Tech Insights
【CVE-2024-43530】Windows Update Stackに特権昇格の脆弱性、複...
Microsoftは2024年11月12日、Windows Update Stackにおける特権昇格の脆弱性【CVE-2024-43530】を公開した。この脆弱性はCVSSスコア7.8の高リスクとして評価され、Windows Server 2022やWindows 11など複数のバージョンに影響を与える。攻撃の複雑さは低く、ユーザーの介入は不要とされており、機密性・整合性・可用性のすべてに高い影響を及ぼす可能性がある。
【CVE-2024-43530】Windows Update Stackに特権昇格の脆弱性、複...
Microsoftは2024年11月12日、Windows Update Stackにおける特権昇格の脆弱性【CVE-2024-43530】を公開した。この脆弱性はCVSSスコア7.8の高リスクとして評価され、Windows Server 2022やWindows 11など複数のバージョンに影響を与える。攻撃の複雑さは低く、ユーザーの介入は不要とされており、機密性・整合性・可用性のすべてに高い影響を及ぼす可能性がある。
【CVE-2024-43635】WindowsのTelephonyサービスに重大な脆弱性、広範...
MicrosoftがWindows Telephonyサービスのリモートコード実行の脆弱性【CVE-2024-43635】を公開した。Windows 10からWindows 11、さらにServer 2008からServer 2025まで広範なバージョンが影響を受け、CVSS v3.1で8.8のハイリスクと評価されている。Integer Overflow or Wraparoundに分類されるこの脆弱性は、特権なしでリモートからの攻撃が可能となる。
【CVE-2024-43635】WindowsのTelephonyサービスに重大な脆弱性、広範...
MicrosoftがWindows Telephonyサービスのリモートコード実行の脆弱性【CVE-2024-43635】を公開した。Windows 10からWindows 11、さらにServer 2008からServer 2025まで広範なバージョンが影響を受け、CVSS v3.1で8.8のハイリスクと評価されている。Integer Overflow or Wraparoundに分類されるこの脆弱性は、特権なしでリモートからの攻撃が可能となる。
【CVE-2024-49051】Microsoft PC Managerに特権昇格の脆弱性、バ...
MicrosoftはPC Managerの特権昇格の脆弱性【CVE-2024-49051】を公開した。バージョン1.0.0から3.14.10.0未満が影響を受け、CVSSスコア7.8の高リスク脆弱性として評価されている。不適切なリンク解決によるファイルアクセス前のリンクの処理に関連しており、特権は必要だがユーザーの操作は不要という特徴を持つ。
【CVE-2024-49051】Microsoft PC Managerに特権昇格の脆弱性、バ...
MicrosoftはPC Managerの特権昇格の脆弱性【CVE-2024-49051】を公開した。バージョン1.0.0から3.14.10.0未満が影響を受け、CVSSスコア7.8の高リスク脆弱性として評価されている。不適切なリンク解決によるファイルアクセス前のリンクの処理に関連しており、特権は必要だがユーザーの操作は不要という特徴を持つ。
【CVE-2024-50147】LinuxカーネルのMANAGE_PAGESコマンドビットマス...
Linuxカーネルのnet/mlx5コンポーネントにおいて、MANAGE_PAGESコマンド用の専用ビットが初期化時に適切に設定されていない脆弱性が発見された。この問題により、mlx5_enable_hca()実行中にヘルスエラーが発生した場合、null-ptr-derefエラーを引き起こす可能性がある。Linux 6.1から6.11.6までの複数のバージョンに影響を与えるため、早急な対応が必要とされている。
【CVE-2024-50147】LinuxカーネルのMANAGE_PAGESコマンドビットマス...
Linuxカーネルのnet/mlx5コンポーネントにおいて、MANAGE_PAGESコマンド用の専用ビットが初期化時に適切に設定されていない脆弱性が発見された。この問題により、mlx5_enable_hca()実行中にヘルスエラーが発生した場合、null-ptr-derefエラーを引き起こす可能性がある。Linux 6.1から6.11.6までの複数のバージョンに影響を与えるため、早急な対応が必要とされている。
【CVE-2024-50208】Linux kernelのRDMAドライバにメモリ破損の脆弱性...
Linux kernelのRDMAドライバbnxt_reにおいて、Level-2 PBLページ設定時にメモリ破損が発生する脆弱性が発見された。256Kを超えるPBLエントリが存在する場合に問題が発生し、PDEページアドレスの扱いに起因するメモリアクセス違反の可能性がある。影響を受けるバージョンはLinux kernel 5.7以降だが、最新のセキュリティアップデートで修正が提供されている。
【CVE-2024-50208】Linux kernelのRDMAドライバにメモリ破損の脆弱性...
Linux kernelのRDMAドライバbnxt_reにおいて、Level-2 PBLページ設定時にメモリ破損が発生する脆弱性が発見された。256Kを超えるPBLエントリが存在する場合に問題が発生し、PDEページアドレスの扱いに起因するメモリアクセス違反の可能性がある。影響を受けるバージョンはLinux kernel 5.7以降だが、最新のセキュリティアップデートで修正が提供されている。
【CVE-2024-38264】Microsoft Virtual Hard DiskにDoS...
MicrosoftはVirtual Hard Disk (VHDX)に関するDoS脆弱性【CVE-2024-38264】を公開した。Windows Server 2025やWindows 11など複数の製品に影響を与え、CVSSスコア5.9のミディアムリスクと評価されている。攻撃者が特別に細工したペイロードを使用することでサービス拒否攻撃を引き起こす可能性があり、早急なパッチ適用が推奨される。
【CVE-2024-38264】Microsoft Virtual Hard DiskにDoS...
MicrosoftはVirtual Hard Disk (VHDX)に関するDoS脆弱性【CVE-2024-38264】を公開した。Windows Server 2025やWindows 11など複数の製品に影響を与え、CVSSスコア5.9のミディアムリスクと評価されている。攻撃者が特別に細工したペイロードを使用することでサービス拒否攻撃を引き起こす可能性があり、早急なパッチ適用が推奨される。
【CVE-2024-43449】Windows USB Video Class System ...
Microsoftは2024年11月12日、Windows USB Video Class System Driverに権限昇格の脆弱性を公開した。この脆弱性はCVE-2024-43449として識別され、Windows Server 2025からWindows 10 Version 1507まで幅広いバージョンに影響を与える。CVSSスコア6.8のミディアムリスクと評価されており、物理的なアクセスを必要とするものの認証なしで攻撃が可能で、システムの機密性、完全性、可用性に高い影響を及ぼす可能性がある。
【CVE-2024-43449】Windows USB Video Class System ...
Microsoftは2024年11月12日、Windows USB Video Class System Driverに権限昇格の脆弱性を公開した。この脆弱性はCVE-2024-43449として識別され、Windows Server 2025からWindows 10 Version 1507まで幅広いバージョンに影響を与える。CVSSスコア6.8のミディアムリスクと評価されており、物理的なアクセスを必要とするものの認証なしで攻撃が可能で、システムの機密性、完全性、可用性に高い影響を及ぼす可能性がある。
【CVE-2024-43459】MicrosoftがSQL Server Native Cli...
MicrosoftはSQL Server Native Clientにおける深刻なリモートコード実行の脆弱性【CVE-2024-43459】を公開した。この脆弱性はUse After Free(CWE-416)に分類され、CVSSスコア8.8の高リスク脆弱性として評価。SQL Server 2016 Service Pack 3からSQL Server 2019まで広範なバージョンが影響を受けており、早急な対応が必要となっている。
【CVE-2024-43459】MicrosoftがSQL Server Native Cli...
MicrosoftはSQL Server Native Clientにおける深刻なリモートコード実行の脆弱性【CVE-2024-43459】を公開した。この脆弱性はUse After Free(CWE-416)に分類され、CVSSスコア8.8の高リスク脆弱性として評価。SQL Server 2016 Service Pack 3からSQL Server 2019まで広範なバージョンが影響を受けており、早急な対応が必要となっている。
【CVE-2024-43631】WindowsのSecure Kernel Modeに特権昇格...
Microsoftは2024年11月12日、Windows Secure Kernel Modeに特権昇格の脆弱性を発見したと発表した。この脆弱性はCVE-2024-43631として識別され、Windows 10、Windows 11、Windows Server 2022など複数のバージョンに影響を与える。CVSSスコア6.7の中程度の深刻度を持ち、高い特権を必要とするものの、攻撃の複雑さは低いとされている。
【CVE-2024-43631】WindowsのSecure Kernel Modeに特権昇格...
Microsoftは2024年11月12日、Windows Secure Kernel Modeに特権昇格の脆弱性を発見したと発表した。この脆弱性はCVE-2024-43631として識別され、Windows 10、Windows 11、Windows Server 2022など複数のバージョンに影響を与える。CVSSスコア6.7の中程度の深刻度を持ち、高い特権を必要とするものの、攻撃の複雑さは低いとされている。
【CVE-2024-43644】WindowsのClient-Side Cachingに特権昇...
Microsoftが公開したWindows Client-Side Cachingの特権昇格の脆弱性は、CVSS 3.1で7.8の高スコアを記録。Windows Server 2025からWindows 10まで広範なバージョンに影響し、ローカルでの攻撃が可能。CWE-125のOut-of-bounds Readに分類され、システムの重要な機能やデータへのアクセスリスクが指摘されている。
【CVE-2024-43644】WindowsのClient-Side Cachingに特権昇...
Microsoftが公開したWindows Client-Side Cachingの特権昇格の脆弱性は、CVSS 3.1で7.8の高スコアを記録。Windows Server 2025からWindows 10まで広範なバージョンに影響し、ローカルでの攻撃が可能。CWE-125のOut-of-bounds Readに分類され、システムの重要な機能やデータへのアクセスリスクが指摘されている。
【CVE-2024-52305】UnoPim 0.1.5未満に深刻なStoredXSS脆弱性、...
オープンソースのPIMシステムUnoPimにおいて、管理者アカウント作成時のプロフィール画像アップロード機能に重大な脆弱性が発見された。悪意のあるスクリプトを含むSVGファイルをアップロードすることでセッションクッキーが窃取される可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。この問題はバージョン0.1.5で修正され、画像ファイルの検証プロセスが強化された。
【CVE-2024-52305】UnoPim 0.1.5未満に深刻なStoredXSS脆弱性、...
オープンソースのPIMシステムUnoPimにおいて、管理者アカウント作成時のプロフィール画像アップロード機能に重大な脆弱性が発見された。悪意のあるスクリプトを含むSVGファイルをアップロードすることでセッションクッキーが窃取される可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。この問題はバージョン0.1.5で修正され、画像ファイルの検証プロセスが強化された。
【CVE-2024-52291】CraftCMSに重大な脆弱性、ファイルシステム検証バイパスに...
CraftCMSにおいて、二重のfile://スキームを利用したローカルファイルシステムの検証バイパス脆弱性が発見された。管理者権限とallowAdminChangesが有効な状態で、ファイルの上書きや機密ファイルへのアクセス、さらにServer-Side Template Injectionを介したリモートコード実行の可能性も指摘されている。影響を受けるバージョンは5.0.0-RC1から5.4.6未満および4.0.0-RC1から4.12.5未満。
【CVE-2024-52291】CraftCMSに重大な脆弱性、ファイルシステム検証バイパスに...
CraftCMSにおいて、二重のfile://スキームを利用したローカルファイルシステムの検証バイパス脆弱性が発見された。管理者権限とallowAdminChangesが有効な状態で、ファイルの上書きや機密ファイルへのアクセス、さらにServer-Side Template Injectionを介したリモートコード実行の可能性も指摘されている。影響を受けるバージョンは5.0.0-RC1から5.4.6未満および4.0.0-RC1から4.12.5未満。
【CVE-2024-45610】GLPIのバージョン10.0.0-10.0.16に未認証XSS...
オープンソースのIT資産管理ソフトウェアGLPIにおいて、Cable.phpのフォームに反映型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、未認証の攻撃者が技術者に悪意のあるリンクを送信することで攻撃が可能となる。CVSSスコアは6.5(中)と評価されており、対策としてバージョン10.0.17へのアップデートが推奨される。
【CVE-2024-45610】GLPIのバージョン10.0.0-10.0.16に未認証XSS...
オープンソースのIT資産管理ソフトウェアGLPIにおいて、Cable.phpのフォームに反映型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、未認証の攻撃者が技術者に悪意のあるリンクを送信することで攻撃が可能となる。CVSSスコアは6.5(中)と評価されており、対策としてバージョン10.0.17へのアップデートが推奨される。
【CVE-2024-42389】Mongoose Web Server v7.14に深刻な脆弱...
Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外のポインタオフセット使用の脆弱性を発見。CVE-2024-42389として識別されたこの脆弱性は、攻撃者が特別に細工したTLSパケットを送信することでヒープメモリの意図しない読み取りを可能にする。CVSSスコア5.3のミディアムリスクと評価され、認証不要でネットワークを介した攻撃が可能なため、早急な対応が必要。
【CVE-2024-42389】Mongoose Web Server v7.14に深刻な脆弱...
Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外のポインタオフセット使用の脆弱性を発見。CVE-2024-42389として識別されたこの脆弱性は、攻撃者が特別に細工したTLSパケットを送信することでヒープメモリの意図しない読み取りを可能にする。CVSSスコア5.3のミディアムリスクと評価され、認証不要でネットワークを介した攻撃が可能なため、早急な対応が必要。
【CVE-2024-11210】EyouCMS 1.51にパストラバーサルの脆弱性、Filem...
VulDBが2024年11月14日にEyouCMS 1.51の重要な脆弱性情報を公開した。FilemanagerLogic.phpのeditFile機能にパストラバーサルの脆弱性が存在し、activepathパラメータの操作により攻撃が可能である。CVSSスコアは中程度だが、リモートからの攻撃が可能で、既に攻撃コードも公開されており早急な対応が必要とされている。
【CVE-2024-11210】EyouCMS 1.51にパストラバーサルの脆弱性、Filem...
VulDBが2024年11月14日にEyouCMS 1.51の重要な脆弱性情報を公開した。FilemanagerLogic.phpのeditFile機能にパストラバーサルの脆弱性が存在し、activepathパラメータの操作により攻撃が可能である。CVSSスコアは中程度だが、リモートからの攻撃が可能で、既に攻撃コードも公開されており早急な対応が必要とされている。
【CVE-2024-11182】MDaemon Email Server 24.5.1c未満に...
MDaemon Email Serverにおいて、バージョン24.5.1c未満に影響を及ぼすストアード型XSSの脆弱性が発見された。攻撃者がHTMLメール内のimgタグにJavaScriptを埋め込むことで、Webメールユーザーのブラウザ上で任意のコードが実行可能となる。CVSSスコアは4.0バージョンで5.3、3.1バージョンで6.1を記録しており、早急な対応が求められる。
【CVE-2024-11182】MDaemon Email Server 24.5.1c未満に...
MDaemon Email Serverにおいて、バージョン24.5.1c未満に影響を及ぼすストアード型XSSの脆弱性が発見された。攻撃者がHTMLメール内のimgタグにJavaScriptを埋め込むことで、Webメールユーザーのブラウザ上で任意のコードが実行可能となる。CVSSスコアは4.0バージョンで5.3、3.1バージョンで6.1を記録しており、早急な対応が求められる。
集英社がジャンプPAINTにスタートガイド機能を実装、小中学生向けのマンガ制作支援を強化
集英社が運営するマンガ制作ソフト「ジャンプPAINT」に、少年ジャンプ+とりぼん編集部監修のスタートガイド機能が追加された。『僕のヒーローアカデミア』や『初×婚』の作品ページを参考に、ペンやトーンの選び方からベタ塗り、執筆までを体験できる機能を実装。小中学生のマンガ家志望者向けにデジタルツールの使い方を丁寧に解説している。
集英社がジャンプPAINTにスタートガイド機能を実装、小中学生向けのマンガ制作支援を強化
集英社が運営するマンガ制作ソフト「ジャンプPAINT」に、少年ジャンプ+とりぼん編集部監修のスタートガイド機能が追加された。『僕のヒーローアカデミア』や『初×婚』の作品ページを参考に、ペンやトーンの選び方からベタ塗り、執筆までを体験できる機能を実装。小中学生のマンガ家志望者向けにデジタルツールの使い方を丁寧に解説している。
Sasuke Financial Labが大樹生命にSaaS型リスク分析システム「コのほけん!...
Sasuke Financial Lab株式会社は大樹生命保険株式会社の一部営業拠点でSaaS型リスク分析ロボアドバイザーシステム「コのほけん!PRO」の試験運用を開始した。このシステムは顧客へのヒアリング結果を基にAIが保険提案を行うもので、対面営業における提案品質の標準化と効率化を実現する。Web用と対面営業用の両方に対応しており、今後のAI活用も計画している。
Sasuke Financial Labが大樹生命にSaaS型リスク分析システム「コのほけん!...
Sasuke Financial Lab株式会社は大樹生命保険株式会社の一部営業拠点でSaaS型リスク分析ロボアドバイザーシステム「コのほけん!PRO」の試験運用を開始した。このシステムは顧客へのヒアリング結果を基にAIが保険提案を行うもので、対面営業における提案品質の標準化と効率化を実現する。Web用と対面営業用の両方に対応しており、今後のAI活用も計画している。
NICEがGartner Magic QuadrantのCCaaSでリーダーに10年連続認定、...
AIを活用したセルフサービスとオペレーター支援型CXソフトウェアの世界的リーダーであるNICEが、2024年のGartner Magic Quadrant for CCaaSレポートでリーダーとして認定された。CXoneプラットフォームは「ビジョンの完全性」で最上位の評価を受け、10年連続でリーダーに選出。大規模な実証済みAIを活用し、カスタマーサービスの完全自動化を目指す企業のニーズに応えている。
NICEがGartner Magic QuadrantのCCaaSでリーダーに10年連続認定、...
AIを活用したセルフサービスとオペレーター支援型CXソフトウェアの世界的リーダーであるNICEが、2024年のGartner Magic Quadrant for CCaaSレポートでリーダーとして認定された。CXoneプラットフォームは「ビジョンの完全性」で最上位の評価を受け、10年連続でリーダーに選出。大規模な実証済みAIを活用し、カスタマーサービスの完全自動化を目指す企業のニーズに応えている。
電通総研がSTRAVIS Ver.7.0をリリース、連結会計と管理会計の機能強化で業務効率化を実現
電通総研は連結会計ソリューション「STRAVIS Ver.7.0」を2024年11月21日にリリースした。EX-MANAGEMENTの配賦機能とレポート機能の強化、EY新日本の監査ツールとのデータ連携機能の搭載など計85項目の機能強化を実施。制度・管理会計やサステナビリティデータ収集など、複数業務での活用を見据えた改善により、グループ経営管理の効率化を支援する。
電通総研がSTRAVIS Ver.7.0をリリース、連結会計と管理会計の機能強化で業務効率化を実現
電通総研は連結会計ソリューション「STRAVIS Ver.7.0」を2024年11月21日にリリースした。EX-MANAGEMENTの配賦機能とレポート機能の強化、EY新日本の監査ツールとのデータ連携機能の搭載など計85項目の機能強化を実施。制度・管理会計やサステナビリティデータ収集など、複数業務での活用を見据えた改善により、グループ経営管理の効率化を支援する。
【CVE-2024-8978】Essential Addons for Elementorに情...
WordPressプラグインEssential Addons for Elementorのバージョン6.0.9以前に深刻な脆弱性が発見された。Contributor以上の権限を持つユーザーが、Login Register Formウィジェットを通じて登録したユーザーの認証情報を不正に取得可能となっている。CVSS評価は5.7でMEDIUM、早急なアップデートが推奨される。
【CVE-2024-8978】Essential Addons for Elementorに情...
WordPressプラグインEssential Addons for Elementorのバージョン6.0.9以前に深刻な脆弱性が発見された。Contributor以上の権限を持つユーザーが、Login Register Formウィジェットを通じて登録したユーザーの認証情報を不正に取得可能となっている。CVSS評価は5.7でMEDIUM、早急なアップデートが推奨される。
【CVE-2024-50204】Linux kernelでnamespace rbtreeノー...
Linux kernelにおいて、namespaceのコピー時にrbtreeノードの削除に関する脆弱性が発見された。この問題はnamespaceのコピーがrbtreeに追加される前にfree_mnt_ns()が呼び出されることで発生し、空のrbtreeノードの不適切な削除につながる可能性がある。影響を受けるバージョンはLinux kernel 6.11から6.12の間であり、開発チームは迅速にパッチを提供している。
【CVE-2024-50204】Linux kernelでnamespace rbtreeノー...
Linux kernelにおいて、namespaceのコピー時にrbtreeノードの削除に関する脆弱性が発見された。この問題はnamespaceのコピーがrbtreeに追加される前にfree_mnt_ns()が呼び出されることで発生し、空のrbtreeノードの不適切な削除につながる可能性がある。影響を受けるバージョンはLinux kernel 6.11から6.12の間であり、開発チームは迅速にパッチを提供している。
【CVE-2024-43498】MicrosoftがVisual StudioとNET 9.0...
MicrosoftはVisual Studio 2022の複数バージョンと.NET 9.0に影響を及ぼす遠隔コード実行の脆弱性を公開した。CVSSスコア9.8のCriticalレベルで、タイプの混同による脆弱性が確認されている。攻撃の難易度が低く特別な権限も不要なため、早急なアップデートが推奨されている。影響を受けるバージョンは、Visual Studio 2022の17.8、17.6、17.10、17.11の各バージョンと.NET 9.0となっている。
【CVE-2024-43498】MicrosoftがVisual StudioとNET 9.0...
MicrosoftはVisual Studio 2022の複数バージョンと.NET 9.0に影響を及ぼす遠隔コード実行の脆弱性を公開した。CVSSスコア9.8のCriticalレベルで、タイプの混同による脆弱性が確認されている。攻撃の難易度が低く特別な権限も不要なため、早急なアップデートが推奨されている。影響を受けるバージョンは、Visual Studio 2022の17.8、17.6、17.10、17.11の各バージョンと.NET 9.0となっている。
【CVE-2024-11238】Landray EKP 16.0にパストラバーサルの脆弱性、リ...
Landray EKP 16.0のsysUiComponent.doにおけるdelPreviewFile機能に重大な脆弱性が発見された。directoryPath引数の操作によってパストラバーサルが可能となる本脆弱性は、リモートからの攻撃が可能な状態で既に公開されている。CVSSスコアは6.9(MEDIUM)で、特権なしでの攻撃が可能なため、早急な対応が必要とされている。
【CVE-2024-11238】Landray EKP 16.0にパストラバーサルの脆弱性、リ...
Landray EKP 16.0のsysUiComponent.doにおけるdelPreviewFile機能に重大な脆弱性が発見された。directoryPath引数の操作によってパストラバーサルが可能となる本脆弱性は、リモートからの攻撃が可能な状態で既に公開されている。CVSSスコアは6.9(MEDIUM)で、特権なしでの攻撃が可能なため、早急な対応が必要とされている。
【CVE-2024-11213】SourceCodester Best Employee Ma...
VulDBが2024年11月14日にSourceCodester Best Employee Management System 1.0における重大な脆弱性を公開した。この脆弱性は/admin/edit_role.phpファイルのidパラメータに存在し、SQLインジェクションが可能な状態となっている。既に攻撃コードが公開されており、早急なセキュリティアップデートの適用が推奨されている。
【CVE-2024-11213】SourceCodester Best Employee Ma...
VulDBが2024年11月14日にSourceCodester Best Employee Management System 1.0における重大な脆弱性を公開した。この脆弱性は/admin/edit_role.phpファイルのidパラメータに存在し、SQLインジェクションが可能な状態となっている。既に攻撃コードが公開されており、早急なセキュリティアップデートの適用が推奨されている。
【CVE-2024-11208】Apereo CAS 6.6にセッション有効期限切れの脆弱性、...
Apereo CAS 6.6において、ログインサービス機能のセッション有効期限切れに関する脆弱性が発見された。CVE-2024-11208として識別されるこの問題は、/login?serviceファイルの処理に影響を及ぼし、CVSSスコア6.3のMEDIUM評価となっている。攻撃の複雑性は高いものの、既に公開されており早急な対応が求められている。
【CVE-2024-11208】Apereo CAS 6.6にセッション有効期限切れの脆弱性、...
Apereo CAS 6.6において、ログインサービス機能のセッション有効期限切れに関する脆弱性が発見された。CVE-2024-11208として識別されるこの問題は、/login?serviceファイルの処理に影響を及ぼし、CVSSスコア6.3のMEDIUM評価となっている。攻撃の複雑性は高いものの、既に公開されており早急な対応が求められている。
【CVE-2024-11150】WordPress User Extra Fields 16....
WordPress用プラグインのUser Extra Fields 16.6以前のバージョンにおいて、delete_tmp_uploaded_file()関数のファイルパス検証が不十分であることによる重大な脆弱性が発見された。未認証の攻撃者が任意のファイルを削除可能で、wp-config.phpなどの重要ファイル削除によりリモートコード実行のリスクがある。CVSSスコア9.8の重大度で早急な対応が必要。
【CVE-2024-11150】WordPress User Extra Fields 16....
WordPress用プラグインのUser Extra Fields 16.6以前のバージョンにおいて、delete_tmp_uploaded_file()関数のファイルパス検証が不十分であることによる重大な脆弱性が発見された。未認証の攻撃者が任意のファイルを削除可能で、wp-config.phpなどの重要ファイル削除によりリモートコード実行のリスクがある。CVSSスコア9.8の重大度で早急な対応が必要。
【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...
OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。
【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...
OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。
【CVE-2024-52292】Craft CMSにおけるシステムファイル読み取りの脆弱性、深...
Craft CMSのシステム通知テンプレートにおいて、dataUrl関数を悪用した任意のファイル読み取りが可能となる脆弱性が発見された。攻撃者は書き込み権限を利用してBase64エンコードされたファイル内容を外部に漏洩させることが可能で、CVSSスコア7.7のHigh評価となっている。影響を受けるバージョンは5.0.0-alpha.1から5.4.9未満および3.5.13から4.12.8未満で、早急なアップデートが推奨されている。
【CVE-2024-52292】Craft CMSにおけるシステムファイル読み取りの脆弱性、深...
Craft CMSのシステム通知テンプレートにおいて、dataUrl関数を悪用した任意のファイル読み取りが可能となる脆弱性が発見された。攻撃者は書き込み権限を利用してBase64エンコードされたファイル内容を外部に漏洩させることが可能で、CVSSスコア7.7のHigh評価となっている。影響を受けるバージョンは5.0.0-alpha.1から5.4.9未満および3.5.13から4.12.8未満で、早急なアップデートが推奨されている。
【CVE-2024-42383】Mongoose Web Server v7.14にポインタオ...
Nozomi Networks社がCesanta社のMongoose Web Server v7.14における重要な脆弱性を報告した。CVE-2024-42383として識別されるこの脆弱性は、ホスト名フィールドのメモリ領域外にNULL値を書き込むことが可能なOut-of-range Pointer Offsetの問題だ。CVSSスコア4.2で中程度の深刻度と評価されており、特権は不要だがユーザーの操作と高度な技術知識が必要となる。
【CVE-2024-42383】Mongoose Web Server v7.14にポインタオ...
Nozomi Networks社がCesanta社のMongoose Web Server v7.14における重要な脆弱性を報告した。CVE-2024-42383として識別されるこの脆弱性は、ホスト名フィールドのメモリ領域外にNULL値を書き込むことが可能なOut-of-range Pointer Offsetの問題だ。CVSSスコア4.2で中程度の深刻度と評価されており、特権は不要だがユーザーの操作と高度な技術知識が必要となる。