Tech Insights

【CVE-2024-45085】IBM WebSphere Application Server 8.5にDoS脆弱性、特定設定下でサービス停止の可能性

【CVE-2024-45085】IBM WebSphere Application Serve...

IBMは2024年10月15日、WebSphere Application Server 8.5において特定の設定下でサービス拒否攻撃が可能となる脆弱性を公開した。CVSSスコア5.9の中程度の深刻度と評価され、リモートからの攻撃により予期せぬエラーを引き起こしサービスの停止につながる可能性がある。既知の攻撃は確認されていないものの、システム管理者は適切なパッチ適用などの対策が必要となる。

【CVE-2024-45085】IBM WebSphere Application Serve...

IBMは2024年10月15日、WebSphere Application Server 8.5において特定の設定下でサービス拒否攻撃が可能となる脆弱性を公開した。CVSSスコア5.9の中程度の深刻度と評価され、リモートからの攻撃により予期せぬエラーを引き起こしサービスの停止につながる可能性がある。既知の攻撃は確認されていないものの、システム管理者は適切なパッチ適用などの対策が必要となる。

ユーティルが中小企業向けホームページできるくんをリリース、月額2,980円から高品質なホームページ制作が可能に

ユーティルが中小企業向けホームページできるくんをリリース、月額2,980円から高品質なホームペ...

株式会社ユーティルは月額2,980円から高品質なホームページを制作できる「ホームページできるくん」をリリースした。スマホ対応やSNS連携、予約機能などを搭載し、プロのWeb制作会社と共同開発したデザインワークフローにより高品質なデザインを実現。さらに中小企業向けのBPaaS事業を本格展開し、デジタルマーケティングやバックオフィス業務まで支援を拡大していく方針だ。

ユーティルが中小企業向けホームページできるくんをリリース、月額2,980円から高品質なホームペ...

株式会社ユーティルは月額2,980円から高品質なホームページを制作できる「ホームページできるくん」をリリースした。スマホ対応やSNS連携、予約機能などを搭載し、プロのWeb制作会社と共同開発したデザインワークフローにより高品質なデザインを実現。さらに中小企業向けのBPaaS事業を本格展開し、デジタルマーケティングやバックオフィス業務まで支援を拡大していく方針だ。

【CVE-2024-50496】AR For WordPressプラグインに深刻な脆弱性、Web Shellアップロードの危険性が明らかに

【CVE-2024-50496】AR For WordPressプラグインに深刻な脆弱性、We...

WordPressプラグイン「AR For WordPress」にファイルアップロードの脆弱性が発見された。CVE-2024-50496として識別されたこの問題は、攻撃者によるWeb Shellのアップロードを可能にし、CVSSスコア10.0の最も深刻なレベルに分類される。バージョン6.2までの全バージョンが影響を受け、特別な権限なしで攻撃が可能な状態となっている。

【CVE-2024-50496】AR For WordPressプラグインに深刻な脆弱性、We...

WordPressプラグイン「AR For WordPress」にファイルアップロードの脆弱性が発見された。CVE-2024-50496として識別されたこの問題は、攻撃者によるWeb Shellのアップロードを可能にし、CVSSスコア10.0の最も深刻なレベルに分類される。バージョン6.2までの全バージョンが影響を受け、特別な権限なしで攻撃が可能な状態となっている。

【CVE-2024-50439】WordPress用プラグインAstra Widgets 1.2.14に格納型XSS脆弱性が発見、アップデートによる対応が必要に

【CVE-2024-50439】WordPress用プラグインAstra Widgets 1....

WordPressプラグインAstra Widgetsにおいて格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-50439として識別されたこの脆弱性は、バージョン1.2.14以前に影響を与え、CVSSスコア6.5の中程度の深刻度と評価されている。修正版となるバージョン1.2.15がリリースされており、早急なアップデートが推奨される。

【CVE-2024-50439】WordPress用プラグインAstra Widgets 1....

WordPressプラグインAstra Widgetsにおいて格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-50439として識別されたこの脆弱性は、バージョン1.2.14以前に影響を与え、CVSSスコア6.5の中程度の深刻度と評価されている。修正版となるバージョン1.2.15がリリースされており、早急なアップデートが推奨される。

【CVE-2024-50446】WordPressプラグインFuturio Extraにストアドクロスサイトスクリプティングの脆弱性が発見、バージョン2.0.12で修正

【CVE-2024-50446】WordPressプラグインFuturio Extraにストア...

WordPressプラグインFuturio Extraにおいて、Webページ生成時の入力の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-50446】として識別され、CVSS v3.1で深刻度6.5(中程度)と評価されている。バージョン2.0.11以前のユーザーには、修正版となる2.0.12へのアップデートが推奨される。

【CVE-2024-50446】WordPressプラグインFuturio Extraにストア...

WordPressプラグインFuturio Extraにおいて、Webページ生成時の入力の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-50446】として識別され、CVSS v3.1で深刻度6.5(中程度)と評価されている。バージョン2.0.11以前のユーザーには、修正版となる2.0.12へのアップデートが推奨される。

【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロードの脆弱性、リモートコード実行の危険性が判明

【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロー...

WordPressプラグインFileOrganizerの1.0.9以前のバージョンにおいて、認証済みユーザー(Subscriber以上)が悪用可能な任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVSS基本スコア7.5と評価される重要な問題であり、リモートコード実行の可能性を含む。FileOrganizer Proプラグインがインストールされアクティブな状態である必要があるものの、早急な対応が求められる。

【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロー...

WordPressプラグインFileOrganizerの1.0.9以前のバージョンにおいて、認証済みユーザー(Subscriber以上)が悪用可能な任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVSS基本スコア7.5と評価される重要な問題であり、リモートコード実行の可能性を含む。FileOrganizer Proプラグインがインストールされアクティブな状態である必要があるものの、早急な対応が求められる。

TSS LINKが情報漏えい対策ソフト コプリガード Ver.7.0を発表、管理外デバイスからのアクセス防止機能を追加し安全性が向上

TSS LINKが情報漏えい対策ソフト コプリガード Ver.7.0を発表、管理外デバイスから...

株式会社ティエスエスリンクがサーバーやPCから共有ファイルのコピーを禁止する情報漏えい対策ソフトウェア「コプリガード Ver.7.0」を2024年11月11日に販売開始。新バージョンでは管理ログの自動収集機能が追加され、新製品の共有フォルダー保護拡張オプションによってコプリガード管理外デバイスからの共有フォルダーへのアクセスを制限できるようになった。

TSS LINKが情報漏えい対策ソフト コプリガード Ver.7.0を発表、管理外デバイスから...

株式会社ティエスエスリンクがサーバーやPCから共有ファイルのコピーを禁止する情報漏えい対策ソフトウェア「コプリガード Ver.7.0」を2024年11月11日に販売開始。新バージョンでは管理ログの自動収集機能が追加され、新製品の共有フォルダー保護拡張オプションによってコプリガード管理外デバイスからの共有フォルダーへのアクセスを制限できるようになった。

【CVE-2024-51661】WordPressプラグインMedia Library Assistant 3.19にRCE脆弱性が発見、即時アップデートの必要性が浮上

【CVE-2024-51661】WordPressプラグインMedia Library Ass...

WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。

【CVE-2024-51661】WordPressプラグインMedia Library Ass...

WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザーによるサーバーサイド攻撃のリスクに

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-8614】WP JobSearchプラグインに深刻な脆弱性、任意のファイルアップロードによるリモートコード実行の危険性

【CVE-2024-8614】WP JobSearchプラグインに深刻な脆弱性、任意のファイル...

WordPressのプラグインWP JobSearchの2.6.7以前のバージョンにおいて、jobsearch_wp_handle_upload()関数のファイルタイプ検証の不備により、認証済みユーザーが任意のファイルをアップロード可能な脆弱性が発見された。CVSSスコア9.9の深刻な脆弱性であり、リモートコード実行の可能性を含むため、早急な対応が必要とされている。

【CVE-2024-8614】WP JobSearchプラグインに深刻な脆弱性、任意のファイル...

WordPressのプラグインWP JobSearchの2.6.7以前のバージョンにおいて、jobsearch_wp_handle_upload()関数のファイルタイプ検証の不備により、認証済みユーザーが任意のファイルをアップロード可能な脆弱性が発見された。CVSSスコア9.9の深刻な脆弱性であり、リモートコード実行の可能性を含むため、早急な対応が必要とされている。

【CVE-2024-9307】mFolio Lite 1.2.1に認証不備の脆弱性、リモートコード実行の危険性が浮上

【CVE-2024-9307】mFolio Lite 1.2.1に認証不備の脆弱性、リモートコ...

WordPressプラグインのmFolio Lite 1.2.1以前のバージョンにおいて、ファイルアップロードに関する重大な脆弱性が発見された。Author以上の権限を持つユーザーが任意のSVGファイルやEXEファイルをアップロード可能な状態となっており、リモートコード実行の危険性が指摘されている。CVSSスコア9.9のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。

【CVE-2024-9307】mFolio Lite 1.2.1に認証不備の脆弱性、リモートコ...

WordPressプラグインのmFolio Lite 1.2.1以前のバージョンにおいて、ファイルアップロードに関する重大な脆弱性が発見された。Author以上の権限を持つユーザーが任意のSVGファイルやEXEファイルをアップロード可能な状態となっており、リモートコード実行の危険性が指摘されている。CVSSスコア9.9のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。

【CVE-2024-8615】JobSearch WP Job Board 2.6.7に認証不要の任意ファイルアップロード脆弱性、リモートコード実行の危険性が発覚

【CVE-2024-8615】JobSearch WP Job Board 2.6.7に認証不...

WordPressプラグインのJobSearch WP Job Board 2.6.7以前のバージョンで、認証不要で任意のファイルをアップロードできる脆弱性が発見された。jobsearch_location_load_excel_file_callback()関数でのファイルタイプ検証の不備が原因で、リモートコード実行の可能性があるため深刻度はCriticalレベル。CVSSスコア10.0と評価され、早急な対応が必要とされている。

【CVE-2024-8615】JobSearch WP Job Board 2.6.7に認証不...

WordPressプラグインのJobSearch WP Job Board 2.6.7以前のバージョンで、認証不要で任意のファイルをアップロードできる脆弱性が発見された。jobsearch_location_load_excel_file_callback()関数でのファイルタイプ検証の不備が原因で、リモートコード実行の可能性があるため深刻度はCriticalレベル。CVSSスコア10.0と評価され、早急な対応が必要とされている。

母子モ社が鮫川村で母子手帳アプリを提供開始、子育て支援のデジタル化による利便性向上へ

母子モ社が鮫川村で母子手帳アプリを提供開始、子育て支援のデジタル化による利便性向上へ

母子モ株式会社は福島県鮫川村で母子手帳アプリ『鮫川村子育て応援アプリきなこ』の提供を開始した。予防接種スケジュールや健診結果の管理、行政サービスの案内など多彩な機能を搭載し、クラウド上でのデータ管理により災害時の紛失リスクにも対応。こども家庭庁が目指す電子版母子健康手帳の原則化に先駆けた取り組みとして注目される。

母子モ社が鮫川村で母子手帳アプリを提供開始、子育て支援のデジタル化による利便性向上へ

母子モ株式会社は福島県鮫川村で母子手帳アプリ『鮫川村子育て応援アプリきなこ』の提供を開始した。予防接種スケジュールや健診結果の管理、行政サービスの案内など多彩な機能を搭載し、クラウド上でのデータ管理により災害時の紛失リスクにも対応。こども家庭庁が目指す電子版母子健康手帳の原則化に先駆けた取り組みとして注目される。

マップルが巡回業務用ナビゲーションシステムルートナビゲータープラスを発表、リアルタイムな車両管理機能で業務効率化を実現

マップルが巡回業務用ナビゲーションシステムルートナビゲータープラスを発表、リアルタイムな車両管...

株式会社マップルは2025年2月に新製品『ルートナビゲータープラス』をリリース予定だ。従来の『ルートナビゲーター』の機能を踏襲しつつ、サーバーおよび管理アプリを統合することで情報共有の効率化を実現。車両動態管理機能も追加され、コースや訪問先、ドライバー情報の一元管理が可能となり、物流業界の課題解決に貢献する。

マップルが巡回業務用ナビゲーションシステムルートナビゲータープラスを発表、リアルタイムな車両管...

株式会社マップルは2025年2月に新製品『ルートナビゲータープラス』をリリース予定だ。従来の『ルートナビゲーター』の機能を踏襲しつつ、サーバーおよび管理アプリを統合することで情報共有の効率化を実現。車両動態管理機能も追加され、コースや訪問先、ドライバー情報の一元管理が可能となり、物流業界の課題解決に貢献する。

リードプラスがWebサイト構築パッケージWEBプラスを提供開始、クラウドCMSによってセキュリティと運用効率が向上へ

リードプラスがWebサイト構築パッケージWEBプラスを提供開始、クラウドCMSによってセキュリ...

リードプラス株式会社が新サービス「WEBプラス」の提供を2024年11月11日より開始。クラウドCMSを採用し、セキュリティリスクを低減しながら、専門知識がなくても更新できる操作性を実現。MAセットプラン、スタンダードプラン、ライトプラン、LPプランの4つのプランを展開し、三菱地所のHOMETACTサイトでの導入実績も持つ。

リードプラスがWebサイト構築パッケージWEBプラスを提供開始、クラウドCMSによってセキュリ...

リードプラス株式会社が新サービス「WEBプラス」の提供を2024年11月11日より開始。クラウドCMSを採用し、セキュリティリスクを低減しながら、専門知識がなくても更新できる操作性を実現。MAセットプラン、スタンダードプラン、ライトプラン、LPプランの4つのプランを展開し、三菱地所のHOMETACTサイトでの導入実績も持つ。

DONUTSとニデックが電子カルテ分野で協業、CLIUSの眼科向け機能開発と販売促進体制の強化へ

DONUTSとニデックが電子カルテ分野で協業、CLIUSの眼科向け機能開発と販売促進体制の強化へ

DONUTSはニデックと電子カルテ分野での協業を開始し、クラウド型電子カルテCLIUSに眼科領域向けの機能を実装する。ニデックのNAVIS-CLのノウハウを活用し、NAVIS-AZUとの連携も目指す。両社の協業により販売促進体制を強化し、より多くの医療機関へのシステム導入を進める。世界100カ国に展開するニデックのネットワークを活用し、日本の医療のデジタル化促進に貢献する方針だ。

DONUTSとニデックが電子カルテ分野で協業、CLIUSの眼科向け機能開発と販売促進体制の強化へ

DONUTSはニデックと電子カルテ分野での協業を開始し、クラウド型電子カルテCLIUSに眼科領域向けの機能を実装する。ニデックのNAVIS-CLのノウハウを活用し、NAVIS-AZUとの連携も目指す。両社の協業により販売促進体制を強化し、より多くの医療機関へのシステム導入を進める。世界100カ国に展開するニデックのネットワークを活用し、日本の医療のデジタル化促進に貢献する方針だ。

NCSOFTがJourney of Monarchの第2次事前サーバー&キャラクター先取りを開始、グローバル事前登録者数500万人突破で追加特典決定

NCSOFTがJourney of Monarchの第2次事前サーバー&キャラクター先取りを開...

NCSOFTは『リネージュ』シリーズ最新作「Journey of Monarch - 君主の道」の事前サーバー&キャラクター先取りを11月11日に終了し、11月12日より第2次先取りを開始する。サーバーの定員超過により増設を実施し、グローバル事前登録者数が500万人を突破したことで追加特典として500ダイヤとマジックドール召喚券50個の配布が決定した。2024年第4四半期にiOS、Android、Windowsでリリース予定。

NCSOFTがJourney of Monarchの第2次事前サーバー&キャラクター先取りを開...

NCSOFTは『リネージュ』シリーズ最新作「Journey of Monarch - 君主の道」の事前サーバー&キャラクター先取りを11月11日に終了し、11月12日より第2次先取りを開始する。サーバーの定員超過により増設を実施し、グローバル事前登録者数が500万人を突破したことで追加特典として500ダイヤとマジックドール召喚券50個の配布が決定した。2024年第4四半期にiOS、Android、Windowsでリリース予定。

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジェクションの脆弱性、リモート攻撃が可能な状態に

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-9867】Element Pack Elementor Addonsに深刻な脆弱性、Contributor権限での任意スクリプト実行が可能に

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-10086】ConsulとConsul Enterpriseで反射型XSSの脆弱性を発見、Content-Type HTTP headerの不適切な設定が原因に

【CVE-2024-10086】ConsulとConsul Enterpriseで反射型XSS...

HashiCorp社は2024年10月30日、ConsulとConsul Enterpriseにおいて反射型XSSの脆弱性を発見したと発表した。本脆弱性はContent-Type HTTP headerが明示的に設定されていないことに起因し、バージョン1.4.1から1.20.0未満が影響を受ける。CVSS v3.1での深刻度は中程度の6.1を記録しており、修正版として1.19.3、1.18.5、1.15.15がリリースされている。

【CVE-2024-10086】ConsulとConsul Enterpriseで反射型XSS...

HashiCorp社は2024年10月30日、ConsulとConsul Enterpriseにおいて反射型XSSの脆弱性を発見したと発表した。本脆弱性はContent-Type HTTP headerが明示的に設定されていないことに起因し、バージョン1.4.1から1.20.0未満が影響を受ける。CVSS v3.1での深刻度は中程度の6.1を記録しており、修正版として1.19.3、1.18.5、1.15.15がリリースされている。

【CVE-2024-8184】JettyのThreadLimitHandlerに重大な脆弱性、DoS攻撃のリスクが浮上

【CVE-2024-8184】JettyのThreadLimitHandlerに重大な脆弱性、...

Eclipse FoundationはJettyのThreadLimitHandler.getRemote()に存在する重大な脆弱性を公開した。この脆弱性は認証されていないユーザーによるDoS攻撃を可能とし、巧妙に細工されたリクエストによってサーバーのメモリーを枯渇させる危険性がある。影響を受けるバージョンはJetty 9.3.12から12.0.8まで広範囲に及び、CVSS v3.1で5.9(MEDIUM)と評価されている。

【CVE-2024-8184】JettyのThreadLimitHandlerに重大な脆弱性、...

Eclipse FoundationはJettyのThreadLimitHandler.getRemote()に存在する重大な脆弱性を公開した。この脆弱性は認証されていないユーザーによるDoS攻撃を可能とし、巧妙に細工されたリクエストによってサーバーのメモリーを枯渇させる危険性がある。影響を受けるバージョンはJetty 9.3.12から12.0.8まで広範囲に及び、CVSS v3.1で5.9(MEDIUM)と評価されている。

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアップロードの脆弱性が発見、早急な対応が必要に

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアッ...

WordPressプラグインPlugin Propagatorにおいて、Webシェルをサーバーにアップロードできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-50495】として識別され、CVSS v3.1で最高レベルの10.0(CRITICAL)と評価されている。バージョン0.1以前に影響があり、攻撃者は特別な権限なく遠隔から攻撃可能なため、早急な対応が必要となる。

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアッ...

WordPressプラグインPlugin Propagatorにおいて、Webシェルをサーバーにアップロードできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-50495】として識別され、CVSS v3.1で最高レベルの10.0(CRITICAL)と評価されている。バージョン0.1以前に影響があり、攻撃者は特別な権限なく遠隔から攻撃可能なため、早急な対応が必要となる。

Ruby on Rails 8.0が正式リリース、PaaS不要の高速デプロイメントとSQLite活用で依存関係を大幅削減

Ruby on Rails 8.0が正式リリース、PaaS不要の高速デプロイメントとSQLit...

Ruby on Railsの最新バージョン8.0が正式リリースされ、PaaSに依存しない高速なデプロイメント環境を実現。Kamal 2とThrusterの組み合わせにより、複雑な設定なしで本番環境の構築が可能に。さらにSQLiteを活用した3つのadapterの導入でMySQLやRedisへの依存関係を削減し、開発環境の簡素化を実現した。

Ruby on Rails 8.0が正式リリース、PaaS不要の高速デプロイメントとSQLit...

Ruby on Railsの最新バージョン8.0が正式リリースされ、PaaSに依存しない高速なデプロイメント環境を実現。Kamal 2とThrusterの組み合わせにより、複雑な設定なしで本番環境の構築が可能に。さらにSQLiteを活用した3つのadapterの導入でMySQLやRedisへの依存関係を削減し、開発環境の簡素化を実現した。

【CVE-2024-9443】Basticom Framework 1.5.0にXSS脆弱性が発見、SVGファイルを介した攻撃の可能性が浮上

【CVE-2024-9443】Basticom Framework 1.5.0にXSS脆弱性が...

WordPressプラグインBasticom Framework 1.5.0以前のバージョンに、SVGファイルアップロードを介した格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4のMEDIUMレベルと評価され、Author以上の権限を持つユーザーによる悪用の可能性がある。入力サニタイズと出力エスケープの不備が原因で、アップロードされたSVGファイルを通じて不正なスクリプトが実行される危険性がある。

【CVE-2024-9443】Basticom Framework 1.5.0にXSS脆弱性が...

WordPressプラグインBasticom Framework 1.5.0以前のバージョンに、SVGファイルアップロードを介した格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4のMEDIUMレベルと評価され、Author以上の権限を持つユーザーによる悪用の可能性がある。入力サニタイズと出力エスケープの不備が原因で、アップロードされたSVGファイルを通じて不正なスクリプトが実行される危険性がある。

【CVE-2024-8627】Ultimate TinyMCE 5.7以前にXSS脆弱性が発見、Contributor以上で任意スクリプト実行が可能に

【CVE-2024-8627】Ultimate TinyMCE 5.7以前にXSS脆弱性が発見...

Wordfenceは2024年10月30日、WordPressプラグインのUltimate TinyMCEにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。バージョン5.7以前のfieldショートコードで入力検証が不十分であり、Contributorレベル以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能。CVSS v3.1で6.4(Medium)と評価され、該当ページにアクセスしたユーザーに影響を及ぼす可能性がある。

【CVE-2024-8627】Ultimate TinyMCE 5.7以前にXSS脆弱性が発見...

Wordfenceは2024年10月30日、WordPressプラグインのUltimate TinyMCEにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。バージョン5.7以前のfieldショートコードで入力検証が不十分であり、Contributorレベル以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能。CVSS v3.1で6.4(Medium)と評価され、該当ページにアクセスしたユーザーに影響を及ぼす可能性がある。

【CVE-2024-50411】WordPress WP Abstracts 2.7.1にXSS脆弱性、アップデートで修正完了へ

【CVE-2024-50411】WordPress WP Abstracts 2.7.1にXS...

WordPress用プラグインWP Abstractsにおいて、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。【CVE-2024-50411】として識別されるこの脆弱性は、バージョン2.7.1以前に影響を与え、CVSSスコア5.9のMEDIUMレベルと評価されている。高い特権レベルと利用者の操作を必要とするものの、機密性・完全性・可用性に影響を与える可能性があり、早急なアップデートが推奨される。

【CVE-2024-50411】WordPress WP Abstracts 2.7.1にXS...

WordPress用プラグインWP Abstractsにおいて、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。【CVE-2024-50411】として識別されるこの脆弱性は、バージョン2.7.1以前に影響を与え、CVSSスコア5.9のMEDIUMレベルと評価されている。高い特権レベルと利用者の操作を必要とするものの、機密性・完全性・可用性に影響を与える可能性があり、早急なアップデートが推奨される。

【CVE-2024-45086】IBM WebSphere Application Server 8.5と9.0にXXE脆弱性、特権ユーザーによる攻撃リスクに警戒

【CVE-2024-45086】IBM WebSphere Application Serve...

IBMはWebSphere Application Server 8.5と9.0においてXML外部エンティティインジェクション脆弱性【CVE-2024-45086】を公開した。特権ユーザーによるXMLデータ処理時の機密情報漏洩とメモリリソース消費のリスクが判明。CVSSスコアは5.5で、攻撃の複雑さは低いものの特権ユーザー権限が必要。早急なセキュリティパッチの適用と設定見直しが推奨される。

【CVE-2024-45086】IBM WebSphere Application Serve...

IBMはWebSphere Application Server 8.5と9.0においてXML外部エンティティインジェクション脆弱性【CVE-2024-45086】を公開した。特権ユーザーによるXMLデータ処理時の機密情報漏洩とメモリリソース消費のリスクが判明。CVSSスコアは5.5で、攻撃の複雑さは低いものの特権ユーザー権限が必要。早急なセキュリティパッチの適用と設定見直しが推奨される。

【CVE-2024-30122】HCL Sametime 12.0.2以前のHTTPヘッダー設定不備、セキュリティ強化が必要に

【CVE-2024-30122】HCL Sametime 12.0.2以前のHTTPヘッダー設...

HCL SoftwareがHCL Sametimeのセキュリティ関連HTTPヘッダー設定の不備を公開。CVE-2024-30122として識別されるこの脆弱性は、CVSSスコア5.8の中程度の深刻度を持ち、バージョン12.0.2以前に影響。Webサービスレスポンスにおける一部HTTPヘッダーの欠落により、ブラウザのセキュリティポリシーが適切に機能しない状態となっている。

【CVE-2024-30122】HCL Sametime 12.0.2以前のHTTPヘッダー設...

HCL SoftwareがHCL Sametimeのセキュリティ関連HTTPヘッダー設定の不備を公開。CVE-2024-30122として識別されるこの脆弱性は、CVSSスコア5.8の中程度の深刻度を持ち、バージョン12.0.2以前に影響。Webサービスレスポンスにおける一部HTTPヘッダーの欠落により、ブラウザのセキュリティポリシーが適切に機能しない状態となっている。

【CVE-2024-51681】WP Pocket URLs 1.0.3にXSS脆弱性が発見、アップデートによる対策が必要に

【CVE-2024-51681】WP Pocket URLs 1.0.3にXSS脆弱性が発見、...

WordPressプラグインWP Pocket URLsにおいて、バージョン1.0.3以前に影響を与えるStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、攻撃には特権とユーザーの関与が必要とされる。Patchstack Allianceに所属するSOPROBROにより発見され、対策としてバージョン1.0.4へのアップデートが推奨されている。

【CVE-2024-51681】WP Pocket URLs 1.0.3にXSS脆弱性が発見、...

WordPressプラグインWP Pocket URLsにおいて、バージョン1.0.3以前に影響を与えるStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、攻撃には特権とユーザーの関与が必要とされる。Patchstack Allianceに所属するSOPROBROにより発見され、対策としてバージョン1.0.4へのアップデートが推奨されている。

【CVE-2024-51665】WordPress用プラグインMagical Addons For Elementor 1.2.1にSSRF脆弱性が発見、早急な更新が必要に

【CVE-2024-51665】WordPress用プラグインMagical Addons F...

WordPressのプラグインMagical Addons For Elementorにおいて、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。CVE-2024-51665として識別されるこの脆弱性は、バージョン1.2.1以前に存在し、CVSSスコア4.9(MEDIUM)と評価されている。攻撃の複雑さは高いものの特権レベルは低く、早急な対応が推奨される。すでにバージョン1.2.3で修正が完了している。

【CVE-2024-51665】WordPress用プラグインMagical Addons F...

WordPressのプラグインMagical Addons For Elementorにおいて、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。CVE-2024-51665として識別されるこの脆弱性は、バージョン1.2.1以前に存在し、CVSSスコア4.9(MEDIUM)と評価されている。攻撃の複雑さは高いものの特権レベルは低く、早急な対応が推奨される。すでにバージョン1.2.3で修正が完了している。