプラグイン「WP Githuber MD」のバージョン1.16.3以前にStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、特権アカウントとユーザーの操作を必要とするものの攻撃の複雑さは低く、ユーザーの機密情報漏洩やセッション乗っ取りなどのリスクが指摘されている。早急なアップデートによる対策が推奨される。

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユーザーによる不正コード実行の可能性

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユ...

オープンソースのネットワーク監視システムLibreNMSにおいて、認証済みユーザーが悪用可能なXSS脆弱性が発見された。bill_nameパラメータを介して任意のJavaScriptコードを注入できる問題で、CVSSスコアは4.8(MEDIUM)と評価。攻撃の複雑さは低いものの特権レベルが高く必要で、ユーザーの操作も必要。バージョン24.10.0で修正済みのため、影響を受けるバージョンを使用している組織は速やかなアップデートが推奨される。

【CVE-2024-49759】LibreNMS 24.10.0未満にXSS脆弱性、認証済みユ...

オープンソースのネットワーク監視システムLibreNMSにおいて、認証済みユーザーが悪用可能なXSS脆弱性が発見された。bill_nameパラメータを介して任意のJavaScriptコードを注入できる問題で、CVSSスコアは4.8(MEDIUM)と評価。攻撃の複雑さは低いものの特権レベルが高く必要で、ユーザーの操作も必要。バージョン24.10.0で修正済みのため、影響を受けるバージョンを使用している組織は速やかなアップデートが推奨される。

【CVE-2024-52759】D-LINK DI-8003のバッファオーバーフロー脆弱性が発覚、製品のセキュリティリスクが深刻化

【CVE-2024-52759】D-LINK DI-8003のバッファオーバーフロー脆弱性が発...

D-LINK社のDI-8003 v16.07.26Aにおいて、ip_position_asp機能のipパラメータにバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-52759】として識別され、メモリ破壊やコード実行などの深刻な影響をもたらす可能性がある。D-LINK社はセキュリティ通知を公開し、GitHubリポジトリでも技術的な詳細が共有されている。

【CVE-2024-52759】D-LINK DI-8003のバッファオーバーフロー脆弱性が発...

D-LINK社のDI-8003 v16.07.26Aにおいて、ip_position_asp機能のipパラメータにバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-52759】として識別され、メモリ破壊やコード実行などの深刻な影響をもたらす可能性がある。D-LINK社はセキュリティ通知を公開し、GitHubリポジトリでも技術的な詳細が共有されている。

【CVE-2024-52567】SiemensのTecnomatix Plant Simulationに深刻な脆弱性、コード実行のリスクで早急な対応が必要に

【CVE-2024-52567】SiemensのTecnomatix Plant Simula...

Siemens社の製造シミュレーションソフトウェアTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のメモリ読み取りに関する深刻な脆弱性が発見された。この脆弱性は【CVE-2024-52567】として識別され、CVSS v3.1で7.8のHighスコアを記録。特別に細工されたWRLファイルによって任意のコード実行が可能になる危険性が指摘されており、早急な対応が必要とされている。

【CVE-2024-52567】SiemensのTecnomatix Plant Simula...

Siemens社の製造シミュレーションソフトウェアTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のメモリ読み取りに関する深刻な脆弱性が発見された。この脆弱性は【CVE-2024-52567】として識別され、CVSS v3.1で7.8のHighスコアを記録。特別に細工されたWRLファイルによって任意のコード実行が可能になる危険性が指摘されており、早急な対応が必要とされている。

【CVE-2024-52435】WordPress Premium Packages 5.9.3にSQLインジェクション脆弱性、高い権限で悪用の可能性

【CVE-2024-52435】WordPress Premium Packages 5.9....

W3 Eden社のWordPressプラグインPremium Packages 5.9.3以前のバージョンにSQLインジェクション脆弱性が発見された。CVSSスコア7.6と高く評価されており、高い権限を持つユーザーによって悪用される可能性がある。機密性への影響が特に大きく、データベースの改ざんや情報漏洩のリスクがあるため、影響を受けるバージョンを使用しているユーザーは早急なアップデートが推奨される。

【CVE-2024-52435】WordPress Premium Packages 5.9....

W3 Eden社のWordPressプラグインPremium Packages 5.9.3以前のバージョンにSQLインジェクション脆弱性が発見された。CVSSスコア7.6と高く評価されており、高い権限を持つユーザーによって悪用される可能性がある。機密性への影響が特に大きく、データベースの改ざんや情報漏洩のリスクがあるため、影響を受けるバージョンを使用しているユーザーは早急なアップデートが推奨される。

【CVE-2024-9609】LearnPress Export Import 4.0.4にXSS脆弱性、未認証攻撃者によるスクリプト実行のリスクが判明

【CVE-2024-9609】LearnPress Export Import 4.0.4にX...

WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1(MEDIUM)と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。

【CVE-2024-9609】LearnPress Export Import 4.0.4にX...

WordPressプラグインLearnPress Export Import 4.0.4以前のバージョンにおいて、Reflected Cross-Site Scriptingの脆弱性が発見された。未認証の攻撃者が任意のWebスクリプトを実行できる可能性があり、CVSSスコアは6.1(MEDIUM)と評価されている。脆弱性はlearnpress_import_form_serverパラメータにおける入力のサニタイズと出力のエスケープの不十分さに起因する。

【CVE-2024-52714】Tenda AC6 v2.0のfromSetSysTime関数にバッファオーバーフロー脆弱性が発見、重大なセキュリティリスクに

【CVE-2024-52714】Tenda AC6 v2.0のfromSetSysTime関数...

Tenda AC6 v2.0 v15.03.06.50において、fromSetSysTime関数にバッファオーバーフローの脆弱性が発見された。CVSSスコア8.1のHigh評価で、攻撃条件の複雑さは低く特権も不要なため、リモートからの攻撃が容易に実行可能な状態となっている。CWE-120に分類されるこの脆弱性は、機密性と完全性に重大な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2024-52714】Tenda AC6 v2.0のfromSetSysTime関数...

Tenda AC6 v2.0 v15.03.06.50において、fromSetSysTime関数にバッファオーバーフローの脆弱性が発見された。CVSSスコア8.1のHigh評価で、攻撃条件の複雑さは低く特権も不要なため、リモートからの攻撃が容易に実行可能な状態となっている。CWE-120に分類されるこの脆弱性は、機密性と完全性に重大な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessページでの任意コード実行が可能に

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessペー...

LibreNMSのAPI-Accessページに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。認証済みユーザーがAPIトークン作成時にJavaScriptコードを注入可能で、他ユーザーのセッション乗っ取りやデータアクセスのリスクがある。CVSSスコア7.5のHigh評価で、LibreNMS 24.10.0で修正済み。早急なアップデートが推奨される。

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessペー...

LibreNMSのAPI-Accessページに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。認証済みユーザーがAPIトークン作成時にJavaScriptコードを注入可能で、他ユーザーのセッション乗っ取りやデータアクセスのリスクがある。CVSSスコア7.5のHigh評価で、LibreNMS 24.10.0で修正済み。早急なアップデートが推奨される。

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョンでセキュリティリスク拡大

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョン...

TR-CERTは2024年11月18日、django-cmsの3.11.7、3.11.8、4.1.2、4.1.3のバージョンでクロスサイトスクリプティング(XSS)の脆弱性を発見したと発表した。CVSSスコア3.8の脆弱性は、入力値の適切な無害化処理が行われていないことに起因しており、特権ユーザーによる不正なWebページ生成のリスクがある。既に修正バージョン4.1.4がリリースされ、早急なアップデートが推奨される。

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョン...

TR-CERTは2024年11月18日、django-cmsの3.11.7、3.11.8、4.1.2、4.1.3のバージョンでクロスサイトスクリプティング(XSS)の脆弱性を発見したと発表した。CVSSスコア3.8の脆弱性は、入力値の適切な無害化処理が行われていないことに起因しており、特権ユーザーによる不正なWebページ生成のリスクがある。既に修正バージョン4.1.4がリリースされ、早急なアップデートが推奨される。

【CVE-2024-11241】code-projects Job Recruitment 1.0にSQLインジェクションの脆弱性、個人情報漏洩のリスクが深刻化

【CVE-2024-11241】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のreset.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11241として識別されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1および3.0で7.3(HIGH)と評価されている。リモートからの攻撃が可能で、特権やユーザー操作も不要なため、早急な対応が求められる状況だ。

【CVE-2024-11241】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のreset.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11241として識別されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1および3.0で7.3(HIGH)と評価されている。リモートからの攻撃が可能で、特権やユーザー操作も不要なため、早急な対応が求められる状況だ。

【CVE-2024-41784】IBM Sterling Secure Proxyに深刻な脆弱性、認証不要で任意のファイル閲覧が可能に

【CVE-2024-41784】IBM Sterling Secure Proxyに深刻な脆弱...

IBMが2024年11月15日に公開した脆弱性情報によると、Sterling Secure Proxy 6.0.0.0から6.1.0.0において、トリプルドット(/.../)を含む特別なURLリクエストにより、システム上の任意のファイルを閲覧できる脆弱性が発見された。CVSSスコア7.5と高く評価されており、認証なしでリモートから攻撃が可能なため、早急な対策が必要とされている。

【CVE-2024-41784】IBM Sterling Secure Proxyに深刻な脆弱...

IBMが2024年11月15日に公開した脆弱性情報によると、Sterling Secure Proxy 6.0.0.0から6.1.0.0において、トリプルドット(/.../)を含む特別なURLリクエストにより、システム上の任意のファイルを閲覧できる脆弱性が発見された。CVSSスコア7.5と高く評価されており、認証なしでリモートから攻撃が可能なため、早急な対策が必要とされている。

SportipがAI口腔機能評価システム「リハケア」をリリース、誤嚥性肺炎の予防と口腔機能向上加算の取得をサポート

SportipがAI口腔機能評価システム「リハケア」をリリース、誤嚥性肺炎の予防と口腔機能向上...

Sportipは高齢者の健康支援を目的とした口腔機能評価システム「リハケア」の提供を開始した。スマートフォンでの音声録音による独自の評価テストとAI解析により、専門スタッフがいない現場でも手軽に口腔機能の評価が可能になる。また口腔機能向上加算の取得をサポートする機能も搭載されており、加算算定率の向上が期待できる。

SportipがAI口腔機能評価システム「リハケア」をリリース、誤嚥性肺炎の予防と口腔機能向上...

Sportipは高齢者の健康支援を目的とした口腔機能評価システム「リハケア」の提供を開始した。スマートフォンでの音声録音による独自の評価テストとAI解析により、専門スタッフがいない現場でも手軽に口腔機能の評価が可能になる。また口腔機能向上加算の取得をサポートする機能も搭載されており、加算算定率の向上が期待できる。

マイプロパティがクアラルンプールのリッツカールトンレジデンス無料仲介を開始、高級物件投資の新たな選択肢として注目

マイプロパティがクアラルンプールのリッツカールトンレジデンス無料仲介を開始、高級物件投資の新た...

マイプロパティは2024年11月20日、マレーシア・クアラルンプールの高級住宅施設リッツカールトンレジデンスの無料仲介サービスを開始した。288ユニットを有する本物件は、24時間バトラーサービスや充実した共用施設を完備し、教育移住や投資目的の日本人顧客に向けた新たな選択肢として期待される。マイプロパティは入居後の物件管理サポートも提供し、長期的な不動産投資をサポートする体制を整えている。

マイプロパティがクアラルンプールのリッツカールトンレジデンス無料仲介を開始、高級物件投資の新た...

マイプロパティは2024年11月20日、マレーシア・クアラルンプールの高級住宅施設リッツカールトンレジデンスの無料仲介サービスを開始した。288ユニットを有する本物件は、24時間バトラーサービスや充実した共用施設を完備し、教育移住や投資目的の日本人顧客に向けた新たな選択肢として期待される。マイプロパティは入居後の物件管理サポートも提供し、長期的な不動産投資をサポートする体制を整えている。

HOT TOPICS