Tech Insights

【CVE-2024-11477】7-Zip 24.06にZstandard解凍処理の脆弱性、整数アンダーフローによるリモートコード実行の危険性

【CVE-2024-11477】7-Zip 24.06にZstandard解凍処理の脆弱性、整...

Zero Day Initiativeが7-Zip 24.06のZstandard解凍処理における重大な脆弱性を発見した。CVE-2024-11477として識別されるこの脆弱性は、整数アンダーフローによりリモートコード実行が可能となる危険性を持つ。CVSSスコア7.8の高リスク脆弱性として分類され、ユーザーデータの不適切な検証が主な原因とされている。

【CVE-2024-11477】7-Zip 24.06にZstandard解凍処理の脆弱性、整...

Zero Day Initiativeが7-Zip 24.06のZstandard解凍処理における重大な脆弱性を発見した。CVE-2024-11477として識別されるこの脆弱性は、整数アンダーフローによりリモートコード実行が可能となる危険性を持つ。CVSSスコア7.8の高リスク脆弱性として分類され、ユーザーデータの不適切な検証が主な原因とされている。

【CVE-2024-7232】Avast Free Antivirusに特権昇格の脆弱性、シンボリックリンク攻撃による権限奪取の危険性

【CVE-2024-7232】Avast Free Antivirusに特権昇格の脆弱性、シン...

Zero Day Initiativeは2024年11月22日、Avast Free AntivirusのAvastSvcコンポーネントに特権昇格の脆弱性(CVE-2024-7232)を公開した。CVSSスコア7.8の深刻な脆弱性で、低権限ユーザーがシンボリックリンクを利用してフォルダを削除し、SYSTEM権限でコードを実行できる可能性がある。影響を受けるバージョンは23.12.6094(ビルド23.12.8700.813)。

【CVE-2024-7232】Avast Free Antivirusに特権昇格の脆弱性、シン...

Zero Day Initiativeは2024年11月22日、Avast Free AntivirusのAvastSvcコンポーネントに特権昇格の脆弱性(CVE-2024-7232)を公開した。CVSSスコア7.8の深刻な脆弱性で、低権限ユーザーがシンボリックリンクを利用してフォルダを削除し、SYSTEM権限でコードを実行できる可能性がある。影響を受けるバージョンは23.12.6094(ビルド23.12.8700.813)。

【CVE-2024-8358】Visteon Infotainmentシステムに重大な脆弱性、物理アクセスで任意コード実行の可能性

【CVE-2024-8358】Visteon Infotainmentシステムに重大な脆弱性、...

Zero Day Initiativeが2024年11月22日、Visteon InfotainmentシステムのUPDATES_ExtractFile関数にコマンドインジェクションの脆弱性を発見したと発表。物理的なアクセスさえあれば認証なしで任意のコード実行が可能となる深刻な問題で、CVSSスコアは6.8(中程度)と評価されている。影響を受けるバージョンはcmu150_NA_74.00.324Aで、早急な対策が求められている。

【CVE-2024-8358】Visteon Infotainmentシステムに重大な脆弱性、...

Zero Day Initiativeが2024年11月22日、Visteon InfotainmentシステムのUPDATES_ExtractFile関数にコマンドインジェクションの脆弱性を発見したと発表。物理的なアクセスさえあれば認証なしで任意のコード実行が可能となる深刻な問題で、CVSSスコアは6.8(中程度)と評価されている。影響を受けるバージョンはcmu150_NA_74.00.324Aで、早急な対策が求められている。

【CVE-2024-7240】F-Secure Total 19.2に特権昇格の脆弱性、WithSecureプラグインホストサービスの不具合で深刻な影響

【CVE-2024-7240】F-Secure Total 19.2に特権昇格の脆弱性、Wit...

Zero Day InitiativeがF-Secure Total 19.2に特権昇格の脆弱性(CVE-2024-7240)を発見した。WithSecureプラグインホストサービスにおいてシンボリックリンクの処理が適切に制御されておらず、攻撃者が管理者権限でコードを実行できる可能性がある。CVSS v3.0で7.3(High)と評価されており、早急な対応が必要とされている。

【CVE-2024-7240】F-Secure Total 19.2に特権昇格の脆弱性、Wit...

Zero Day InitiativeがF-Secure Total 19.2に特権昇格の脆弱性(CVE-2024-7240)を発見した。WithSecureプラグインホストサービスにおいてシンボリックリンクの処理が適切に制御されておらず、攻撃者が管理者権限でコードを実行できる可能性がある。CVSS v3.0で7.3(High)と評価されており、早急な対応が必要とされている。

【CVE-2024-7239】VIPRE Advanced Security 12.0.1.214にリンクフォローの脆弱性、特権昇格のリスクに警戒

【CVE-2024-7239】VIPRE Advanced Security 12.0.1.2...

Zero Day InitiativeはVIPRE Advanced Security 12.0.1.214にローカル特権昇格の脆弱性(CVE-2024-7239)を発見した。Anti Malwareサービス内のリンクフォロー処理の不備により、攻撃者はシンボリックリンクを悪用してファイル削除操作を行い、SYSTEM権限でのコード実行が可能となる。CVSSスコア7.8の深刻な脆弱性として評価されている。

【CVE-2024-7239】VIPRE Advanced Security 12.0.1.2...

Zero Day InitiativeはVIPRE Advanced Security 12.0.1.214にローカル特権昇格の脆弱性(CVE-2024-7239)を発見した。Anti Malwareサービス内のリンクフォロー処理の不備により、攻撃者はシンボリックリンクを悪用してファイル削除操作を行い、SYSTEM権限でのコード実行が可能となる。CVSSスコア7.8の深刻な脆弱性として評価されている。

【CVE-2024-11658】EnGenius製品に重大な脆弱性、コマンドインジェクション攻撃が可能に

【CVE-2024-11658】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて重大な脆弱性が発見された。countryCode引数の操作によるコマンドインジェクションが可能で、CVSSスコアは中程度の評価。リモートからの攻撃が可能で既にエクスプロイトが公開されているが、ベンダーからの対応は行われていない状況が続いている。

【CVE-2024-11658】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて重大な脆弱性が発見された。countryCode引数の操作によるコマンドインジェクションが可能で、CVSSスコアは中程度の評価。リモートからの攻撃が可能で既にエクスプロイトが公開されているが、ベンダーからの対応は行われていない状況が続いている。

【CVE-2024-11653】EnGenius製品の複数機種でコマンドインジェクション脆弱性、製造元の対応の遅れが深刻な事態に

【CVE-2024-11653】EnGenius製品の複数機種でコマンドインジェクション脆弱性...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて、diag_tracerouteファイルに関連する重大な脆弱性が発見された。リモートからの攻撃が可能で、既に一般公開されている点が特に懸念される。製造元による対応の遅れも問題視されており、影響を受ける製品のバージョンは20241118までとされている。CVSSスコアは中程度だが、早急な対策が必要な状況が続いている。

【CVE-2024-11653】EnGenius製品の複数機種でコマンドインジェクション脆弱性...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて、diag_tracerouteファイルに関連する重大な脆弱性が発見された。リモートからの攻撃が可能で、既に一般公開されている点が特に懸念される。製造元による対応の遅れも問題視されており、影響を受ける製品のバージョンは20241118までとされている。CVSSスコアは中程度だが、早急な対策が必要な状況が続いている。

【CVE-2024-11654】EnGenius製品に重大な脆弱性、コマンドインジェクション攻撃の危険性が浮上

【CVE-2024-11654】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに深刻な脆弱性が発見された。この脆弱性は遠隔からの攻撃が可能で、diag_traceroute6引数の操作によってコマンドインジェクションが実行可能となっている。CVSS 4.0で中程度の評価を受けており、既に公開情報として扱われているため、早急な対応が必要とされている。

【CVE-2024-11654】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに深刻な脆弱性が発見された。この脆弱性は遠隔からの攻撃が可能で、diag_traceroute6引数の操作によってコマンドインジェクションが実行可能となっている。CVSS 4.0で中程度の評価を受けており、既に公開情報として扱われているため、早急な対応が必要とされている。

【CVE-2024-11652】EnGeniusの3製品にコマンドインジェクションの脆弱性、製品ベンダーの対応が課題に

【CVE-2024-11652】EnGeniusの3製品にコマンドインジェクションの脆弱性、製...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が発見された。この脆弱性はコマンドインジェクションを可能にし、CVSS v4.0で5.1(Medium)と評価されている。既に公開されているにもかかわらず、製品ベンダーからの対応が得られていない状況が続いており、早急な対策が求められている。

【CVE-2024-11652】EnGeniusの3製品にコマンドインジェクションの脆弱性、製...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が発見された。この脆弱性はコマンドインジェクションを可能にし、CVSS v4.0で5.1(Medium)と評価されている。既に公開されているにもかかわらず、製品ベンダーからの対応が得られていない状況が続いており、早急な対策が求められている。

【CVE-2024-11655】EnGeniusの無線LAP製品に重大な脆弱性、コマンドインジェクション攻撃の危険性が浮上

【CVE-2024-11655】EnGeniusの無線LAP製品に重大な脆弱性、コマンドインジ...

EnGeniusのENH1350EXT、ENS500-AC、ENS620EXTに重大なセキュリティ脆弱性が発見された。CVE-2024-11655として識別されるこの脆弱性は、diag_pinginterfaceのコマンドインジェクションに関するもので、CVSSスコア4.7と評価される。早期の通知にもかかわらず対応が行われず、既に攻撃手法が公開されているため、ユーザーの迅速な対策が必要とされている。

【CVE-2024-11655】EnGeniusの無線LAP製品に重大な脆弱性、コマンドインジ...

EnGeniusのENH1350EXT、ENS500-AC、ENS620EXTに重大なセキュリティ脆弱性が発見された。CVE-2024-11655として識別されるこの脆弱性は、diag_pinginterfaceのコマンドインジェクションに関するもので、CVSSスコア4.7と評価される。早期の通知にもかかわらず対応が行われず、既に攻撃手法が公開されているため、ユーザーの迅速な対策が必要とされている。

【CVE-2024-11961】Jeewms 3.7で重大な情報漏洩脆弱性が発見、早急な対策が必要な状況に

【CVE-2024-11961】Jeewms 3.7で重大な情報漏洩脆弱性が発見、早急な対策が...

Guangzhou Huayi Intelligent Technology社のJeewms 3.7において、WmOmNoticeHController.javaのpreHandle機能に情報漏洩の脆弱性が発見された。VulDBによってCVSS 4.0スコア6.9(MEDIUM)と評価されており、認証なしでリモートからの攻撃が可能な状態となっている。ベンダーへの早期通知にもかかわらず対応が行われていない状況が続いている。

【CVE-2024-11961】Jeewms 3.7で重大な情報漏洩脆弱性が発見、早急な対策が...

Guangzhou Huayi Intelligent Technology社のJeewms 3.7において、WmOmNoticeHController.javaのpreHandle機能に情報漏洩の脆弱性が発見された。VulDBによってCVSS 4.0スコア6.9(MEDIUM)と評価されており、認証なしでリモートからの攻撃が可能な状態となっている。ベンダーへの早期通知にもかかわらず対応が行われていない状況が続いている。

【CVE-2024-12001】code-projects Wazifa System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-12001】code-projects Wazifa System 1.0...

code-projects社のWazifa System 1.0において、Setting Handler機能のupdatesettings.phpファイルに深刻な脆弱性が発見された。firstname引数の操作によってクロスサイトスクリプティング攻撃が可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは最大5.3を記録し、エクスプロイトコードも公開された状態となっている。

【CVE-2024-12001】code-projects Wazifa System 1.0...

code-projects社のWazifa System 1.0において、Setting Handler機能のupdatesettings.phpファイルに深刻な脆弱性が発見された。firstname引数の操作によってクロスサイトスクリプティング攻撃が可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは最大5.3を記録し、エクスプロイトコードも公開された状態となっている。

【CVE-2024-12002】TendaのFHシリーズ4機種にNullポインタ参照の脆弱性、サービス拒否攻撃のリスクも

【CVE-2024-12002】TendaのFHシリーズ4機種にNullポインタ参照の脆弱性、...

TendaのFH451、FH1201、FH1202、FH1206において、GetIPTVのwebsReadEvent機能にNullポインタ参照の脆弱性が発見された。Content-Lengthパラメータの操作により引き起こされ、リモートからの攻撃が可能。CVSSv4.0では5.3(Medium)のスコアが付与され、攻撃コードも公開されている状態。影響を受けるバージョンは2024年11月29日時点までとなっている。

【CVE-2024-12002】TendaのFHシリーズ4機種にNullポインタ参照の脆弱性、...

TendaのFH451、FH1201、FH1202、FH1206において、GetIPTVのwebsReadEvent機能にNullポインタ参照の脆弱性が発見された。Content-Lengthパラメータの操作により引き起こされ、リモートからの攻撃が可能。CVSSv4.0では5.3(Medium)のスコアが付与され、攻撃コードも公開されている状態。影響を受けるバージョンは2024年11月29日時点までとなっている。

【CVE-2024-12000】code-projects Blood Bank System 1.0にXSS脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2024-12000】code-projects Blood Bank System...

code-projects Blood Bank System 1.0のSetting HandlerコンポーネントにXSS脆弱性が発見され、CVE-2024-12000として公開された。firstnameパラメータを介したリモート攻撃が可能で、CVSS 4.0でMEDIUM(5.3)と評価されている。クロスサイトスクリプティングとコードインジェクションに分類され、低い特権レベルで攻撃可能なため、早急な対応が求められている。

【CVE-2024-12000】code-projects Blood Bank System...

code-projects Blood Bank System 1.0のSetting HandlerコンポーネントにXSS脆弱性が発見され、CVE-2024-12000として公開された。firstnameパラメータを介したリモート攻撃が可能で、CVSS 4.0でMEDIUM(5.3)と評価されている。クロスサイトスクリプティングとコードインジェクションに分類され、低い特権レベルで攻撃可能なため、早急な対応が求められている。

【CVE-2024-46909】WhatsUp Gold 2024.0.1未満のバージョンに重大な脆弱性、認証不要のリモートコード実行が可能に

【CVE-2024-46909】WhatsUp Gold 2024.0.1未満のバージョンに重...

Progress Software Corporationのネットワーク監視ツールWhatsUp Goldにおいて、WriteDataFileのディレクトリトラバーサルに関連する重大な脆弱性が発見された。この脆弱性は認証不要でリモートコード実行が可能となる深刻な問題で、CVSSスコア9.8のクリティカルと評価されている。影響を受けるのはWhatsUp Gold 2023.1.0から2024.0.1未満のWindowsプラットフォーム向け製品となっている。

【CVE-2024-46909】WhatsUp Gold 2024.0.1未満のバージョンに重...

Progress Software Corporationのネットワーク監視ツールWhatsUp Goldにおいて、WriteDataFileのディレクトリトラバーサルに関連する重大な脆弱性が発見された。この脆弱性は認証不要でリモートコード実行が可能となる深刻な問題で、CVSSスコア9.8のクリティカルと評価されている。影響を受けるのはWhatsUp Gold 2023.1.0から2024.0.1未満のWindowsプラットフォーム向け製品となっている。

【CVE-2024-33039】QualcommのSnapdragonプラットフォームで信頼性のないポインタ参照の脆弱性が発見、自動車や携帯端末に影響

【CVE-2024-33039】QualcommのSnapdragonプラットフォームで信頼性...

Qualcommは2024年12月2日、SnapdragonプラットフォームにおけるPALサービスAPIの脆弱性を公開した。CVE-2024-33039として識別されるこの問題は、PALクライアントからのハンドル値の検証が不十分であることに起因し、メモリ破損を引き起こす可能性がある。CVSSスコア6.7の中程度の深刻度だが、Automotive向けやWearables向けなど21のプラットフォームに影響を及ぼす。

【CVE-2024-33039】QualcommのSnapdragonプラットフォームで信頼性...

Qualcommは2024年12月2日、SnapdragonプラットフォームにおけるPALサービスAPIの脆弱性を公開した。CVE-2024-33039として識別されるこの問題は、PALクライアントからのハンドル値の検証が不十分であることに起因し、メモリ破損を引き起こす可能性がある。CVSSスコア6.7の中程度の深刻度だが、Automotive向けやWearables向けなど21のプラットフォームに影響を及ぼす。

【CVE-2024-25035】IBM Cognos Controller 11.0.0-11.0.1に情報漏洩の脆弱性、アプリケーション環境情報の取得リスクに警鐘

【CVE-2024-25035】IBM Cognos Controller 11.0.0-11...

IBMは2024年12月3日、IBM Cognos Controller 11.0.0および11.0.1に情報漏洩の脆弱性が存在することを公開した。この脆弱性はCVE-2024-25035として識別され、攻撃者がアプリケーション環境の情報を取得し、さらなる攻撃を実行できる可能性がある。CVSSv3.1での評価では5.3点のMEDIUMとされており、認証不要でネットワーク経由でのアクセスが可能なことから、早急な対応が求められる。

【CVE-2024-25035】IBM Cognos Controller 11.0.0-11...

IBMは2024年12月3日、IBM Cognos Controller 11.0.0および11.0.1に情報漏洩の脆弱性が存在することを公開した。この脆弱性はCVE-2024-25035として識別され、攻撃者がアプリケーション環境の情報を取得し、さらなる攻撃を実行できる可能性がある。CVSSv3.1での評価では5.3点のMEDIUMとされており、認証不要でネットワーク経由でのアクセスが可能なことから、早急な対応が求められる。

【CVE-2024-40691】IBM Cognos Controllerにファイルアップロードの脆弱性、被害者への攻撃実行の可能性

【CVE-2024-40691】IBM Cognos Controllerにファイルアップロー...

IBM Cognos Controller 11.0.0および11.0.1にファイルアップロードの脆弱性が発見された。CVSSスコア8.0のHigh評価であり、Webインターフェースを通じて悪意のある実行ファイルをアップロードできる可能性がある。この脆弱性は【CVE-2024-40691】として識別され、被害者への更なる攻撃実行のリスクが指摘されている。

【CVE-2024-40691】IBM Cognos Controllerにファイルアップロー...

IBM Cognos Controller 11.0.0および11.0.1にファイルアップロードの脆弱性が発見された。CVSSスコア8.0のHigh評価であり、Webインターフェースを通じて悪意のある実行ファイルをアップロードできる可能性がある。この脆弱性は【CVE-2024-40691】として識別され、被害者への更なる攻撃実行のリスクが指摘されている。

【CVE-2024-41777】IBM Cognos Controller 11.0.0と11.0.1にハードコード化された認証情報の脆弱性、CVSSスコア7.5のハイリスクと評価

【CVE-2024-41777】IBM Cognos Controller 11.0.0と11...

IBMは2024年12月3日、IBM Cognos Controller 11.0.0および11.0.1における重大な脆弱性を公開した。ハードコード化された認証情報の存在が確認され、内部認証、外部通信、データ暗号化に影響を与える可能性がある。CVSSスコア7.5のハイリスクとして評価されており、攻撃に特別な権限や条件を必要としないことから、早急な対応が求められている。

【CVE-2024-41777】IBM Cognos Controller 11.0.0と11...

IBMは2024年12月3日、IBM Cognos Controller 11.0.0および11.0.1における重大な脆弱性を公開した。ハードコード化された認証情報の存在が確認され、内部認証、外部通信、データ暗号化に影響を与える可能性がある。CVSSスコア7.5のハイリスクとして評価されており、攻撃に特別な権限や条件を必要としないことから、早急な対応が求められている。

【CVE-2024-41776】IBMのCognos Controller 11.0.0と11.0.1にCSRF脆弱性、中程度の深刻度と評価される

【CVE-2024-41776】IBMのCognos Controller 11.0.0と11...

IBMは2024年12月3日、IBM Cognos Controller 11.0.0および11.0.1にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを公表した。CVE-2024-41776として識別されるこの脆弱性は、CVSSスコア6.5の中程度と評価され、信頼されたユーザーから不正な操作が実行される可能性が指摘されている。

【CVE-2024-41776】IBMのCognos Controller 11.0.0と11...

IBMは2024年12月3日、IBM Cognos Controller 11.0.0および11.0.1にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを公表した。CVE-2024-41776として識別されるこの脆弱性は、CVSSスコア6.5の中程度と評価され、信頼されたユーザーから不正な操作が実行される可能性が指摘されている。

【CVE-2024-25020】IBM Cognos Controller 11.0.0と11.0.1に危険なファイルアップロードの脆弱性、対策が急務に

【CVE-2024-25020】IBM Cognos Controller 11.0.0と11...

IBMは2024年12月3日、Cognos Controller 11.0.0および11.0.1において、Journal entry pageでファイルタイプの制限が不十分な脆弱性を公開した。CVE-2024-25020として識別されたこの脆弱性は、攻撃者が悪意のある実行可能ファイルをアップロードし、標的に送信することを可能にする。CVSSスコアは5.5でミディアムリスクと評価されており、早急な対応が求められている。

【CVE-2024-25020】IBM Cognos Controller 11.0.0と11...

IBMは2024年12月3日、Cognos Controller 11.0.0および11.0.1において、Journal entry pageでファイルタイプの制限が不十分な脆弱性を公開した。CVE-2024-25020として識別されたこの脆弱性は、攻撃者が悪意のある実行可能ファイルをアップロードし、標的に送信することを可能にする。CVSSスコアは5.5でミディアムリスクと評価されており、早急な対応が求められている。

【CVE-2024-33037】QualcommのNPUファームウェアでバッファオーバーリードの脆弱性が発見、51製品に影響

【CVE-2024-33037】QualcommのNPUファームウェアでバッファオーバーリード...

Qualcommは2024年12月2日、同社のNPUファームウェアにバッファオーバーリードの脆弱性が発見されたことを公開した。CVSSスコア6.1の中程度の脆弱性で、Snapdragon Auto、Compute、Mobile、Wearablesなど51種類の製品に影響。NPUファームウェアからNPUドライバーへの不正なIPCメッセージ送信による情報漏洩のリスクが指摘されている。

【CVE-2024-33037】QualcommのNPUファームウェアでバッファオーバーリード...

Qualcommは2024年12月2日、同社のNPUファームウェアにバッファオーバーリードの脆弱性が発見されたことを公開した。CVSSスコア6.1の中程度の脆弱性で、Snapdragon Auto、Compute、Mobile、Wearablesなど51種類の製品に影響。NPUファームウェアからNPUドライバーへの不正なIPCメッセージ送信による情報漏洩のリスクが指摘されている。

【CVE-2024-45676】IBM Cognos Controller 11.0.0と11.0.1にファイルアップロードの脆弱性を確認、セキュリティ対策が必要に

【CVE-2024-45676】IBM Cognos Controller 11.0.0と11...

IBMは2024年12月3日、IBM Cognos Controller 11.0.0および11.0.1において、ファイルタイプの識別が不十分であることによる脆弱性を公開した。この脆弱性は【CVE-2024-45676】として識別され、認証済みユーザーが安全でないファイルをアップロードできる可能性があり、CVSS v3.1で4.3(Medium)と評価されている。

【CVE-2024-45676】IBM Cognos Controller 11.0.0と11...

IBMは2024年12月3日、IBM Cognos Controller 11.0.0および11.0.1において、ファイルタイプの識別が不十分であることによる脆弱性を公開した。この脆弱性は【CVE-2024-45676】として識別され、認証済みユーザーが安全でないファイルをアップロードできる可能性があり、CVSS v3.1で4.3(Medium)と評価されている。

【CVE-2024-33036】Qualcommのカメラドライバーに重大な脆弱性、Snapdragonプラットフォームに広範な影響

【CVE-2024-33036】Qualcommのカメラドライバーに重大な脆弱性、Snapdr...

Qualcommは2024年12月2日、Snapdragonプラットフォームのカメラドライバーにおけるメモリ破損の脆弱性を公開した。この脆弱性はCVSS v3.1で6.7のミディアムリスクと評価され、特権アクセスを持つ攻撃者によってシステムの安定性やセキュリティが損なわれる可能性がある。影響を受ける製品はSnapdragon 8 Gen 1やSnapdragon 865シリーズなど52製品に及ぶ。

【CVE-2024-33036】Qualcommのカメラドライバーに重大な脆弱性、Snapdr...

Qualcommは2024年12月2日、Snapdragonプラットフォームのカメラドライバーにおけるメモリ破損の脆弱性を公開した。この脆弱性はCVSS v3.1で6.7のミディアムリスクと評価され、特権アクセスを持つ攻撃者によってシステムの安定性やセキュリティが損なわれる可能性がある。影響を受ける製品はSnapdragon 8 Gen 1やSnapdragon 865シリーズなど52製品に及ぶ。

【CVE-2024-10074】OpenHarmony v4.1.1のLiteos_aに特権昇格の脆弱性、CVSSスコア8.8で早急な対応が必要に

【CVE-2024-10074】OpenHarmony v4.1.1のLiteos_aに特権昇...

OpenHarmonyは2024年12月3日、オペレーティングシステムの重要コンポーネントであるLiteos_aにuse after freeの脆弱性が存在することを公開した。この脆弱性はCVE-2024-10074として識別され、v4.1.0からv4.1.1のバージョンに影響を及ぼすもので、ローカル攻撃者が一般権限から管理者権限まで特権を昇格させることが可能になっている。CVSSスコアは8.8のHIGHに分類されており、早急な対応が求められる。

【CVE-2024-10074】OpenHarmony v4.1.1のLiteos_aに特権昇...

OpenHarmonyは2024年12月3日、オペレーティングシステムの重要コンポーネントであるLiteos_aにuse after freeの脆弱性が存在することを公開した。この脆弱性はCVE-2024-10074として識別され、v4.1.0からv4.1.1のバージョンに影響を及ぼすもので、ローカル攻撃者が一般権限から管理者権限まで特権を昇格させることが可能になっている。CVSSスコアは8.8のHIGHに分類されており、早急な対応が求められる。

【CVE-2024-9978】OpenHarmony v4.1.1以前のLiteos_aに範囲外読み取りの脆弱性、情報漏洩のリスクに対応が必要

【CVE-2024-9978】OpenHarmony v4.1.1以前のLiteos_aに範囲...

OpenHarmonyは2024年12月3日、Liteos_aに範囲外読み取り(Out-of-bounds Read)の脆弱性が発見されたことを公開した。この脆弱性は【CVE-2024-9978】として識別され、OpenHarmony v4.1.1以前のバージョンに影響を及ぼす。CVSSv3.1による評価では深刻度は「MEDIUM」で基本スコアは5.5とされており、ローカル攻撃者による情報漏洩のリスクがある。

【CVE-2024-9978】OpenHarmony v4.1.1以前のLiteos_aに範囲...

OpenHarmonyは2024年12月3日、Liteos_aに範囲外読み取り(Out-of-bounds Read)の脆弱性が発見されたことを公開した。この脆弱性は【CVE-2024-9978】として識別され、OpenHarmony v4.1.1以前のバージョンに影響を及ぼす。CVSSv3.1による評価では深刻度は「MEDIUM」で基本スコアは5.5とされており、ローカル攻撃者による情報漏洩のリスクがある。

【CVE-2024-12183】DedeCMS 5.7.116にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2024-12183】DedeCMS 5.7.116にクロスサイトスクリプティングの...

DedeCMS 5.7.116のHTTP POSTリクエストハンドラーに含まれるRemoveXSS関数にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性は2024年12月4日にVulDBによって公開され、CVE-2024-12183として識別されている。CVSSスコアは最大で5.3(MEDIUM)と評価され、リモートからの攻撃実行が可能な状態となっている。攻撃には特権レベルが必要だが、システムの整合性に影響を与える可能性がある。

【CVE-2024-12183】DedeCMS 5.7.116にクロスサイトスクリプティングの...

DedeCMS 5.7.116のHTTP POSTリクエストハンドラーに含まれるRemoveXSS関数にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性は2024年12月4日にVulDBによって公開され、CVE-2024-12183として識別されている。CVSSスコアは最大で5.3(MEDIUM)と評価され、リモートからの攻撃実行が可能な状態となっている。攻撃には特権レベルが必要だが、システムの整合性に影響を与える可能性がある。

【CVE-2024-12186】Hotel Management System 1.0にスタックベースのバッファオーバーフロー脆弱性、メモリ破壊やシステム異常の可能性

【CVE-2024-12186】Hotel Management System 1.0にスタッ...

code-projects社のHotel Management System 1.0において、hotelnew.cファイル内のAvailable Room Handler機能にスタックベースのバッファオーバーフロー脆弱性が発見された。CVSSスコアは4.0で4.8(Medium)を記録し、ローカルアクセスによる攻撃の可能性が指摘されている。既に攻撃コードが公開されており、早急な対応が求められる状況だ。

【CVE-2024-12186】Hotel Management System 1.0にスタッ...

code-projects社のHotel Management System 1.0において、hotelnew.cファイル内のAvailable Room Handler機能にスタックベースのバッファオーバーフロー脆弱性が発見された。CVSSスコアは4.0で4.8(Medium)を記録し、ローカルアクセスによる攻撃の可能性が指摘されている。既に攻撃コードが公開されており、早急な対応が求められる状況だ。

【CVE-2024-12130】Rockwell Automation Arena®にOut Of Bounds Read脆弱性、任意コード実行の危険性

【CVE-2024-12130】Rockwell Automation Arena®にOut ...

Rockwell AutomationのArena®に深刻なOut Of Bounds Read脆弱性が発見された。CVE-2024-12130として識別されるこの脆弱性は、攻撃者が細工したDOEファイルを通じてメモリ境界外の読み取りを引き起こし、任意のコード実行を可能にする。全バージョン16.20.03以前が影響を受け、CVSSスコアは8.5と高い深刻度を示している。

【CVE-2024-12130】Rockwell Automation Arena®にOut ...

Rockwell AutomationのArena®に深刻なOut Of Bounds Read脆弱性が発見された。CVE-2024-12130として識別されるこの脆弱性は、攻撃者が細工したDOEファイルを通じてメモリ境界外の読み取りを引き起こし、任意のコード実行を可能にする。全バージョン16.20.03以前が影響を受け、CVSSスコアは8.5と高い深刻度を示している。

【CVE-2024-12230】PHPGurukul Complaint Management System 1.0にSQLインジェクションの脆弱性、重大なセキュリティリスクに

【CVE-2024-12230】PHPGurukul Complaint Management...

PHPGurukul社のComplaint Management System 1.0において、管理者向け機能のsubcategory.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-12230として識別されたこの脆弱性は、CVSSスコア最大7.3(HIGH)と評価され、リモートからの攻撃が可能であり特別な認証も不要なため、早急な対応が必要とされている。

【CVE-2024-12230】PHPGurukul Complaint Management...

PHPGurukul社のComplaint Management System 1.0において、管理者向け機能のsubcategory.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-12230として識別されたこの脆弱性は、CVSSスコア最大7.3(HIGH)と評価され、リモートからの攻撃が可能であり特別な認証も不要なため、早急な対応が必要とされている。