Tech Insights

【CVE-2024-50972】Construction Management System 1.0にSQLインジェクションの脆弱性、早急な対策が必要に

【CVE-2024-50972】Construction Management System ...

Itsourcecode社のConstruction Management System 1.0において、printtool.phpのborrow_idパラメータにSQLインジェクションの脆弱性が発見され、CVE-2024-50972として公開された。この脆弱性により、リモート攻撃者が任意のSQLコマンドを実行できる状態となっており、データベースの改ざんや情報漏洩などのリスクが高まっている。運用者は早急なセキュリティパッチの適用や代替策の実装を検討する必要がある。

【CVE-2024-50972】Construction Management System ...

Itsourcecode社のConstruction Management System 1.0において、printtool.phpのborrow_idパラメータにSQLインジェクションの脆弱性が発見され、CVE-2024-50972として公開された。この脆弱性により、リモート攻撃者が任意のSQLコマンドを実行できる状態となっており、データベースの改ざんや情報漏洩などのリスクが高まっている。運用者は早急なセキュリティパッチの適用や代替策の実装を検討する必要がある。

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発見、深刻な影響の可能性が浮上

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発...

Tenda G3 v3.0 v15.11.0.20においてコマンドインジェクション脆弱性が発見され、MITRE CorporationによってCVE-2024-50853として公開された。formSetDebugCfg機能を介した不正コマンド実行の可能性が指摘されており、CISA-ADPによる評価では攻撃の自動化が可能で技術的影響も深刻とされている。早急な対策が求められる事態となっている。

【CVE-2024-50853】Tenda G3 v3.0のコマンドインジェクション脆弱性が発...

Tenda G3 v3.0 v15.11.0.20においてコマンドインジェクション脆弱性が発見され、MITRE CorporationによってCVE-2024-50853として公開された。formSetDebugCfg機能を介した不正コマンド実行の可能性が指摘されており、CISA-ADPによる評価では攻撃の自動化が可能で技術的影響も深刻とされている。早急な対策が求められる事態となっている。

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサルの脆弱性、任意のコード実行の危険性が浮上

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサル...

MITREがDotNetZip v.1.16.0およびそれ以前のバージョンにディレクトリトラバーサルの脆弱性が存在することを公開した。この脆弱性は遠隔からの任意のコード実行を可能にする深刻な問題であり、自動化された攻撃も可能とされている。特に重要な点として、この脆弱性は現在メンテナンスが終了した製品にのみ影響を与えることが確認されている。

【CVE-2024-48510】DotNetZip v.1.16.0にディレクトリトラバーサル...

MITREがDotNetZip v.1.16.0およびそれ以前のバージョンにディレクトリトラバーサルの脆弱性が存在することを公開した。この脆弱性は遠隔からの任意のコード実行を可能にする深刻な問題であり、自動化された攻撃も可能とされている。特に重要な点として、この脆弱性は現在メンテナンスが終了した製品にのみ影響を与えることが確認されている。

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4.5のオープンリダイレクト脆弱性が発覚、セキュリティ対策が急務に

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4....

WordPressのイベント管理プラグインEventPrime 4.0.4.5以前のバージョンにオープンリダイレクト脆弱性が存在することが判明した。CVE-2024-47648として識別されたこの脆弱性は、CVSSスコア4.7のミディアムリスクと評価されており、特権は不要だがユーザーの操作が必要とされている。開発元は4.0.4.6でこの問題を修正しており、早急なアップデートが推奨される。

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4....

WordPressのイベント管理プラグインEventPrime 4.0.4.5以前のバージョンにオープンリダイレクト脆弱性が存在することが判明した。CVE-2024-47648として識別されたこの脆弱性は、CVSSスコア4.7のミディアムリスクと評価されており、特権は不要だがユーザーの操作が必要とされている。開発元は4.0.4.6でこの問題を修正しており、早急なアップデートが推奨される。

【CVE-2024-45277】SAP HANA Client 2.21.31未満にPrototype Pollution脆弱性、アプリケーションの可用性に影響

【CVE-2024-45277】SAP HANA Client 2.21.31未満にProto...

SAP HANA Node.jsクライアントパッケージのバージョン2.0.0から2.21.31未満において、Prototype Pollution脆弱性が発見された。nestTables機能でのユーザー入力検証の不備により、攻撃者がグローバルオブジェクトのプロトタイプに任意のプロパティを追加可能となり、アプリケーションの可用性に影響を与える可能性がある。CVSSスコアは4.3で、機密性と完全性への影響はないとされている。

【CVE-2024-45277】SAP HANA Client 2.21.31未満にProto...

SAP HANA Node.jsクライアントパッケージのバージョン2.0.0から2.21.31未満において、Prototype Pollution脆弱性が発見された。nestTables機能でのユーザー入力検証の不備により、攻撃者がグローバルオブジェクトのプロトタイプに任意のプロパティを追加可能となり、アプリケーションの可用性に影響を与える可能性がある。CVSSスコアは4.3で、機密性と完全性への影響はないとされている。

【CVE-2024-11058】CodeAstro Real Estate Management System 1.0でSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-11058】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page機能において、SQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-11058】として識別され、aboutedit.phpファイルのID引数の処理に問題があることが判明。CVSS 4.0では5.1のミディアムと評価されており、既に公開済みで攻撃コードが利用可能な状態となっているため、早急な対応が求められている。

【CVE-2024-11054】Simple Music Cloud Community System 1.0に深刻な脆弱性、リモートからの攻撃が可能な状態に

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-11054】Simple Music Cloud Community Sy...

SourceCodester社のSimple Music Cloud Community System 1.0において、/music/ajax.php?action=signupファイルに関する重大な脆弱性が発見された。制限のないファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度と評価されているが、既に公開されており早急な対応が必要だ。

【CVE-2024-47458】Adobe Bridge 14.1.2にNULLポインタ参照の脆弱性、サービス拒否の可能性が浮上

【CVE-2024-47458】Adobe Bridge 14.1.2にNULLポインタ参照の...

Adobe Bridgeバージョン13.0.9および14.1.2以前に、NULLポインタ参照の脆弱性が発見された。CVSSスコアは5.5(中程度)で、悪意のあるファイルを開くことでアプリケーションがクラッシュし、サービス拒否状態を引き起こす可能性がある。攻撃には特権は不要だが、ユーザーの操作が必要。SSVCの評価では自動化された攻撃は確認されていないものの、技術的な影響は部分的とされている。

【CVE-2024-47458】Adobe Bridge 14.1.2にNULLポインタ参照の...

Adobe Bridgeバージョン13.0.9および14.1.2以前に、NULLポインタ参照の脆弱性が発見された。CVSSスコアは5.5(中程度)で、悪意のあるファイルを開くことでアプリケーションがクラッシュし、サービス拒否状態を引き起こす可能性がある。攻撃には特権は不要だが、ユーザーの操作が必要。SSVCの評価では自動化された攻撃は確認されていないものの、技術的な影響は部分的とされている。

【CVE-2024-47455】Adobe Illustrator 28.7.1以前に脆弱性、メモリ情報漏洩のリスクが浮上

【CVE-2024-47455】Adobe Illustrator 28.7.1以前に脆弱性、...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに範囲外読み取りの脆弱性が存在することを公表した。CVE-2024-47455として識別されるこの脆弱性は、悪意のあるファイルを開くことでメモリの機密情報が漏洩し、ASLRなどの保護機能を回避される可能性がある。CVSSスコアは5.5であり、早急な対応が求められている。

【CVE-2024-47455】Adobe Illustrator 28.7.1以前に脆弱性、...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンに範囲外読み取りの脆弱性が存在することを公表した。CVE-2024-47455として識別されるこの脆弱性は、悪意のあるファイルを開くことでメモリの機密情報が漏洩し、ASLRなどの保護機能を回避される可能性がある。CVSSスコアは5.5であり、早急な対応が求められている。

【CVE-2024-47451】Adobe Illustrator 28.7.1に深刻な脆弱性、任意のコード実行の危険性が発覚

【CVE-2024-47451】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンにOut-of-Bounds Write脆弱性が存在することを公開した。この脆弱性はCVE-2024-47451として識別され、CVSSスコア7.8と高い深刻度が報告されている。悪意のあるファイルを開くことで任意のコード実行が可能となり、機密性、整合性、可用性のすべてに影響を与える可能性がある重大な問題として注目されている。

【CVE-2024-47451】Adobe Illustrator 28.7.1に深刻な脆弱性...

Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンにOut-of-Bounds Write脆弱性が存在することを公開した。この脆弱性はCVE-2024-47451として識別され、CVSSスコア7.8と高い深刻度が報告されている。悪意のあるファイルを開くことで任意のコード実行が可能となり、機密性、整合性、可用性のすべてに影響を与える可能性がある重大な問題として注目されている。

【CVE-2024-47441】After Effects 24.6.2以前のバージョンに深刻な脆弱性、任意のコード実行のリスクが浮上

【CVE-2024-47441】After Effects 24.6.2以前のバージョンに深刻...

Adobeは2024年11月12日、After Effectsのバージョン23.6.9および24.6.2以前に存在する深刻な脆弱性を公開した。Out-of-bounds Write(CWE-787)として分類されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、ユーザーが悪意のあるファイルを開くことで任意のコード実行が可能となる危険性がある。

【CVE-2024-47441】After Effects 24.6.2以前のバージョンに深刻...

Adobeは2024年11月12日、After Effectsのバージョン23.6.9および24.6.2以前に存在する深刻な脆弱性を公開した。Out-of-bounds Write(CWE-787)として分類されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、ユーザーが悪意のあるファイルを開くことで任意のコード実行が可能となる危険性がある。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートからの攻撃リスクで早急な対応が必要に

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-9841】OpenText ArcSight製品にXSS脆弱性、リモートか...

OpenTextは、ArcSight Management CenterとArcSight PlatformにReflected XSS脆弱性が存在することを公開した。CVSSスコア7.0の高リスク脆弱性であり、リモートからの攻撃が可能で特権やユーザー操作を必要としない。影響を受けるバージョンは、Management Center 3.2.5 P1未満とPlatform 24.2.2未満。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆弱性、リモートコード実行のリスクが発生

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-6868】mudler/LocalAI 2.17.1でファイル書き込みの脆...

mudler/LocalAI version 2.17.1において、モデル設定でのアーカイブファイル自動抽出機能に重大な脆弱性が発見された。tarslip攻撃を可能にするこの脆弱性では、サーバー上の任意の場所にファイルを書き込むことが可能となり、バックエンドアセットの改ざんによるリモートコード実行のリスクが指摘されている。CVSSスコア8.1の高リスク脆弱性として分類された。

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に修正パッチリリース予定

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に...

Netadmin Software社のNetAdmin IAM 3.5以前のバージョンにおいて、HTTP POSTリクエストハンドラーの実装に関する重大な脆弱性が発見された。この脆弱性はCVE-2024-9513として識別され、CVSS v4.0で6.3のミディアムスコアが付与されている。攻撃難易度は高いものの、リモートからの攻撃が可能であり、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-9513】NetAdmin IAM 3.5に情報漏洩の脆弱性、10月中旬に...

Netadmin Software社のNetAdmin IAM 3.5以前のバージョンにおいて、HTTP POSTリクエストハンドラーの実装に関する重大な脆弱性が発見された。この脆弱性はCVE-2024-9513として識別され、CVSS v4.0で6.3のミディアムスコアが付与されている。攻撃難易度は高いものの、リモートからの攻撃が可能であり、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-7434】UltraPress 1.2.1のPHPオブジェクトインジェクション脆弱性、認証済みユーザーによる重大な攻撃のリスクに警鐘

【CVE-2024-7434】UltraPress 1.2.1のPHPオブジェクトインジェクシ...

WordPressテーマのUltraPressにおいて、バージョン1.2.1以前に深刻な脆弱性が発見された。CVE-2024-7434として識別されるこの脆弱性は、Contributor以上の権限を持つ認証済みユーザーによるPHPオブジェクトインジェクションを可能にする。追加プラグインやテーマが存在する環境では、POPチェーンを介した任意のファイル削除やコード実行などの重大な被害につながる可能性がある。

【CVE-2024-7434】UltraPress 1.2.1のPHPオブジェクトインジェクシ...

WordPressテーマのUltraPressにおいて、バージョン1.2.1以前に深刻な脆弱性が発見された。CVE-2024-7434として識別されるこの脆弱性は、Contributor以上の権限を持つ認証済みユーザーによるPHPオブジェクトインジェクションを可能にする。追加プラグインやテーマが存在する環境では、POPチェーンを介した任意のファイル削除やコード実行などの重大な被害につながる可能性がある。

【CVE-2024-50971】Construction Management System 1.0にSQLインジェクションの脆弱性、リモートからの任意コード実行が可能に

【CVE-2024-50971】Construction Management System ...

ItsourcecodeのConstruction Management System 1.0において重大なSQLインジェクションの脆弱性が発見された。print.phpのmap_idパラメータを通じて任意のSQLコマンドが実行可能となっており、データベースの改ざんや情報漏洩などのリスクが指摘されている。MITREは本脆弱性を【CVE-2024-50971】として公開し、早急な対策が求められている。

【CVE-2024-50971】Construction Management System ...

ItsourcecodeのConstruction Management System 1.0において重大なSQLインジェクションの脆弱性が発見された。print.phpのmap_idパラメータを通じて任意のSQLコマンドが実行可能となっており、データベースの改ざんや情報漏洩などのリスクが指摘されている。MITREは本脆弱性を【CVE-2024-50971】として公開し、早急な対策が求められている。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確認、管理者権限の悪用リスクに対応急ぐ

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-51487】Ampache 7.0.1未満のバージョンでCSRF脆弱性を確...

Ampacheのウェブベース音声・動画ストリーミングアプリケーションにおいて、カタログの有効化・無効化に関するCSRF脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性では、管理者権限を持つユーザーの操作が悪用される可能性がある。バージョン7.0.1で修正済みだが、既知の回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-44102】Siemens TeleControl Server Basicに深刻な脆弱性、リモートからの任意コード実行の危険性

【CVE-2024-44102】Siemens TeleControl Server Basi...

Siemensは、TeleControl Server Basic V3.1シリーズに重大な脆弱性を発見した。CVE-2024-44102として識別されるこの脆弱性は、CVSS評価で最高値の10.0を記録し、認証なしでのリモート攻撃が可能となる。影響を受けるのはV3.1.2.1未満の全バージョンで、攻撃者はSYSTEM権限でコードを実行できる可能性がある。

【CVE-2024-44102】Siemens TeleControl Server Basi...

Siemensは、TeleControl Server Basic V3.1シリーズに重大な脆弱性を発見した。CVE-2024-44102として識別されるこの脆弱性は、CVSS評価で最高値の10.0を記録し、認証なしでのリモート攻撃が可能となる。影響を受けるのはV3.1.2.1未満の全バージョンで、攻撃者はSYSTEM権限でコードを実行できる可能性がある。

【CVE-2024-47808】SINEC NMS V3.0 SP1未満に深刻な脆弱性、ファイルシステム権限の不適切な設定により任意のコンテンツ書き込みが可能に

【CVE-2024-47808】SINEC NMS V3.0 SP1未満に深刻な脆弱性、ファイ...

Siemens社のSINEC NMS V3.0 SP1未満のバージョンにおいて、データベース機能のファイルシステム権限が適切に制限されていない脆弱性が発見された。CVSSスコア8.4の高リスク脆弱性として評価され、認証済みの中程度の特権を持つ攻撃者がホストシステムのファイルシステム上の任意の場所に任意のコンテンツを書き込むことが可能となる。

【CVE-2024-47808】SINEC NMS V3.0 SP1未満に深刻な脆弱性、ファイ...

Siemens社のSINEC NMS V3.0 SP1未満のバージョンにおいて、データベース機能のファイルシステム権限が適切に制限されていない脆弱性が発見された。CVSSスコア8.4の高リスク脆弱性として評価され、認証済みの中程度の特権を持つ攻撃者がホストシステムのファイルシステム上の任意の場所に任意のコンテンツを書き込むことが可能となる。

【CVE-2024-47940】Solid Edge SE2024にバッファオーバーリードの脆弱性、任意コード実行の危険性が判明

【CVE-2024-47940】Solid Edge SE2024にバッファオーバーリードの脆...

Siemens社の3DCGモデリングソフトウェアSolid Edge SE2024において、PSMファイル解析時のバッファオーバーリード脆弱性が発見された。V224.0 Update 9より前のバージョンが影響を受け、攻撃者による任意のコード実行が可能となる。CVSSスコアは3.1で7.8、4.0で7.3と評価され、速やかなアップデートが推奨されている。

【CVE-2024-47940】Solid Edge SE2024にバッファオーバーリードの脆...

Siemens社の3DCGモデリングソフトウェアSolid Edge SE2024において、PSMファイル解析時のバッファオーバーリード脆弱性が発見された。V224.0 Update 9より前のバージョンが影響を受け、攻撃者による任意のコード実行が可能となる。CVSSスコアは3.1で7.8、4.0で7.3と評価され、速やかなアップデートが推奨されている。

【CVE-2024-51152】Laravel CMS v.1.4.7に深刻な脆弱性、リモートからの任意のコード実行が可能な状態に

【CVE-2024-51152】Laravel CMS v.1.4.7に深刻な脆弱性、リモート...

Laravel CMS v.1.4.7およびそれ以前のバージョンにおいて、shell.phpコンポーネントを介した任意のコード実行が可能な重大な脆弱性が発見された。CVSSスコア7.2(重要度:高)に分類されるこの脆弱性は、リモート攻撃者による不正アクセスのリスクをもたらす。CWE-434に分類されるこの問題は、機密性、整合性、可用性のすべてに高いレベルでの影響を及ぼす可能性がある。

【CVE-2024-51152】Laravel CMS v.1.4.7に深刻な脆弱性、リモート...

Laravel CMS v.1.4.7およびそれ以前のバージョンにおいて、shell.phpコンポーネントを介した任意のコード実行が可能な重大な脆弱性が発見された。CVSSスコア7.2(重要度:高)に分類されるこの脆弱性は、リモート攻撃者による不正アクセスのリスクをもたらす。CWE-434に分類されるこの問題は、機密性、整合性、可用性のすべてに高いレベルでの影響を及ぼす可能性がある。

【CVE-2024-49403】Samsung Voice Recorderにセキュリティ脆弱性、録音ファイルへの不正アクセスのリスクが判明

【CVE-2024-49403】Samsung Voice Recorderにセキュリティ脆弱...

Samsung Mobileは2024年11月6日、Samsung Voice Recorderのバージョン21.5.40.37未満に存在するセキュリティ脆弱性を公開した。CVE-2024-49403として識別されるこの脆弱性では、物理的な攻撃者がロック画面上で録音ファイルに不正アクセス可能となる。CVSSスコアは4.6(MEDIUM)を記録し、バージョン21.5.40.37で修正された。

【CVE-2024-49403】Samsung Voice Recorderにセキュリティ脆弱...

Samsung Mobileは2024年11月6日、Samsung Voice Recorderのバージョン21.5.40.37未満に存在するセキュリティ脆弱性を公開した。CVE-2024-49403として識別されるこの脆弱性では、物理的な攻撃者がロック画面上で録音ファイルに不正アクセス可能となる。CVSSスコアは4.6(MEDIUM)を記録し、バージョン21.5.40.37で修正された。

【CVE-2024-46948】Northern.tech Menderにアクセス制御の脆弱性、早急なアップデートが必要に

【CVE-2024-46948】Northern.tech Menderにアクセス制御の脆弱性...

Northern.tech社のMenderに重大な脆弱性【CVE-2024-46948】が発見された。この脆弱性は3.6.5未満のバージョン及び3.7.x系列の3.7.5未満のバージョンに影響を与えるアクセス制御の不備に関連するものだ。セキュリティ専門家による分析により、この脆弱性が攻撃者によって悪用される可能性が指摘されており、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-46948】Northern.tech Menderにアクセス制御の脆弱性...

Northern.tech社のMenderに重大な脆弱性【CVE-2024-46948】が発見された。この脆弱性は3.6.5未満のバージョン及び3.7.x系列の3.7.5未満のバージョンに影響を与えるアクセス制御の不備に関連するものだ。セキュリティ専門家による分析により、この脆弱性が攻撃者によって悪用される可能性が指摘されており、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-45763】Dell Enterprise SONiC OSに重大な脆弱性、OSコマンドインジェクションの危険性が浮上

【CVE-2024-45763】Dell Enterprise SONiC OSに重大な脆弱性...

Dellは2024年11月8日、Enterprise SONiC OSのバージョン4.1.xおよび4.2.xにおいて重大な脆弱性を公開した。CVE-2024-45763として識別されるこの脆弱性は、高い特権を持つリモートからの攻撃者によってOSコマンドインジェクションが可能となるものであり、CVSSスコア9.1と評価されている。早急なバージョンアップデートが推奨される状況となっている。

【CVE-2024-45763】Dell Enterprise SONiC OSに重大な脆弱性...

Dellは2024年11月8日、Enterprise SONiC OSのバージョン4.1.xおよび4.2.xにおいて重大な脆弱性を公開した。CVE-2024-45763として識別されるこの脆弱性は、高い特権を持つリモートからの攻撃者によってOSコマンドインジェクションが可能となるものであり、CVSSスコア9.1と評価されている。早急なバージョンアップデートが推奨される状況となっている。

【CVE-2024-43323】ReviewX 1.6.28で認可不備の脆弱性が発見、アクセス制御に問題あり

【CVE-2024-43323】ReviewX 1.6.28で認可不備の脆弱性が発見、アクセス...

WordPressプラグインReviewXにおいて、アクセス制御リスト(ACL)による機能制限が適切に機能しない脆弱性が発見された。CVE-2024-43323として識別されるこの問題は、1.6.28以前のバージョンに影響を与え、CVSS 3.1で中程度(5.3)の深刻度が評価されている。認可が適切に実装されていないため、本来アクセスできない機能への不正アクセスが可能となる可能性がある。対策として1.6.29以降へのアップデートが推奨される。

【CVE-2024-43323】ReviewX 1.6.28で認可不備の脆弱性が発見、アクセス...

WordPressプラグインReviewXにおいて、アクセス制御リスト(ACL)による機能制限が適切に機能しない脆弱性が発見された。CVE-2024-43323として識別されるこの問題は、1.6.28以前のバージョンに影響を与え、CVSS 3.1で中程度(5.3)の深刻度が評価されている。認可が適切に実装されていないため、本来アクセスできない機能への不正アクセスが可能となる可能性がある。対策として1.6.29以降へのアップデートが推奨される。

【CVE-2024-40240】HomeServe Home Repair 3.3.4に認証機能の脆弱性、物理的な近接攻撃により権限昇格の危険性

【CVE-2024-40240】HomeServe Home Repair 3.3.4に認証機...

HomeServe Home RepairのAndroidアプリバージョン3.3.4において、指紋認証機能に関する重大な脆弱性が発見された。CVE-2024-40240として識別されるこの脆弱性は、物理的に近接した攻撃者による権限昇格を可能にする。CVSSスコア6.1(MEDIUM)と評価され、機密性と完全性への高い影響が懸念される。特権レベルは不要で攻撃条件の複雑さも低いとされている。

【CVE-2024-40240】HomeServe Home Repair 3.3.4に認証機...

HomeServe Home RepairのAndroidアプリバージョン3.3.4において、指紋認証機能に関する重大な脆弱性が発見された。CVE-2024-40240として識別されるこの脆弱性は、物理的に近接した攻撃者による権限昇格を可能にする。CVSSスコア6.1(MEDIUM)と評価され、機密性と完全性への高い影響が懸念される。特権レベルは不要で攻撃条件の複雑さも低いとされている。

【CVE-2024-11048】D-Link DI-8003にバッファオーバーフロー脆弱性が発見、深刻度の高い対応が必要に

【CVE-2024-11048】D-Link DI-8003にバッファオーバーフロー脆弱性が発...

D-Link DI-8003 16.07.16A1において、dbsrv.aspファイルのdbsrv_asp機能に影響を与えるスタックベースのバッファオーバーフロー脆弱性が発見された。CVE-2024-11048として識別されるこの脆弱性は、CVSS 4.0で8.7、CVSS 3.1で8.8、CVSS 2.0で9.0と評価される深刻な問題である。リモートからの攻撃が可能で特権レベルも低いため、早急な対策が必要とされている。

【CVE-2024-11048】D-Link DI-8003にバッファオーバーフロー脆弱性が発...

D-Link DI-8003 16.07.16A1において、dbsrv.aspファイルのdbsrv_asp機能に影響を与えるスタックベースのバッファオーバーフロー脆弱性が発見された。CVE-2024-11048として識別されるこの脆弱性は、CVSS 4.0で8.7、CVSS 3.1で8.8、CVSS 2.0で9.0と評価される深刻な問題である。リモートからの攻撃が可能で特権レベルも低いため、早急な対策が必要とされている。

【CVE-2024-11000】CodeAstro Real Estate Management System 1.0に脆弱性が発見、ファイルアップロードの制限回避が可能に

【CVE-2024-11000】CodeAstro Real Estate Managemen...

CodeAstroのReal Estate Management System 1.0のAbout Us Pageコンポーネントにおいて、aboutedit.phpファイルのaimage引数を介して制限のないファイルアップロードが可能となる脆弱性が発見された。CVE-2024-11000として識別されたこの脆弱性は、認証された攻撃者によってリモートから攻撃可能であり、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-11000】CodeAstro Real Estate Managemen...

CodeAstroのReal Estate Management System 1.0のAbout Us Pageコンポーネントにおいて、aboutedit.phpファイルのaimage引数を介して制限のないファイルアップロードが可能となる脆弱性が発見された。CVE-2024-11000として識別されたこの脆弱性は、認証された攻撃者によってリモートから攻撃可能であり、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-10987】E-Health Care System 1.0でSQL injection脆弱性が発見、医療情報システムのセキュリティに警鐘

【CVE-2024-10987】E-Health Care System 1.0でSQL in...

code-projectsのE-Health Care System 1.0において、user_appointment.phpファイルに深刻なSQL injection脆弱性が発見された。CVE-2024-10987として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0でMedium(5.3)と評価されている。患者データの安全性に関わる重要な問題であり、早急な対策が求められる状況となっている。

【CVE-2024-10987】E-Health Care System 1.0でSQL in...

code-projectsのE-Health Care System 1.0において、user_appointment.phpファイルに深刻なSQL injection脆弱性が発見された。CVE-2024-10987として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0でMedium(5.3)と評価されている。患者データの安全性に関わる重要な問題であり、早急な対策が求められる状況となっている。

【CVE-2024-49520】Adobe Substance3D - Painterに深刻な脆弱性、任意のコード実行の危険性が浮上

【CVE-2024-49520】Adobe Substance3D - Painterに深刻な...

Adobe Substance3D - Painterのバージョン10.1.0以前に影響を及ぼす深刻な脆弱性が発見された。境界外書き込みの脆弱性により、現在のユーザーコンテキストで任意のコードが実行される可能性がある。CVSSスコアは7.8で深刻度は「HIGH」と評価され、悪意のあるファイルを開くことで攻撃が成立する可能性があるため、早急な対応が求められる。

【CVE-2024-49520】Adobe Substance3D - Painterに深刻な...

Adobe Substance3D - Painterのバージョン10.1.0以前に影響を及ぼす深刻な脆弱性が発見された。境界外書き込みの脆弱性により、現在のユーザーコンテキストで任意のコードが実行される可能性がある。CVSSスコアは7.8で深刻度は「HIGH」と評価され、悪意のあるファイルを開くことで攻撃が成立する可能性があるため、早急な対応が求められる。