Tech Insights

【CVE-2024-49769】Waitress 3.0.1未満のバージョンでDoS脆弱性が発見、リソース枯渇とCPU使用率上昇のリスクに

【CVE-2024-49769】Waitress 3.0.1未満のバージョンでDoS脆弱性が発...

PythonのWSGIサーバーWaitressにおいて、リモートクライアントによる接続切断時のソケット処理に起因する重大な脆弱性が発見された。この問題により、攻撃者は少ないリソースでシステムのCPU使用率を著しく上昇させることが可能となる。CVSS v3.1で7.5(High)と評価されたこの脆弱性は、Waitress 3.0.1で修正され、接続処理の安全性が向上している。

【CVE-2024-49769】Waitress 3.0.1未満のバージョンでDoS脆弱性が発...

PythonのWSGIサーバーWaitressにおいて、リモートクライアントによる接続切断時のソケット処理に起因する重大な脆弱性が発見された。この問題により、攻撃者は少ないリソースでシステムのCPU使用率を著しく上昇させることが可能となる。CVSS v3.1で7.5(High)と評価されたこの脆弱性は、Waitress 3.0.1で修正され、接続処理の安全性が向上している。

【CVE-2024-49768】Waitressに重大な脆弱性、HTTPパイプライン処理のレースコンディションが発見され即急な対応が必要に

【CVE-2024-49768】Waitressに重大な脆弱性、HTTPパイプライン処理のレー...

Web Server Gateway InterfaceサーバーのWaitressにおいて、HTTPパイプライニングを利用した際のレースコンディションの脆弱性が発見された。CVE-2024-49768として識別されるこの脆弱性は、リクエストルックアヘッド機能が有効な場合に無効なリクエストの処理を許してしまう。CVSS v3.1で9.1(クリティカル)と評価される深刻な問題であり、Waitress 3.0.1へのアップデートが推奨される。

【CVE-2024-49768】Waitressに重大な脆弱性、HTTPパイプライン処理のレー...

Web Server Gateway InterfaceサーバーのWaitressにおいて、HTTPパイプライニングを利用した際のレースコンディションの脆弱性が発見された。CVE-2024-49768として識別されるこの脆弱性は、リクエストルックアヘッド機能が有効な場合に無効なリクエストの処理を許してしまう。CVSS v3.1で9.1(クリティカル)と評価される深刻な問題であり、Waitress 3.0.1へのアップデートが推奨される。

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta.36で修正完了し安全性が向上

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta....

Nginx UIのバージョン2.0.0-beta.36未満において、ログパス制御の脆弱性が発見された。この脆弱性は【CVE-2024-49367】として識別され、/api/configsエンドポイントでのディレクトリトラバーサル攻撃により、サーバー上のファイル内容が読み取り可能となっていた。CVSS v4.0で5.5(Medium)と評価され、早急な対応が推奨される。開発元の0xJackyは2.0.0-beta.36で修正を実施している。

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta....

Nginx UIのバージョン2.0.0-beta.36未満において、ログパス制御の脆弱性が発見された。この脆弱性は【CVE-2024-49367】として識別され、/api/configsエンドポイントでのディレクトリトラバーサル攻撃により、サーバー上のファイル内容が読み取り可能となっていた。CVSS v4.0で5.5(Medium)と評価され、早急な対応が推奨される。開発元の0xJackyは2.0.0-beta.36で修正を実施している。

【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサルの脆弱性、権限昇格のリスクで緊急アップデートを推奨

【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサ...

GitHubは2024年10月21日、Nginx用WebインターフェースNginx UI v2.0.0-beta.35以前にパストラバーサルの脆弱性が存在することを公開した。この脆弱性はCVE-2024-49366として識別され、CVSSスコア7.7(HIGH)と評価されている。jsonフィールドの値検証が不十分なため、攻撃者によるサーバー上の任意のファイル書き込みが可能となる深刻な問題だ。

【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサ...

GitHubは2024年10月21日、Nginx用WebインターフェースNginx UI v2.0.0-beta.35以前にパストラバーサルの脆弱性が存在することを公開した。この脆弱性はCVE-2024-49366として識別され、CVSSスコア7.7(HIGH)と評価されている。jsonフィールドの値検証が不十分なため、攻撃者によるサーバー上の任意のファイル書き込みが可能となる深刻な問題だ。

【CVE-2024-10503】Klokan MapTiler tileserver-gl 2.3.1にXSS脆弱性、リモート攻撃のリスクが顕在化

【CVE-2024-10503】Klokan MapTiler tileserver-gl 2...

Klokan MapTiler tileserver-gl 2.3.1においてクロスサイトスクリプティング(XSS)の脆弱性が発見された。URLハンドラーコンポーネントの処理に関連する脆弱性で、リモートからの攻撃が可能となっている。CVSS 4.0で中程度の深刻度5.3を記録し、既に一般に公開されているため、早急な対策が求められる状況だ。

【CVE-2024-10503】Klokan MapTiler tileserver-gl 2...

Klokan MapTiler tileserver-gl 2.3.1においてクロスサイトスクリプティング(XSS)の脆弱性が発見された。URLハンドラーコンポーネントの処理に関連する脆弱性で、リモートからの攻撃が可能となっている。CVSS 4.0で中程度の深刻度5.3を記録し、既に一般に公開されているため、早急な対策が求められる状況だ。

クレスコがIoTソリューションCLIPを愛知県旭丘高校に提供、次世代エンジニア育成を本格的に支援開始

クレスコがIoTソリューションCLIPを愛知県旭丘高校に提供、次世代エンジニア育成を本格的に支援開始

クレスコは次世代育成支援として、IoT実装支援ソリューション「CLIP」を愛知県立旭丘高校天文部に無償提供。ELTRESアドオンIoT開発キットとCLIP Viewer Liteにより、生徒たちはスペースバルーンの打ち上げに成功。技術相談からサンプルコード提供まで、包括的なサポートを実施し、次世代エンジニアの育成に貢献している。

クレスコがIoTソリューションCLIPを愛知県旭丘高校に提供、次世代エンジニア育成を本格的に支援開始

クレスコは次世代育成支援として、IoT実装支援ソリューション「CLIP」を愛知県立旭丘高校天文部に無償提供。ELTRESアドオンIoT開発キットとCLIP Viewer Liteにより、生徒たちはスペースバルーンの打ち上げに成功。技術相談からサンプルコード提供まで、包括的なサポートを実施し、次世代エンジニアの育成に貢献している。

TBグループがサブスクリプション型クラウド対応LEDビジョンサービスGO!VISIONを関西地区で初導入、簡単操作で店舗の集客力向上に貢献

TBグループがサブスクリプション型クラウド対応LEDビジョンサービスGO!VISIONを関西地...

TBグループは、サブスクリプション型クラウド対応LEDビジョンサービスGO!VISIONを関西地区で初めて導入した。奈良公園奈良三条通店に設置されたLEDビジョンは、3.9mmピッチ高輝度フルカラーチップLEDを搭載し、遠方からの視認性を確保。PCやスマートフォンからの直感的な操作が可能で、専門知識がなくても効果的な集客ツールとして活用できる。

TBグループがサブスクリプション型クラウド対応LEDビジョンサービスGO!VISIONを関西地...

TBグループは、サブスクリプション型クラウド対応LEDビジョンサービスGO!VISIONを関西地区で初めて導入した。奈良公園奈良三条通店に設置されたLEDビジョンは、3.9mmピッチ高輝度フルカラーチップLEDを搭載し、遠方からの視認性を確保。PCやスマートフォンからの直感的な操作が可能で、専門知識がなくても効果的な集客ツールとして活用できる。

【CVE-2024-9883】WordPressプラグインPods 3.2.7.1未満にXSS脆弱性、管理者権限での攻撃に注意

【CVE-2024-9883】WordPressプラグインPods 3.2.7.1未満にXSS...

WPScanがWordPressプラグインPodsのバージョン3.2.7.1未満において、Stored XSS脆弱性を発見した。この脆弱性は設定項目の不適切なサニタイズとエスケープに起因し、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.8でMedium(中程度)に分類され、マルチサイト環境でも攻撃が成立する可能性がある。

【CVE-2024-9883】WordPressプラグインPods 3.2.7.1未満にXSS...

WPScanがWordPressプラグインPodsのバージョン3.2.7.1未満において、Stored XSS脆弱性を発見した。この脆弱性は設定項目の不適切なサニタイズとエスケープに起因し、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.8でMedium(中程度)に分類され、マルチサイト環境でも攻撃が成立する可能性がある。

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性、データ改変や喪失のリスクが深刻に

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...

lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...

lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。

【CVE-2024-51136】openimaj v1.3.10のDmoz2CSVでXXE脆弱性が発見、情報漏洩のリスクに警鐘

【CVE-2024-51136】openimaj v1.3.10のDmoz2CSVでXXE脆弱...

MITREは2024年11月4日、openimaj v1.3.10のDmoz2CSVコンポーネントにXXE脆弱性が存在することを公開した。CVE-2024-51136として識別されるこの脆弱性は、CVSSスコア9.8のCRITICALに分類され、攻撃者が特権レベルやユーザーの操作なしで機密情報にアクセスできる可能性がある。CWE-91(XMLインジェクション)に分類され、早急な対策が必要とされている。

【CVE-2024-51136】openimaj v1.3.10のDmoz2CSVでXXE脆弱...

MITREは2024年11月4日、openimaj v1.3.10のDmoz2CSVコンポーネントにXXE脆弱性が存在することを公開した。CVE-2024-51136として識別されるこの脆弱性は、CVSSスコア9.8のCRITICALに分類され、攻撃者が特権レベルやユーザーの操作なしで機密情報にアクセスできる可能性がある。CWE-91(XMLインジェクション)に分類され、早急な対策が必要とされている。

【CVE-2024-50531】RSVPMaker for Toastmasters 6.2.4にWebシェルアップロードの脆弱性、早急な更新が必要

【CVE-2024-50531】RSVPMaker for Toastmasters 6.2....

WordPress用プラグイン「RSVPMaker for Toastmasters」のバージョン6.2.4以前に、Webシェルをサーバーにアップロードできる深刻な脆弱性が発見された。CVSSスコア10.0の最高レベルの危険度で、攻撃者が特権なしでシステムに侵入可能。バージョン6.2.5で修正されており、管理者は早急なアップデートが推奨される。Patchstack Allianceが発見したこの脆弱性は、機密性・整合性・可用性すべてに高いリスクがある。

【CVE-2024-50531】RSVPMaker for Toastmasters 6.2....

WordPress用プラグイン「RSVPMaker for Toastmasters」のバージョン6.2.4以前に、Webシェルをサーバーにアップロードできる深刻な脆弱性が発見された。CVSSスコア10.0の最高レベルの危険度で、攻撃者が特権なしでシステムに侵入可能。バージョン6.2.5で修正されており、管理者は早急なアップデートが推奨される。Patchstack Allianceが発見したこの脆弱性は、機密性・整合性・可用性すべてに高いリスクがある。

【CVE-2024-49368】Nginx UIにおけるlogrotate設定の脆弱性が発見、任意のコマンド実行の危険性が明らかに

【CVE-2024-49368】Nginx UIにおけるlogrotate設定の脆弱性が発見、...

Nginx UIの重大な脆弱性【CVE-2024-49368】が2024年10月21日に公開された。バージョン2.0.0-beta.36未満に影響を与えるこの脆弱性は、logrotate設定時の入力検証の不備により任意のコマンド実行を許可してしまう問題を引き起こす。CVSSスコア8.9のHIGH評価で、ネットワーク経由での攻撃が可能であり、早急な対応が求められている。

【CVE-2024-49368】Nginx UIにおけるlogrotate設定の脆弱性が発見、...

Nginx UIの重大な脆弱性【CVE-2024-49368】が2024年10月21日に公開された。バージョン2.0.0-beta.36未満に影響を与えるこの脆弱性は、logrotate設定時の入力検証の不備により任意のコマンド実行を許可してしまう問題を引き起こす。CVSSスコア8.9のHIGH評価で、ネットワーク経由での攻撃が可能であり、早急な対応が求められている。

プレミアムウォーターのfamfitがトモニテ子育て大賞2024で最優秀賞、ボトル下置き型の使いやすさが高評価

プレミアムウォーターのfamfitがトモニテ子育て大賞2024で最優秀賞、ボトル下置き型の使い...

プレミアムウォーター株式会社のウォーターサーバーfamfitが、トモニテ子育て大賞2024のウォーターサーバー部門で最優秀賞を受賞。非加熱処理による天然水のおいしさとボトル下置き型の使いやすさが評価された。妊娠中や未就学児のいる家庭向けに特別プランPREMIUM WATER MOM CLUBを提供し、子育て世帯の支援を強化している。

プレミアムウォーターのfamfitがトモニテ子育て大賞2024で最優秀賞、ボトル下置き型の使い...

プレミアムウォーター株式会社のウォーターサーバーfamfitが、トモニテ子育て大賞2024のウォーターサーバー部門で最優秀賞を受賞。非加熱処理による天然水のおいしさとボトル下置き型の使いやすさが評価された。妊娠中や未就学児のいる家庭向けに特別プランPREMIUM WATER MOM CLUBを提供し、子育て世帯の支援を強化している。

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエストによる機密データ露出の脆弱性、早急な対応が必要に

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...

Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...

Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-34887】Bitrix24 23.300.100でAD/LDAP設定の認証情報漏洩の脆弱性を確認、中程度の深刻度と評価

【CVE-2024-34887】Bitrix24 23.300.100でAD/LDAP設定の認...

1C-BitrixのBitrix24 23.300.100においてAD/LDAPサーバー設定の認証情報が十分に保護されていない脆弱性が発見された。CVSSスコア6.8の中程度の深刻度と評価され、リモート管理者による認証情報の不正な送信が可能となっている。CISAの評価では自動化可能な攻撃手法の存在が指摘され、企業における認証情報の適切な保護と管理の重要性が浮き彫りとなった。

【CVE-2024-34887】Bitrix24 23.300.100でAD/LDAP設定の認...

1C-BitrixのBitrix24 23.300.100においてAD/LDAPサーバー設定の認証情報が十分に保護されていない脆弱性が発見された。CVSSスコア6.8の中程度の深刻度と評価され、リモート管理者による認証情報の不正な送信が可能となっている。CISAの評価では自動化可能な攻撃手法の存在が指摘され、企業における認証情報の適切な保護と管理の重要性が浮き彫りとなった。

【CVE-2024-34883】Bitrix24 23.300.100でDAVサーバー設定の脆弱性が発覚、プロキシサーバーのパスワード漏洩のリスクに

【CVE-2024-34883】Bitrix24 23.300.100でDAVサーバー設定の脆...

1C-BitrixのBitrix24 23.300.100において、DAVサーバー設定に関する重大な脆弱性【CVE-2024-34883】が発見された。この脆弱性により、リモート管理者がHTTP GETリクエストを介してプロキシサーバーアカウントのパスワードを読み取ることが可能となっている。CVSS v3.1で6.8(MEDIUM)と評価されており、CWE-522に分類される認証情報の保護不足が指摘されている。

【CVE-2024-34883】Bitrix24 23.300.100でDAVサーバー設定の脆...

1C-BitrixのBitrix24 23.300.100において、DAVサーバー設定に関する重大な脆弱性【CVE-2024-34883】が発見された。この脆弱性により、リモート管理者がHTTP GETリクエストを介してプロキシサーバーアカウントのパスワードを読み取ることが可能となっている。CVSS v3.1で6.8(MEDIUM)と評価されており、CWE-522に分類される認証情報の保護不足が指摘されている。

【CVE-2024-34882】Bitrix24 23.300.100でSMTP設定の脆弱性が発見、認証情報保護の強化が急務に

【CVE-2024-34882】Bitrix24 23.300.100でSMTP設定の脆弱性が...

1C-Bitrix社のBitrix24 23.300.100において、SMTP設定の認証情報が十分に保護されていない脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のサーバーにSMTPアカウントのパスワードを送信可能となっている。CVSSスコア6.8(MEDIUM)と評価され、特に機密性への影響が高く、早急な対応が必要とされている。

【CVE-2024-34882】Bitrix24 23.300.100でSMTP設定の脆弱性が...

1C-Bitrix社のBitrix24 23.300.100において、SMTP設定の認証情報が十分に保護されていない脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のサーバーにSMTPアカウントのパスワードを送信可能となっている。CVSSスコア6.8(MEDIUM)と評価され、特に機密性への影響が高く、早急な対応が必要とされている。

【CVE-2024-50530】Stars SMTP Mailer 1.7以前に危険なファイルアップロードの脆弱性、早急な対応が必要に

【CVE-2024-50530】Stars SMTP Mailer 1.7以前に危険なファイル...

WordPressプラグインのStars SMTP Mailerにおいて、バージョン1.7以前に危険なファイルタイプの無制限アップロードを許可する脆弱性が発見された。CVE-2024-50530として識別されるこの脆弱性は、CVSSスコア9.9のクリティカルな問題として評価されており、Webシェルのアップロードを可能にしてしまう危険性が指摘されている。早急なバージョンアップデートによる対応が推奨される。

【CVE-2024-50530】Stars SMTP Mailer 1.7以前に危険なファイル...

WordPressプラグインのStars SMTP Mailerにおいて、バージョン1.7以前に危険なファイルタイプの無制限アップロードを許可する脆弱性が発見された。CVE-2024-50530として識別されるこの脆弱性は、CVSSスコア9.9のクリティカルな問題として評価されており、Webシェルのアップロードを可能にしてしまう危険性が指摘されている。早急なバージョンアップデートによる対応が推奨される。

【CVE-2024-50529】WordPress Training Coursesプラグインに深刻な脆弱性、Webシェル攻撃のリスクで早急な対応が必要

【CVE-2024-50529】WordPress Training Coursesプラグイン...

WordPressプラグインTraining Courses 2.0.1以前のバージョンに危険なファイルアップロードの脆弱性が発見された。CVE-2024-50529として識別されるこの脆弱性は、攻撃者によるWebシェルのアップロードを可能にし、サーバーの遠隔操作やデータの改ざんのリスクがある。CVSSスコア9.9のクリティカルな脆弱性として評価され、早急なアップデートが推奨されている。

【CVE-2024-50529】WordPress Training Coursesプラグイン...

WordPressプラグインTraining Courses 2.0.1以前のバージョンに危険なファイルアップロードの脆弱性が発見された。CVE-2024-50529として識別されるこの脆弱性は、攻撃者によるWebシェルのアップロードを可能にし、サーバーの遠隔操作やデータの改ざんのリスクがある。CVSSスコア9.9のクリティカルな脆弱性として評価され、早急なアップデートが推奨されている。

【CVE-2024-50527】WordPress用Stacks Mobile App Builder 5.2.3に深刻な脆弱性、Webシェルのアップロードが可能に

【CVE-2024-50527】WordPress用Stacks Mobile App Bui...

WordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに危険なファイルのアップロードを許可する脆弱性が発見された。CVE-2024-50527として識別されるこの脆弱性は、CVSSスコア10.0の最も深刻なレベルで、攻撃者が認証なしでWebシェルをサーバーにアップロードすることが可能となる。早急なバージョンアップデートによる対策が必要だ。

【CVE-2024-50527】WordPress用Stacks Mobile App Bui...

WordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに危険なファイルのアップロードを許可する脆弱性が発見された。CVE-2024-50527として識別されるこの脆弱性は、CVSSスコア10.0の最も深刻なレベルで、攻撃者が認証なしでWebシェルをサーバーにアップロードすることが可能となる。早急なバージョンアップデートによる対策が必要だ。

【CVE-2024-50526】Multi Purpose Mail Form 1.0.2に危険な脆弱性、Web Shellアップロードの可能性が発覚

【CVE-2024-50526】Multi Purpose Mail Form 1.0.2に危...

WordPressプラグインMulti Purpose Mail Form 1.0.2以前のバージョンで、Web Shellをサーバーにアップロード可能な重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルで、認証不要でネットワーク経由の攻撃が可能。機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、早急な対応が必要となっている。

【CVE-2024-50526】Multi Purpose Mail Form 1.0.2に危...

WordPressプラグインMulti Purpose Mail Form 1.0.2以前のバージョンで、Web Shellをサーバーにアップロード可能な重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルで、認証不要でネットワーク経由の攻撃が可能。機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、早急な対応が必要となっている。

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱性、Webシェルによる無制限な攻撃が可能に

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱...

PatchstackはWordPress用プラグインHelloprintにおいて、危険な任意のファイルアップロードを可能にする脆弱性【CVE-2024-50525】を報告した。バージョン2.0.2以前のすべてのバージョンが影響を受け、攻撃者によるWebシェルのアップロードを許可する可能性がある。CVSSスコア10.0の最も深刻なレベルとされ、早急な対応が必要である。

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱...

PatchstackはWordPress用プラグインHelloprintにおいて、危険な任意のファイルアップロードを可能にする脆弱性【CVE-2024-50525】を報告した。バージョン2.0.2以前のすべてのバージョンが影響を受け、攻撃者によるWebシェルのアップロードを許可する可能性がある。CVSSスコア10.0の最も深刻なレベルとされ、早急な対応が必要である。

【CVE-2024-50523】WordPress All Post Contact Form 1.7.3に致命的な脆弱性、Webシェルアップロードによる重大な影響の恐れ

【CVE-2024-50523】WordPress All Post Contact Form...

RainbowLink社のWordPressプラグインAll Post Contact Form 1.7.3以前のバージョンに、危険なファイルタイプのアップロードを制限できない重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルと評価され、Webシェルのアップロードによってサーバーが危険にさらされる可能性がある。特権やユーザー操作を必要としない点から、早急な対策が求められている。

【CVE-2024-50523】WordPress All Post Contact Form...

RainbowLink社のWordPressプラグインAll Post Contact Form 1.7.3以前のバージョンに、危険なファイルタイプのアップロードを制限できない重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルと評価され、Webシェルのアップロードによってサーバーが危険にさらされる可能性がある。特権やユーザー操作を必要としない点から、早急な対策が求められている。

【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱性、リモート攻撃の可能性で対応急ぐ

【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱...

ThinkAdmin 6.1.67以前のバージョンで重大な脆弱性が発見された。/app/admin/controller/api/Plugs.phpファイル内のscript関数におけるuptokenの引数操作によってデシリアリゼーション攻撃が可能となる。リモートからの攻撃が可能で、機密性・整合性・可用性に影響を及ぼす可能性があり、早急な対応が必要な状況だ。ベンダーへの早期情報開示も行われたが、現時点で対応は行われていない。

【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱...

ThinkAdmin 6.1.67以前のバージョンで重大な脆弱性が発見された。/app/admin/controller/api/Plugs.phpファイル内のscript関数におけるuptokenの引数操作によってデシリアリゼーション攻撃が可能となる。リモートからの攻撃が可能で、機密性・整合性・可用性に影響を及ぼす可能性があり、早急な対応が必要な状況だ。ベンダーへの早期情報開示も行われたが、現時点で対応は行われていない。

【CVE-2024-10148】WordPressプラグインAwesome buttons 1.0にXSS脆弱性、コントリビューター権限で任意のスクリプト実行が可能に

【CVE-2024-10148】WordPressプラグインAwesome buttons 1...

WordPressプラグインAwesome buttons 1.0以下の全バージョンにおいて、Stored Cross-Site Scriptingの脆弱性が発見された。btn2ショートコードの入力検証が不十分なため、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは6.4(Medium)で、脆弱性ID【CVE-2024-10148】として2024年10月25日に公開。早急なアップデートが推奨される。

【CVE-2024-10148】WordPressプラグインAwesome buttons 1...

WordPressプラグインAwesome buttons 1.0以下の全バージョンにおいて、Stored Cross-Site Scriptingの脆弱性が発見された。btn2ショートコードの入力検証が不十分なため、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは6.4(Medium)で、脆弱性ID【CVE-2024-10148】として2024年10月25日に公開。早急なアップデートが推奨される。

【CVE-2024-10011】BuddyPress 14.1.0にディレクトリトラバーサルの脆弱性、Windows環境で深刻な影響の可能性

【CVE-2024-10011】BuddyPress 14.1.0にディレクトリトラバーサルの...

WordPressプラグインのBuddyPressにおいて、バージョン14.1.0以前に深刻なディレクトリトラバーサル脆弱性が発見された。CVSSスコア8.1のHIGH評価を受けたこの脆弱性は、Windows環境でSubscriber以上の権限を持つユーザーによって悪用される可能性がある。既に修正版のバージョン14.2.1がリリースされており、早急なアップデートが推奨される。

【CVE-2024-10011】BuddyPress 14.1.0にディレクトリトラバーサルの...

WordPressプラグインのBuddyPressにおいて、バージョン14.1.0以前に深刻なディレクトリトラバーサル脆弱性が発見された。CVSSスコア8.1のHIGH評価を受けたこの脆弱性は、Windows環境でSubscriber以上の権限を持つユーザーによって悪用される可能性がある。既に修正版のバージョン14.2.1がリリースされており、早急なアップデートが推奨される。

ソフトバンクが自動運転車の遠隔サポート向け交通理解マルチモーダルAIを開発、慶應義塾大学SFCで実証実験を開始し運行業務の完全無人化を目指す

ソフトバンクが自動運転車の遠隔サポート向け交通理解マルチモーダルAIを開発、慶應義塾大学SFC...

ソフトバンクが低遅延なエッジAIサーバーで動作する自動運転車の遠隔サポート向け交通理解マルチモーダルAIを開発した。MECなどのエッジAIサーバーでマルチモーダルAIをリアルタイムかつセキュアに稼働させ、自動運転車の状況を即時に理解して遠隔サポートを実現する。2024年10月から慶應義塾大学SFCで実証実験を開始し、運行業務の完全無人化を目指す。

ソフトバンクが自動運転車の遠隔サポート向け交通理解マルチモーダルAIを開発、慶應義塾大学SFC...

ソフトバンクが低遅延なエッジAIサーバーで動作する自動運転車の遠隔サポート向け交通理解マルチモーダルAIを開発した。MECなどのエッジAIサーバーでマルチモーダルAIをリアルタイムかつセキュアに稼働させ、自動運転車の状況を即時に理解して遠隔サポートを実現する。2024年10月から慶應義塾大学SFCで実証実験を開始し、運行業務の完全無人化を目指す。

東証と富士通が株式売買システムarrowhead4.0を運用開始、市場の利便性とレジリエンス強化を実現

東証と富士通が株式売買システムarrowhead4.0を運用開始、市場の利便性とレジリエンス強...

東証と富士通は2024年11月5日、株式売買システムをリニューアルしarrowhead4.0として運用を開始した。クロージング・オークションの導入や取引時間の延長、Market by Order型の相場情報サービスの提供など、市場の利便性を向上させる施策を実施。さらに、取引情報の三重化による障害対策も強化され、より安全で安定的な市場運営が可能となった。

東証と富士通が株式売買システムarrowhead4.0を運用開始、市場の利便性とレジリエンス強...

東証と富士通は2024年11月5日、株式売買システムをリニューアルしarrowhead4.0として運用を開始した。クロージング・オークションの導入や取引時間の延長、Market by Order型の相場情報サービスの提供など、市場の利便性を向上させる施策を実施。さらに、取引情報の三重化による障害対策も強化され、より安全で安定的な市場運営が可能となった。

NECが顔認証ソフトウェアBio-IDiomエッジソフトウェアを発売、高速ウォークスルーと半屋外対応で利便性が向上

NECが顔認証ソフトウェアBio-IDiomエッジソフトウェアを発売、高速ウォークスルーと半屋...

NECは2024年11月5日、高速ウォークスルーや半屋外対応が可能な顔認証ソフトウェア「Bio-IDiomエッジソフトウェア」の販売を開始した。世界No.1の顔認証技術を搭載し、4台までのカメラ同時接続に対応。カメラ1台あたり12万7200円(税別)で、中間サーバー不要による運用コスト削減も実現している。

NECが顔認証ソフトウェアBio-IDiomエッジソフトウェアを発売、高速ウォークスルーと半屋...

NECは2024年11月5日、高速ウォークスルーや半屋外対応が可能な顔認証ソフトウェア「Bio-IDiomエッジソフトウェア」の販売を開始した。世界No.1の顔認証技術を搭載し、4台までのカメラ同時接続に対応。カメラ1台あたり12万7200円(税別)で、中間サーバー不要による運用コスト削減も実現している。

ASUS JAPANがEdge Tech+ 2024でAIoTとMini PC製品の展示を発表、最新のNVIDIA Jetson搭載システムも展開へ

ASUS JAPANがEdge Tech+ 2024でAIoTとMini PC製品の展示を発表...

ASUS JAPAN株式会社が2024年11月20日から22日まで開催されるEdge Tech+ 2024に出展することを発表した。丸文株式会社ブースではNVIDIA Jetson搭載システム製品やエッジAIコンピュータを展示し、インテルブースではテックウインド株式会社との共同出展としてNUCフルラインナップとASUS NUC 14 Pro AIを展示する予定だ。AIoTソリューションの最新技術と製品を網羅的に紹介する機会となる。

ASUS JAPANがEdge Tech+ 2024でAIoTとMini PC製品の展示を発表...

ASUS JAPAN株式会社が2024年11月20日から22日まで開催されるEdge Tech+ 2024に出展することを発表した。丸文株式会社ブースではNVIDIA Jetson搭載システム製品やエッジAIコンピュータを展示し、インテルブースではテックウインド株式会社との共同出展としてNUCフルラインナップとASUS NUC 14 Pro AIを展示する予定だ。AIoTソリューションの最新技術と製品を網羅的に紹介する機会となる。