Tech Insights

【CVE-2024-43622】WindowsのTelephonyサービスに深刻な脆弱性、広範なバージョンで更新が必要に

【CVE-2024-43622】WindowsのTelephonyサービスに深刻な脆弱性、広範...

Microsoftは2024年11月12日、WindowsのTelephonyサービスにおいてリモートコード実行の脆弱性を公開した。CVE-2024-43622として識別されるこの脆弱性は、CVSS v3.1で8.8(HIGH)と評価され、Windows 10からWindows Server 2025まで広範なバージョンに影響を与える。攻撃者は特権なしでリモートから任意のコードを実行可能であり、速やかな更新プログラムの適用が推奨される。

【CVE-2024-43622】WindowsのTelephonyサービスに深刻な脆弱性、広範...

Microsoftは2024年11月12日、WindowsのTelephonyサービスにおいてリモートコード実行の脆弱性を公開した。CVE-2024-43622として識別されるこの脆弱性は、CVSS v3.1で8.8(HIGH)と評価され、Windows 10からWindows Server 2025まで広範なバージョンに影響を与える。攻撃者は特権なしでリモートから任意のコードを実行可能であり、速やかな更新プログラムの適用が推奨される。

【CVE-2024-11021】Grand Vice Info WebopacでStored XSS脆弱性を発見、複数のバージョンで影響

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting(XSS)の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4(Medium)で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting(XSS)の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4(Medium)で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの脆弱性、任意のコード実行が可能な深刻な問題に

【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの...

Grand Vice InfoのWebopacに深刻な脆弱性が発見され、認証されていないリモートの攻撃者がWebシェルをアップロードして実行し、サーバー上で任意のコードを実行できる状態にある。CVSSスコア9.8の極めて深刻な評価を受けており、影響を受けるバージョンはWebopac 6.0から6.5.0までと7.0から7.2.2まで。対策版として6.5.1および7.2.3がリリースされている。

【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの...

Grand Vice InfoのWebopacに深刻な脆弱性が発見され、認証されていないリモートの攻撃者がWebシェルをアップロードして実行し、サーバー上で任意のコードを実行できる状態にある。CVSSスコア9.8の極めて深刻な評価を受けており、影響を受けるバージョンはWebopac 6.0から6.5.0までと7.0から7.2.2まで。対策版として6.5.1および7.2.3がリリースされている。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。

【CVE-2024-10994】Codezips Online Institute Management System 1.0に深刻な脆弱性、無制限アップロードの問題で早急な対応が必要に

【CVE-2024-10994】Codezips Online Institute Manag...

VulDBが2024年11月8日、Codezips Online Institute Management System 1.0のedit_user.phpファイルに無制限アップロードの脆弱性が存在することを公開した。CVSSスコアは4.0で5.3(MEDIUM)、3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能で既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-10994】Codezips Online Institute Manag...

VulDBが2024年11月8日、Codezips Online Institute Management System 1.0のedit_user.phpファイルに無制限アップロードの脆弱性が存在することを公開した。CVSSスコアは4.0で5.3(MEDIUM)、3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能で既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-10993】Codezips Online Institute Management System 1.0で重大な脆弱性が発見、遠隔攻撃のリスクが浮上

【CVE-2024-10993】Codezips Online Institute Manag...

Codezips Online Institute Management System 1.0のmanage_website.phpファイルに重大な脆弱性が発見された。website_imageパラメータを介した制限のないアップロードが可能となっており、遠隔からの攻撃実行のリスクが指摘されている。CVSSスコアは最大6.3を記録し、すでに攻撃コードが公開された状態となっている。教育機関のデータセキュリティに関わる重大な問題として注目される。

【CVE-2024-10993】Codezips Online Institute Manag...

Codezips Online Institute Management System 1.0のmanage_website.phpファイルに重大な脆弱性が発見された。website_imageパラメータを介した制限のないアップロードが可能となっており、遠隔からの攻撃実行のリスクが指摘されている。CVSSスコアは最大6.3を記録し、すでに攻撃コードが公開された状態となっている。教育機関のデータセキュリティに関わる重大な問題として注目される。

コムデザインがPoetics Speech APIとCT-e1/SaaSを連携開始、コールセンター業務の効率化を実現へ

コムデザインがPoetics Speech APIとCT-e1/SaaSを連携開始、コールセン...

株式会社コムデザインは、クラウド型CTI「CT-e1/SaaS」においてPoetics社の「Poetics Speech API」との連携を開始した。100万時間近い日本語実会話データを学習させた音声認識AIにより、コールセンターでの対応履歴の自動入力やFAQの自動作成が可能となり、後処理時間の削減と業務効率化を実現。サーバーレス連携による簡易導入で、既存ユーザーの導入障壁を低減する。

コムデザインがPoetics Speech APIとCT-e1/SaaSを連携開始、コールセン...

株式会社コムデザインは、クラウド型CTI「CT-e1/SaaS」においてPoetics社の「Poetics Speech API」との連携を開始した。100万時間近い日本語実会話データを学習させた音声認識AIにより、コールセンターでの対応履歴の自動入力やFAQの自動作成が可能となり、後処理時間の削減と業務効率化を実現。サーバーレス連携による簡易導入で、既存ユーザーの導入障壁を低減する。

アガルートアカデミーが賃貸不動産経営管理士試験2024年度の解答速報サービスを開始、YouTubeLIVEで無料配信を実施

アガルートアカデミーが賃貸不動産経営管理士試験2024年度の解答速報サービスを開始、YouTu...

株式会社アガルートが運営するアガルートアカデミーは、2024年11月17日に賃貸不動産経営管理士試験の解答速報サービスを開始した。YouTubeLIVEを通じて解答速報、総評、合格ライン予想を無料で配信し、工藤美香講師と中里ユタカ講師が詳細な解説を提供する。会員登録不要で利用可能なため、受験者は場所を問わず即座に情報を入手できる環境が整備されている。

アガルートアカデミーが賃貸不動産経営管理士試験2024年度の解答速報サービスを開始、YouTu...

株式会社アガルートが運営するアガルートアカデミーは、2024年11月17日に賃貸不動産経営管理士試験の解答速報サービスを開始した。YouTubeLIVEを通じて解答速報、総評、合格ライン予想を無料で配信し、工藤美香講師と中里ユタカ講師が詳細な解説を提供する。会員登録不要で利用可能なため、受験者は場所を問わず即座に情報を入手できる環境が整備されている。

【CVE-2024-51793】WordPress RepairBuddyプラグインにWebシェルアップロードの脆弱性、緊急対応が必要な状況に

【CVE-2024-51793】WordPress RepairBuddyプラグインにWebシ...

WordPress RepairBuddyプラグインのバージョン3.8115以前に存在する重大な脆弱性が発見された。CVSSスコア10.0を記録するこの脆弱性では、認証不要で危険なWebシェルをアップロード可能な状態となっている。Patchstack Allianceのstealthcopterによって発見されたこの問題は、システムの完全な制御権限を攻撃者に与える可能性があり、早急な対策が必要となっている。

【CVE-2024-51793】WordPress RepairBuddyプラグインにWebシ...

WordPress RepairBuddyプラグインのバージョン3.8115以前に存在する重大な脆弱性が発見された。CVSSスコア10.0を記録するこの脆弱性では、認証不要で危険なWebシェルをアップロード可能な状態となっている。Patchstack Allianceのstealthcopterによって発見されたこの問題は、システムの完全な制御権限を攻撃者に与える可能性があり、早急な対策が必要となっている。

【CVE-2024-51597】ThemeShark Templates & Widgets for Elementor 1.1.7にストアド型XSS脆弱性が発見、早急なアップデートが必要に

【CVE-2024-51597】ThemeShark Templates & Widgets ...

WordPressプラグイン「ThemeShark Templates & Widgets for Elementor」にストアド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51597として識別されるこの脆弱性は、バージョン1.1.7以前の全てのバージョンに影響を与え、CVSSスコア6.5のMedium評価となっている。攻撃者が特権アカウントを利用して悪意のあるスクリプトを埋め込む可能性があり、早急な対応が推奨される。

【CVE-2024-51597】ThemeShark Templates & Widgets ...

WordPressプラグイン「ThemeShark Templates & Widgets for Elementor」にストアド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51597として識別されるこの脆弱性は、バージョン1.1.7以前の全てのバージョンに影響を与え、CVSSスコア6.5のMedium評価となっている。攻撃者が特権アカウントを利用して悪意のあるスクリプトを埋め込む可能性があり、早急な対応が推奨される。

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサイトスクリプティングの脆弱性が発見

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサ...

WordPressプラグインbpmn.Ioにストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51577として識別されたこの脆弱性は、バージョン1.0以下のすべてのバージョンに影響を及ぼす。CVSSスコアは6.5でミディアムレベルと評価されており、ネットワーク経由での攻撃が可能だが、特権とユーザーの関与が必要とされている。

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサ...

WordPressプラグインbpmn.Ioにストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51577として識別されたこの脆弱性は、バージョン1.0以下のすべてのバージョンに影響を及ぼす。CVSSスコアは6.5でミディアムレベルと評価されており、ネットワーク経由での攻撃が可能だが、特権とユーザーの関与が必要とされている。

【CVE-2024-50241】Linuxカーネルのnfsd4_copy初期化処理に関する脆弱性、参照カウントアンダーフロー問題に対処

【CVE-2024-50241】Linuxカーネルのnfsd4_copy初期化処理に関する脆弱...

Linuxカーネルの開発チームがNFSDのnfsd4_copy構造体における初期化処理の脆弱性を修正。バージョン6.12-rc1から6.12-rc6で発生する可能性のある参照カウントアンダーフロー問題に対し、refcountとasync_copiesフィールドの早期初期化を実装。cleanup_async_copy実行時の安定性が向上し、より信頼性の高いファイル共有サービスの提供が可能に。

【CVE-2024-50241】Linuxカーネルのnfsd4_copy初期化処理に関する脆弱...

Linuxカーネルの開発チームがNFSDのnfsd4_copy構造体における初期化処理の脆弱性を修正。バージョン6.12-rc1から6.12-rc6で発生する可能性のある参照カウントアンダーフロー問題に対し、refcountとasync_copiesフィールドの早期初期化を実装。cleanup_async_copy実行時の安定性が向上し、より信頼性の高いファイル共有サービスの提供が可能に。

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、システムの安定性が向上

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、...

Linuxカーネルのfork処理におけるkhugepaged、KSMフックの呼び出しタイミングが最適化された。この改善により、不完全な状態のmmに対するフック呼び出しが防止され、メモリマップの複製処理における一貫性が確保された。特にmaple treeを使用した実装において、エントリの一貫性を保ちつつ効率的な処理が実現される。これによりシステムの安定性と信頼性が大幅に向上することが期待される。

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、...

Linuxカーネルのfork処理におけるkhugepaged、KSMフックの呼び出しタイミングが最適化された。この改善により、不完全な状態のmmに対するフック呼び出しが防止され、メモリマップの複製処理における一貫性が確保された。特にmaple treeを使用した実装において、エントリの一貫性を保ちつつ効率的な処理が実現される。これによりシステムの安定性と信頼性が大幅に向上することが期待される。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証済み攻撃者によるJavaScriptコード実行の危険性

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。

Headline Asiaがトレーダム株式会社に4.13億円を出資、AI為替リスク管理システムの開発加速へ

Headline Asiaがトレーダム株式会社に4.13億円を出資、AI為替リスク管理システム...

トレーダム株式会社がHeadline Asiaをリード投資家とする第三者割当増資で4.13億円の資金調達を実施。AI為替リスク管理システム「トレーダム為替ソリューション」の機能開発を加速し、エンタープライズプラン開発へ。サービス開始15ヶ月でARR1億円突破、資生堂やMIXIなど60社以上に導入実績。グローバル外貨取引管理やヘッジ取引管理機能を強化予定。

Headline Asiaがトレーダム株式会社に4.13億円を出資、AI為替リスク管理システム...

トレーダム株式会社がHeadline Asiaをリード投資家とする第三者割当増資で4.13億円の資金調達を実施。AI為替リスク管理システム「トレーダム為替ソリューション」の機能開発を加速し、エンタープライズプラン開発へ。サービス開始15ヶ月でARR1億円突破、資生堂やMIXIなど60社以上に導入実績。グローバル外貨取引管理やヘッジ取引管理機能を強化予定。

APRESIA SystemsがハイブリッドワークアプライアンスKOKOMOのVMware ESXi対応版を発売、クラウド環境での柔軟な構築が可能に

APRESIA SystemsがハイブリッドワークアプライアンスKOKOMOのVMware E...

APRESIA Systems株式会社が、ハイブリッドワーク向けアプライアンスKOKOMOのVMware ESXi対応版を発売。仮想SIMカードと5G技術を組み合わせた本製品は、オフィスや自宅など様々な働く環境に対応。価格は97万円からで、同時接続数に応じたライセンス契約が必要。VMware ESXi 7.0/8.0に対応し、今後も対応環境を拡充予定。

APRESIA SystemsがハイブリッドワークアプライアンスKOKOMOのVMware E...

APRESIA Systems株式会社が、ハイブリッドワーク向けアプライアンスKOKOMOのVMware ESXi対応版を発売。仮想SIMカードと5G技術を組み合わせた本製品は、オフィスや自宅など様々な働く環境に対応。価格は97万円からで、同時接続数に応じたライセンス契約が必要。VMware ESXi 7.0/8.0に対応し、今後も対応環境を拡充予定。

採用マーケティングサービストルーがCSV機能を改善、処理時間30%短縮とメモリ最適化で業務効率が向上

採用マーケティングサービストルーがCSV機能を改善、処理時間30%短縮とメモリ最適化で業務効率が向上

株式会社ダトラが提供する採用マーケティングサービストルーは、求人票CSVインポート・エクスポートの速度を大幅改善するパフォーマンスアップデートを実施。インポート処理時間を約3割短縮し、メモリ最適化プログラムを追加することでサーバーの安定稼働を実現。多拠点企業や人材関連企業の採用業務効率向上に貢献する。

採用マーケティングサービストルーがCSV機能を改善、処理時間30%短縮とメモリ最適化で業務効率が向上

株式会社ダトラが提供する採用マーケティングサービストルーは、求人票CSVインポート・エクスポートの速度を大幅改善するパフォーマンスアップデートを実施。インポート処理時間を約3割短縮し、メモリ最適化プログラムを追加することでサーバーの安定稼働を実現。多拠点企業や人材関連企業の採用業務効率向上に貢献する。

IdeinがJR東日本の新パートナーに採択、AIマイクによる接客品質向上と新事業創造を目指す取り組みが始動

IdeinがJR東日本の新パートナーに採択、AIマイクによる接客品質向上と新事業創造を目指す取...

エッジAI開発プラットフォーム「Actcast」を運営するIdein株式会社が、JR東日本スタートアップ主催の「STARTUP PITCH#9」でJR東日本モビリティ・サービス部門の新パートナーに採択された。今後はAIマイクを活用した接客品質向上と新事業創造に向けて、スタートアッププログラムや技術開発、実証実験などを展開していく予定だ。

IdeinがJR東日本の新パートナーに採択、AIマイクによる接客品質向上と新事業創造を目指す取...

エッジAI開発プラットフォーム「Actcast」を運営するIdein株式会社が、JR東日本スタートアップ主催の「STARTUP PITCH#9」でJR東日本モビリティ・サービス部門の新パートナーに採択された。今後はAIマイクを活用した接客品質向上と新事業創造に向けて、スタートアッププログラムや技術開発、実証実験などを展開していく予定だ。

Recursionが27卒エンジニア向け就職サポートプログラムを開始、バックエンド開発スキルの習得と就職支援を提供

Recursionが27卒エンジニア向け就職サポートプログラムを開始、バックエンド開発スキルの...

Recursion, Incが2027年卒業予定の学生を対象に、メガベンチャー企業でのインターン・内定獲得を目指す就職サポートプログラムを開始。元Metaエンジニアが作成したカリキュラムでバックエンド開発スキルを学び、チーム開発や面接対策など充実のサポートを提供。12月7日から開始され、料金はRecursion受講料のみで参加可能。プログラミングスキルと就職活動、両面での成長を支援する。

Recursionが27卒エンジニア向け就職サポートプログラムを開始、バックエンド開発スキルの...

Recursion, Incが2027年卒業予定の学生を対象に、メガベンチャー企業でのインターン・内定獲得を目指す就職サポートプログラムを開始。元Metaエンジニアが作成したカリキュラムでバックエンド開発スキルを学び、チーム開発や面接対策など充実のサポートを提供。12月7日から開始され、料金はRecursion受講料のみで参加可能。プログラミングスキルと就職活動、両面での成長を支援する。

AIセキュリティツールasillaが阿蘇くまもと空港で本格稼働、24時間365日の自動監視による警備強化を実現

AIセキュリティツールasillaが阿蘇くまもと空港で本格稼働、24時間365日の自動監視によ...

アジラ社が開発した警備・施設管理向けAI DXツールAI Security asillaが阿蘇くまもと空港で本格稼働を開始。2024年3月からの実証実験で警備強化と業務効率化に効果が確認された。特許取得済みの違和感検知技術により24時間365日の自動監視を実現し、既存カメラのAI化で異常行動を即時検知。サーバー1台で最大50台のカメラ映像を解析可能。

AIセキュリティツールasillaが阿蘇くまもと空港で本格稼働、24時間365日の自動監視によ...

アジラ社が開発した警備・施設管理向けAI DXツールAI Security asillaが阿蘇くまもと空港で本格稼働を開始。2024年3月からの実証実験で警備強化と業務効率化に効果が確認された。特許取得済みの違和感検知技術により24時間365日の自動監視を実現し、既存カメラのAI化で異常行動を即時検知。サーバー1台で最大50台のカメラ映像を解析可能。

SolanaのRPCプロバイダERPCがBDLCホルダー向け無料優待プランを発表、月額€42のDeveloperプランが無料に

SolanaのRPCプロバイダERPCがBDLCホルダー向け無料優待プランを発表、月額€42の...

ELSOUL LABO B.V.とValidators DAOが運営するSolanaのグローバルRPCプロバイダ「ERPC」が、BDLCホルダー向けの無料優待プランを発表した。通常月額€42のDeveloperプランが無料で利用可能となり、世界300箇所以上のエッジサーバーを活用した高速なアクセスやGeyser、DAS API、Jupiter APIなど多様な要件に対応したサービスを提供している。

SolanaのRPCプロバイダERPCがBDLCホルダー向け無料優待プランを発表、月額€42の...

ELSOUL LABO B.V.とValidators DAOが運営するSolanaのグローバルRPCプロバイダ「ERPC」が、BDLCホルダー向けの無料優待プランを発表した。通常月額€42のDeveloperプランが無料で利用可能となり、世界300箇所以上のエッジサーバーを活用した高速なアクセスやGeyser、DAS API、Jupiter APIなど多様な要件に対応したサービスを提供している。

【CVE-2024-10672】Multiple Page Generator Plugin – MPGに認証済みディレクトリトラバーサルの脆弱性、早急な更新が必要に

【CVE-2024-10672】Multiple Page Generator Plugin ...

WordfenceはWordPress用プラグインMultiple Page Generator Plugin – MPGにおいて、バージョン4.0.2以前に認証済みディレクトリトラバーサルによる任意のファイル削除の脆弱性が存在することを公開した。エディターレベル以上の権限を持つ攻撃者がサーバー上の特定のファイルを削除できる可能性があり、早急な対応が必要となっている。

【CVE-2024-10672】Multiple Page Generator Plugin ...

WordfenceはWordPress用プラグインMultiple Page Generator Plugin – MPGにおいて、バージョン4.0.2以前に認証済みディレクトリトラバーサルによる任意のファイル削除の脆弱性が存在することを公開した。エディターレベル以上の権限を持つ攻撃者がサーバー上の特定のファイルを削除できる可能性があり、早急な対応が必要となっている。

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザーによる情報漏洩のリスクに警戒

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザ...

GitサーバーとCI/CD機能を提供するOneDevにおいて、バージョン11.0.9未満に深刻な認証回避の脆弱性が発見された。未認証ユーザーによる任意のファイル読み取りが可能となる問題が確認されており、CVSSスコア8.7(HIGH)と高い危険性が指摘されている。開発チームは直ちにバージョン11.0.9で修正を実施したが、早急なアップデートの適用が推奨される。

【CVE-2024-45309】OneDev 11.0.9未満に認証回避の脆弱性、未認証ユーザ...

GitサーバーとCI/CD機能を提供するOneDevにおいて、バージョン11.0.9未満に深刻な認証回避の脆弱性が発見された。未認証ユーザーによる任意のファイル読み取りが可能となる問題が確認されており、CVSSスコア8.7(HIGH)と高い危険性が指摘されている。開発チームは直ちにバージョン11.0.9で修正を実施したが、早急なアップデートの適用が推奨される。

【CVE-2024-50634】Watcharr v1.43.0のJWTトークン脆弱性が発覚、特権昇格の危険性が浮上

【CVE-2024-50634】Watcharr v1.43.0のJWTトークン脆弱性が発覚、...

Watcharr v1.43.0以下のバージョンにおいて、JWTトークンに関する重大な脆弱性が発見された。CVE-2024-50634として識別されたこの脆弱性は、攻撃者による特権昇格を可能にし、認証を必要とする全機能に影響を及ぼす。CVSSスコアは8.8(HIGH)と評価され、ネットワークからの攻撃が可能で、攻撃条件の複雑さも低いことが判明している。

【CVE-2024-50634】Watcharr v1.43.0のJWTトークン脆弱性が発覚、...

Watcharr v1.43.0以下のバージョンにおいて、JWTトークンに関する重大な脆弱性が発見された。CVE-2024-50634として識別されたこの脆弱性は、攻撃者による特権昇格を可能にし、認証を必要とする全機能に影響を及ぼす。CVSSスコアは8.8(HIGH)と評価され、ネットワークからの攻撃が可能で、攻撃条件の複雑さも低いことが判明している。

【CVE-2024-51587】Definitive Addons for Elementor 1.5.16にXSS脆弱性、WordPress開発者の対応が急務に

【CVE-2024-51587】Definitive Addons for Elementor...

WordPress用プラグインDefinitive Addons for Elementorにおいて、バージョン1.5.16以前に存在するStored XSSの脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価されており、低い特権で攻撃が可能で影響範囲が変更される可能性がある。Patchstack Allianceのセキュリティリサーチャーによって発見されたこの脆弱性は、WordPress用プラグインの安全性に警鐘を鳴らす重要な事例となっている。

【CVE-2024-51587】Definitive Addons for Elementor...

WordPress用プラグインDefinitive Addons for Elementorにおいて、バージョン1.5.16以前に存在するStored XSSの脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価されており、低い特権で攻撃が可能で影響範囲が変更される可能性がある。Patchstack Allianceのセキュリティリサーチャーによって発見されたこの脆弱性は、WordPress用プラグインの安全性に警鐘を鳴らす重要な事例となっている。

【CVE-2024-11054】Simple Music Cloud Community System 1.0に深刻な脆弱性、リモートからの攻撃が可能な状態に

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆弱性、リモートコード実行のリスクが発生

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-51152】Laravel CMS v.1.4.7に深刻な脆弱性、リモートからの任意のコード実行が可能な状態に

【CVE-2024-51152】Laravel CMS v.1.4.7に深刻な脆弱性、リモート...

Laravel CMS v.1.4.7およびそれ以前のバージョンにおいて、shell.phpコンポーネントを介した任意のコード実行が可能な重大な脆弱性が発見された。CVSSスコア7.2(重要度:高)に分類されるこの脆弱性は、リモート攻撃者による不正アクセスのリスクをもたらす。CWE-434に分類されるこの問題は、機密性、整合性、可用性のすべてに高いレベルでの影響を及ぼす可能性がある。

【CVE-2024-51152】Laravel CMS v.1.4.7に深刻な脆弱性、リモート...

Laravel CMS v.1.4.7およびそれ以前のバージョンにおいて、shell.phpコンポーネントを介した任意のコード実行が可能な重大な脆弱性が発見された。CVSSスコア7.2(重要度:高)に分類されるこの脆弱性は、リモート攻撃者による不正アクセスのリスクをもたらす。CWE-434に分類されるこの問題は、機密性、整合性、可用性のすべてに高いレベルでの影響を及ぼす可能性がある。

【CVE-2024-47768】Lif Authentication Serverにパスワード更新の認証バイパスの脆弱性、アカウント乗っ取りのリスクに直面

【CVE-2024-47768】Lif Authentication Serverにパスワード...

Lif Authentication Serverのアカウント復旧システムに重大な脆弱性が発見された。バージョン1.7.3未満では、メールアドレスを知っているだけでパスワードリセットが可能な状態であり、アカウント乗っ取りのリスクが存在。CVSSスコアは6.9(MEDIUM)で、攻撃条件の複雑さは低く特権も不要。バージョン1.7.3で適切な認証チェックが実装され、脆弱性は修正された。

【CVE-2024-47768】Lif Authentication Serverにパスワード...

Lif Authentication Serverのアカウント復旧システムに重大な脆弱性が発見された。バージョン1.7.3未満では、メールアドレスを知っているだけでパスワードリセットが可能な状態であり、アカウント乗っ取りのリスクが存在。CVSSスコアは6.9(MEDIUM)で、攻撃条件の複雑さは低く特権も不要。バージョン1.7.3で適切な認証チェックが実装され、脆弱性は修正された。

GoogleがAndroid向けAI搭載の詐欺通話検出機能を発表、リアルタイムでの詐欺被害防止が可能に

GoogleがAndroid向けAI搭載の詐欺通話検出機能を発表、リアルタイムでの詐欺被害防止...

GoogleはAndroidユーザーを詐欺から保護するため、AIを活用したScam Detection機能を発表した。年間1兆ドルを超える被害をもたらす電話詐欺に対し、Gemini Nanoによるリアルタイムの通話分析と警告機能を実装。Pixel 6以降のデバイスで利用可能で、プライバシーに配慮したオンデバイス処理を採用している。

GoogleがAndroid向けAI搭載の詐欺通話検出機能を発表、リアルタイムでの詐欺被害防止...

GoogleはAndroidユーザーを詐欺から保護するため、AIを活用したScam Detection機能を発表した。年間1兆ドルを超える被害をもたらす電話詐欺に対し、Gemini Nanoによるリアルタイムの通話分析と警告機能を実装。Pixel 6以降のデバイスで利用可能で、プライバシーに配慮したオンデバイス処理を採用している。