Tech Insights

【CVE-2024-8839】PDF-XChange EditorでJB2ファイル解析の脆弱性が発見、情報漏洩のリスクに警戒

【CVE-2024-8839】PDF-XChange EditorでJB2ファイル解析の脆弱性...

PDF-XChange Editorのバージョン10.3.0.386においてJB2ファイル解析に関する脆弱性が発見された。この脆弱性はCVE-2024-8839として識別され、不適切なユーザー入力の検証により、割り当てられたオブジェクトの範囲を超えた読み取りが可能となる問題が確認されている。他の脆弱性と組み合わせることで任意のコード実行につながる可能性があり、早急な対策が求められている。

【CVE-2024-8839】PDF-XChange EditorでJB2ファイル解析の脆弱性...

PDF-XChange Editorのバージョン10.3.0.386においてJB2ファイル解析に関する脆弱性が発見された。この脆弱性はCVE-2024-8839として識別され、不適切なユーザー入力の検証により、割り当てられたオブジェクトの範囲を超えた読み取りが可能となる問題が確認されている。他の脆弱性と組み合わせることで任意のコード実行につながる可能性があり、早急な対策が求められている。

【CVE-2024-11678】CodeAstro Hospital Management System 1.0にクロスサイトスクリプティングの脆弱性、医療データの保護に懸念

【CVE-2024-11678】CodeAstro Hospital Management S...

CodeAstro Hospital Management System 1.0のhis_doc_register_patient.phpファイルにおいて、複数のパラメータでクロスサイトスクリプティング攻撃が可能な脆弱性が発見された。VulDBによって報告されたこの脆弱性は【CVE-2024-11678】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、低い権限レベルで実行できるため、早急な対策が必要となっている。

【CVE-2024-11678】CodeAstro Hospital Management S...

CodeAstro Hospital Management System 1.0のhis_doc_register_patient.phpファイルにおいて、複数のパラメータでクロスサイトスクリプティング攻撃が可能な脆弱性が発見された。VulDBによって報告されたこの脆弱性は【CVE-2024-11678】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、低い権限レベルで実行できるため、早急な対策が必要となっている。

【CVE-2024-11676】CodeAstro Hospital Management System 1.0に複数のXSS脆弱性、医療情報漏洩のリスクが浮上

【CVE-2024-11676】CodeAstro Hospital Management S...

CodeAstro Hospital Management System 1.0の検査機器登録画面において、複数のパラメータでクロスサイトスクリプティング攻撃が可能な脆弱性が発見された。CVE-2024-11676として公開されたこの脆弱性は、CVSSスコア5.3(MEDIUM)と評価され、攻撃コードも公開済みの状態となっている。管理者権限での攻撃が可能であり、医療機関の重要情報漏洩につながる可能性があるため、早急な対応が推奨される。

【CVE-2024-11676】CodeAstro Hospital Management S...

CodeAstro Hospital Management System 1.0の検査機器登録画面において、複数のパラメータでクロスサイトスクリプティング攻撃が可能な脆弱性が発見された。CVE-2024-11676として公開されたこの脆弱性は、CVSSスコア5.3(MEDIUM)と評価され、攻撃コードも公開済みの状態となっている。管理者権限での攻撃が可能であり、医療機関の重要情報漏洩につながる可能性があるため、早急な対応が推奨される。

【CVE-2024-11665】hardy-barth cph2_echarge_firmwareに認証回避の脆弱性、EVチャージングステーションのセキュリティに警鐘

【CVE-2024-11665】hardy-barth cph2_echarge_firmwa...

ONEKEY GmbHがhardy-barth cph2_echarge_firmwareにおける深刻な脆弱性を公開した。バージョン2.0.4以前のファームウェアに影響を与えるこの脆弱性は、認証なしでコマンドを実行可能となっており、CVSS v3.1で8.8のハイリスクと評価されている。EVチャージングステーションの制御システムに対する重大な脅威として、早急な対策が求められている。

【CVE-2024-11665】hardy-barth cph2_echarge_firmwa...

ONEKEY GmbHがhardy-barth cph2_echarge_firmwareにおける深刻な脆弱性を公開した。バージョン2.0.4以前のファームウェアに影響を与えるこの脆弱性は、認証なしでコマンドを実行可能となっており、CVSS v3.1で8.8のハイリスクと評価されている。EVチャージングステーションの制御システムに対する重大な脅威として、早急な対策が求められている。

【CVE-2024-11964】PHPGurukul CMS 1.0でSQLインジェクションの脆弱性が発見、リモートからの攻撃が可能に

【CVE-2024-11964】PHPGurukul CMS 1.0でSQLインジェクションの...

PHPGurukulのComplaint Management System 1.0のuser/index.phpにおいて、emailidパラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11964として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要。CVSSスコアは最大7.5(High)で、既に攻撃手法が公開されている。機密性・完全性・可用性すべてに影響を及ぼす可能性があり、早急な対応が必要だ。

【CVE-2024-11964】PHPGurukul CMS 1.0でSQLインジェクションの...

PHPGurukulのComplaint Management System 1.0のuser/index.phpにおいて、emailidパラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11964として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要。CVSSスコアは最大7.5(High)で、既に攻撃手法が公開されている。機密性・完全性・可用性すべてに影響を及ぼす可能性があり、早急な対応が必要だ。

【CVE-2024-11673】1000 Projects Bookstore Management Systemに深刻なCSRF脆弱性、早急な対応が必要に

【CVE-2024-11673】1000 Projects Bookstore Managem...

セキュリティ研究者は2024年11月25日、1000 Projects Bookstore Management System 1.0にクロスサイトリクエストフォージェリの脆弱性が存在することを公開した。CVSSスコア6.9を記録したこの脆弱性は、攻撃者がリモートから不正なリクエストを送信することで、正規ユーザーの権限を悪用した操作が可能となる。既に脆弱性の詳細が公開されており、早急な対応が必要とされている。

【CVE-2024-11673】1000 Projects Bookstore Managem...

セキュリティ研究者は2024年11月25日、1000 Projects Bookstore Management System 1.0にクロスサイトリクエストフォージェリの脆弱性が存在することを公開した。CVSSスコア6.9を記録したこの脆弱性は、攻撃者がリモートから不正なリクエストを送信することで、正規ユーザーの権限を悪用した操作が可能となる。既に脆弱性の詳細が公開されており、早急な対応が必要とされている。

【CVE-2024-11667】Zyxelの複数ファームウェアにディレクトリトラバーサルの脆弱性、CVSSスコア7.5の高リスク

【CVE-2024-11667】Zyxelの複数ファームウェアにディレクトリトラバーサルの脆弱...

Zyxel Corporationは2024年11月27日、ATP seriesやUSG FLEX seriesなど4シリーズのファームウェアにディレクトリトラバーサルの脆弱性が存在することを公表した。この脆弱性により、攻撃者は細工されたURLを使用して対象システム上のファイルを不正に操作することが可能となる。CVSSスコアは7.5と高く、早急な対策が求められている。

【CVE-2024-11667】Zyxelの複数ファームウェアにディレクトリトラバーサルの脆弱...

Zyxel Corporationは2024年11月27日、ATP seriesやUSG FLEX seriesなど4シリーズのファームウェアにディレクトリトラバーサルの脆弱性が存在することを公表した。この脆弱性により、攻撃者は細工されたURLを使用して対象システム上のファイルを不正に操作することが可能となる。CVSSスコアは7.5と高く、早急な対策が求められている。

AWSがAmazon Q Developerに生成AI活用のVMware環境自動変換機能を追加、クラウド移行の効率化を実現

AWSがAmazon Q Developerに生成AI活用のVMware環境自動変換機能を追加...

AWSは米ラスベガスで開催中のAWS re:Invent 2024において、VMware環境の仮想マシンやネットワーク設定をAWS環境に自動変換する機能をAmazon Q Developerに追加した。生成AIを活用することで500台規模の仮想マシン設定を1時間で変換可能であり、従来の手作業と比べて80倍の効率化を実現。チーム間のコラボレーション機能や監視機能も備えている。

AWSがAmazon Q Developerに生成AI活用のVMware環境自動変換機能を追加...

AWSは米ラスベガスで開催中のAWS re:Invent 2024において、VMware環境の仮想マシンやネットワーク設定をAWS環境に自動変換する機能をAmazon Q Developerに追加した。生成AIを活用することで500台規模の仮想マシン設定を1時間で変換可能であり、従来の手作業と比べて80倍の効率化を実現。チーム間のコラボレーション機能や監視機能も備えている。

博報堂DYメディアパートナーズがAIエージェント対話型プラニングシステムを導入、業務効率が最大5倍に向上

博報堂DYメディアパートナーズがAIエージェント対話型プラニングシステムを導入、業務効率が最大...

博報堂DYメディアパートナーズは生成AIを活用したAIエージェント対話型のメディアプラニングシステムを導入開始した。Digital AaaS CV Simulatorに実装された新機能により、AIエージェントとの対話を通じた広告プランの作成・シミュレーション、スライド資料の自動作成が可能となり、業務スピードが最大5倍向上。プラニングの精度向上と業務効率化を実現している。

博報堂DYメディアパートナーズがAIエージェント対話型プラニングシステムを導入、業務効率が最大...

博報堂DYメディアパートナーズは生成AIを活用したAIエージェント対話型のメディアプラニングシステムを導入開始した。Digital AaaS CV Simulatorに実装された新機能により、AIエージェントとの対話を通じた広告プランの作成・シミュレーション、スライド資料の自動作成が可能となり、業務スピードが最大5倍向上。プラニングの精度向上と業務効率化を実現している。

インサイトテクノロジーがSQLテストソフトをEC2 Image Builderで提供開始、クラウドデータベース移行の効率化を実現

インサイトテクノロジーがSQLテストソフトをEC2 Image Builderで提供開始、クラ...

インサイトテクノロジーは2024年12月5日、SQLテストソフトウェア「Insight SQL Testing」をAWS EC2 Image Builderで提供開始した。本番環境のSQLを自動収集しテスト評価を行うことで、クラウドデータベースの移行・バージョンアップにおけるテスト工数を大幅に削減。AWS Marketplaceでの提供実績が評価され、「ISV Partner of the Year – Japan」も受賞している。

インサイトテクノロジーがSQLテストソフトをEC2 Image Builderで提供開始、クラ...

インサイトテクノロジーは2024年12月5日、SQLテストソフトウェア「Insight SQL Testing」をAWS EC2 Image Builderで提供開始した。本番環境のSQLを自動収集しテスト評価を行うことで、クラウドデータベースの移行・バージョンアップにおけるテスト工数を大幅に削減。AWS Marketplaceでの提供実績が評価され、「ISV Partner of the Year – Japan」も受賞している。

paizaが累計会員数81.3万人を突破、ITエンジニアの生成AI活用実態と働き方の現状が明らかに

paizaが累計会員数81.3万人を突破、ITエンジニアの生成AI活用実態と働き方の現状が明らかに

paiza株式会社が2024年12月に累計会員数81.3万人を突破し、ITエンジニアの実態調査「ITエンジニア大解剖2024」を発表した。調査ではITエンジニアの60%以上が生成AIを活用していない実態や、フレックスタイム制で働くエンジニアが40%未満であることが判明。また文系出身者が35%を超えるなど、ITエンジニアのキャリアの多様性も明らかになった。

paizaが累計会員数81.3万人を突破、ITエンジニアの生成AI活用実態と働き方の現状が明らかに

paiza株式会社が2024年12月に累計会員数81.3万人を突破し、ITエンジニアの実態調査「ITエンジニア大解剖2024」を発表した。調査ではITエンジニアの60%以上が生成AIを活用していない実態や、フレックスタイム制で働くエンジニアが40%未満であることが判明。また文系出身者が35%を超えるなど、ITエンジニアのキャリアの多様性も明らかになった。

世界最大級のストックミュージックサービスAudiostockがRuby biz Grand prix 2024でクリエイティブ賞を受賞、音楽クリエイターの持続的な活動をサポート

世界最大級のストックミュージックサービスAudiostockがRuby biz Grand p...

株式会社オーディオストックが運営する世界最大級のロイヤリティフリーのストックミュージックサービス「Audiostock」が、Ruby biz Grand prix 2024においてクリエイティブ賞を受賞した。Rubyを活用した柔軟な開発により、音楽クリエイターの創作活動を支援し、映画やYouTube、広告など様々な商用コンテンツへの音楽提供を実現している。2028年までに約20.3億ドル規模への成長が期待されるストックミュージック市場において、さらなるサービス拡充を目指す。

世界最大級のストックミュージックサービスAudiostockがRuby biz Grand p...

株式会社オーディオストックが運営する世界最大級のロイヤリティフリーのストックミュージックサービス「Audiostock」が、Ruby biz Grand prix 2024においてクリエイティブ賞を受賞した。Rubyを活用した柔軟な開発により、音楽クリエイターの創作活動を支援し、映画やYouTube、広告など様々な商用コンテンツへの音楽提供を実現している。2028年までに約20.3億ドル規模への成長が期待されるストックミュージック市場において、さらなるサービス拡充を目指す。

NEDOが衛星データ、蓄電池、AI分野で技術開発コンテストを開催、向井千秋氏と石黒浩氏が登壇し最大1000万円の懸賞金を提供

NEDOが衛星データ、蓄電池、AI分野で技術開発コンテストを開催、向井千秋氏と石黒浩氏が登壇し...

NEDOは衛星データ活用、リチウムイオン蓄電池の回収システム開発、生体情報を活用したAI技術開発の3分野で懸賞金型プログラムを実施。2024年12月から2025年1月にかけて最終選考会と表彰式を開催し、宇宙飛行士の向井千秋氏やロボット工学者の石黒浩氏が登壇。各分野で最大1000万円の懸賞金を設定し、技術課題の解決と新産業創出を目指す。

NEDOが衛星データ、蓄電池、AI分野で技術開発コンテストを開催、向井千秋氏と石黒浩氏が登壇し...

NEDOは衛星データ活用、リチウムイオン蓄電池の回収システム開発、生体情報を活用したAI技術開発の3分野で懸賞金型プログラムを実施。2024年12月から2025年1月にかけて最終選考会と表彰式を開催し、宇宙飛行士の向井千秋氏やロボット工学者の石黒浩氏が登壇。各分野で最大1000万円の懸賞金を設定し、技術課題の解決と新産業創出を目指す。

SHEとポーラ・オルビスHDが女性起業家ピッチコンテストNEXT FOUNDERSを開催、11名のファイナリストが決定し最終選考へ

SHEとポーラ・オルビスHDが女性起業家ピッチコンテストNEXT FOUNDERSを開催、11...

SHE株式会社とポーラ・オルビスホールディングスが共同で開催する女性起業家支援プログラム「NEXT FOUNDERS」の最終ピッチに進むファイナリスト11名が決定した。12月22日の最終選考では、総エントリー160件から選ばれた事業アイデアの中から最優秀賞が選出される。賞金や施設利用権など充実した支援内容で、女性起業家の輩出を促進する。

SHEとポーラ・オルビスHDが女性起業家ピッチコンテストNEXT FOUNDERSを開催、11...

SHE株式会社とポーラ・オルビスホールディングスが共同で開催する女性起業家支援プログラム「NEXT FOUNDERS」の最終ピッチに進むファイナリスト11名が決定した。12月22日の最終選考では、総エントリー160件から選ばれた事業アイデアの中から最優秀賞が選出される。賞金や施設利用権など充実した支援内容で、女性起業家の輩出を促進する。

HANATOUR JAPANがSecurifyを導入、グローバル開発におけるセキュリティテストの効率化を実現

HANATOUR JAPANがSecurifyを導入、グローバル開発におけるセキュリティテスト...

株式会社スリーシェイクは、インバウンド専門の総合旅行会社HANATOUR JAPANへのセキュリティツールSecurifyの導入事例を公開した。BtoBtoCサイト運営における開発速度とセキュリティテストの両立、日本とベトナムでの同時利用という課題に対し、SaaS型のセキュリティツールによって効率的な運用を実現。IT資産の棚卸しから脆弱性診断まで、包括的なセキュリティ対策を提供している。

HANATOUR JAPANがSecurifyを導入、グローバル開発におけるセキュリティテスト...

株式会社スリーシェイクは、インバウンド専門の総合旅行会社HANATOUR JAPANへのセキュリティツールSecurifyの導入事例を公開した。BtoBtoCサイト運営における開発速度とセキュリティテストの両立、日本とベトナムでの同時利用という課題に対し、SaaS型のセキュリティツールによって効率的な運用を実現。IT資産の棚卸しから脆弱性診断まで、包括的なセキュリティ対策を提供している。

フォナック補聴器が世界初のAI搭載補聴器オーデオ インフィニオ スフィアを2025年1月から発売、全方位からのクリアな音声を実現

フォナック補聴器が世界初のAI搭載補聴器オーデオ インフィニオ スフィアを2025年1月から発...

ソノヴァ・ジャパン株式会社が新プラットフォーム「インフィニオ」を搭載した新製品「フォナック オーデオ インフィニオ スフィア」を発表した。世界初のサウンドプロセッシング専用AIチップDEEPSONICを搭載し、騒がしい環境でも瞬時に音声と雑音を分離する技術を実現。IP68を超える防水性能も備え、2025年1月15日より販売を開始する予定だ。

フォナック補聴器が世界初のAI搭載補聴器オーデオ インフィニオ スフィアを2025年1月から発...

ソノヴァ・ジャパン株式会社が新プラットフォーム「インフィニオ」を搭載した新製品「フォナック オーデオ インフィニオ スフィア」を発表した。世界初のサウンドプロセッシング専用AIチップDEEPSONICを搭載し、騒がしい環境でも瞬時に音声と雑音を分離する技術を実現。IP68を超える防水性能も備え、2025年1月15日より販売を開始する予定だ。

船場物産がデータサイエンス数学塾DeamSを新規開校、AIとデータサイエンス人材の育成を加速

船場物産がデータサイエンス数学塾DeamSを新規開校、AIとデータサイエンス人材の育成を加速

船場物産株式会社が2024年12月5日、データサイエンスおよびその理解に必要な数学を学ぶための塾「DeamS」を新規開校。中学生から社会人までを対象に、レベル別少人数クラスとオンラインライブ授業を提供し、将来の起業家育成を支援する。データサイエンス分野の人材育成を通じて、日本の経済発展への貢献を目指す。

船場物産がデータサイエンス数学塾DeamSを新規開校、AIとデータサイエンス人材の育成を加速

船場物産株式会社が2024年12月5日、データサイエンスおよびその理解に必要な数学を学ぶための塾「DeamS」を新規開校。中学生から社会人までを対象に、レベル別少人数クラスとオンラインライブ授業を提供し、将来の起業家育成を支援する。データサイエンス分野の人材育成を通じて、日本の経済発展への貢献を目指す。

ULが3DMarkにDirectStorage機能テストを追加、PCIe SSD搭載PCのゲームロード性能を正確に測定可能に

ULが3DMarkにDirectStorage機能テストを追加、PCIe SSD搭載PCのゲー...

フィンランドのULは2024年12月4日、定番3Dベンチマークソフト「3DMark」にDirectStorage機能テストを追加した。3DMark Storage Benchmark向けの無料アップデートとして提供され、PCIe SSD搭載のWindows PCにおけるDirectStorageの性能を理想的な環境で測定することが可能になった。特にWindows 11環境ではBypassIOによる更なる性能向上が期待できる。

ULが3DMarkにDirectStorage機能テストを追加、PCIe SSD搭載PCのゲー...

フィンランドのULは2024年12月4日、定番3Dベンチマークソフト「3DMark」にDirectStorage機能テストを追加した。3DMark Storage Benchmark向けの無料アップデートとして提供され、PCIe SSD搭載のWindows PCにおけるDirectStorageの性能を理想的な環境で測定することが可能になった。特にWindows 11環境ではBypassIOによる更なる性能向上が期待できる。

【CVE-2024-53059】Linuxカーネルのiwlwifiドライバーに脆弱性、パケット処理の不備が修正される

【CVE-2024-53059】Linuxカーネルのiwlwifiドライバーに脆弱性、パケット...

Linuxカーネルのwifiドライバー「iwlwifi」において、レスポンスパケットのサイズ検証不足とバッファー解放の不備が発見された。この脆弱性は「iwl_mvm_send_recovery_cmd()」関数に存在し、「iwl_mvm_send_cmd_status()」関数への切り替えによって修正された。影響を受けるバージョンは5.1以降の複数のLinuxバージョンであり、各バージョン向けの修正パッチが提供されている。

【CVE-2024-53059】Linuxカーネルのiwlwifiドライバーに脆弱性、パケット...

Linuxカーネルのwifiドライバー「iwlwifi」において、レスポンスパケットのサイズ検証不足とバッファー解放の不備が発見された。この脆弱性は「iwl_mvm_send_recovery_cmd()」関数に存在し、「iwl_mvm_send_cmd_status()」関数への切り替えによって修正された。影響を受けるバージョンは5.1以降の複数のLinuxバージョンであり、各バージョン向けの修正パッチが提供されている。

【CVE-2024-11971】jpress 5.1.2のアバターアップロード機能にクロスサイトスクリプティングの脆弱性、遠隔からの攻撃が可能に

【CVE-2024-11971】jpress 5.1.2のアバターアップロード機能にクロスサイ...

Guizhou Xiaoma Technology社のjpress 5.1.2において、Avatar Handler機能のファイルアップロードにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11971として識別されるこの脆弱性は、CVSS 4.0で5.3(Medium)と評価され、リモートからの攻撃が可能で、特権レベルは低く、ユーザーインタラクションも不要とされている。

【CVE-2024-11971】jpress 5.1.2のアバターアップロード機能にクロスサイ...

Guizhou Xiaoma Technology社のjpress 5.1.2において、Avatar Handler機能のファイルアップロードにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11971として識別されるこの脆弱性は、CVSS 4.0で5.3(Medium)と評価され、リモートからの攻撃が可能で、特権レベルは低く、ユーザーインタラクションも不要とされている。

【CVE-2024-11996】code-projectsのFarmacia 1.0にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2024-11996】code-projectsのFarmacia 1.0にクロスサ...

code-projects社のFarmacia 1.0において、editar-fornecedor.phpファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。cidadeパラメータを操作することでリモートからの攻撃が可能で、CVSS 4.0でMediumレベルの深刻度5.3を記録している。この脆弱性は一般に公開されており、他のパラメータにも影響を及ぼす可能性があるため、早急な対応が求められる。

【CVE-2024-11996】code-projectsのFarmacia 1.0にクロスサ...

code-projects社のFarmacia 1.0において、editar-fornecedor.phpファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。cidadeパラメータを操作することでリモートからの攻撃が可能で、CVSS 4.0でMediumレベルの深刻度5.3を記録している。この脆弱性は一般に公開されており、他のパラメータにも影響を及ぼす可能性があるため、早急な対応が求められる。

【CVE-2024-11966】PHPGurukul CMS 1.0にSQLインジェクションの脆弱性、管理画面での認証バイパスのリスクが深刻化

【CVE-2024-11966】PHPGurukul CMS 1.0にSQLインジェクションの...

PHPGurukulのComplaint Management System 1.0において、admin/index.phpのusernameパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5と高い深刻度を示しており、リモートからの攻撃が可能な状態。既に公開されているため、早急な対策が必要とされている。管理画面での認証機能に関わる脆弱性であり、データベースの不正操作や情報漏洩のリスクが懸念される。

【CVE-2024-11966】PHPGurukul CMS 1.0にSQLインジェクションの...

PHPGurukulのComplaint Management System 1.0において、admin/index.phpのusernameパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5と高い深刻度を示しており、リモートからの攻撃が可能な状態。既に公開されているため、早急な対策が必要とされている。管理画面での認証機能に関わる脆弱性であり、データベースの不正操作や情報漏洩のリスクが懸念される。

【CVE-2024-11675】CodeAstro Hospital Management System 1.0にXSS脆弱性、患者情報の安全性に懸念

【CVE-2024-11675】CodeAstro Hospital Management S...

CodeAstro Hospital Management System 1.0において、患者情報登録ページ(his_admin_register_patient.php)に重大なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3を記録するこの脆弱性は、複数の患者情報入力パラメータに影響を及ぼし、リモートからの攻撃が可能な状態である。すでに一般公開されており、早急な対策が必要とされている。

【CVE-2024-11675】CodeAstro Hospital Management S...

CodeAstro Hospital Management System 1.0において、患者情報登録ページ(his_admin_register_patient.php)に重大なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3を記録するこの脆弱性は、複数の患者情報入力パラメータに影響を及ぼし、リモートからの攻撃が可能な状態である。すでに一般公開されており、早急な対策が必要とされている。

【CVE-2024-8824】PDF-XChange EditorにJB2ファイル解析の脆弱性、情報漏洩のリスクに注意

【CVE-2024-8824】PDF-XChange EditorにJB2ファイル解析の脆弱性...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editor 10.3.0.386においてJB2ファイル解析の脆弱性を発見したことを公開した。CVE-2024-8824として識別されるこの脆弱性は、ユーザーが悪意のあるページやファイルにアクセスすることで情報漏洩が発生する可能性がある。CVSSスコアは3.3(Low)と評価されているものの、他の脆弱性と組み合わせることで任意のコード実行につながる危険性もある。

【CVE-2024-8824】PDF-XChange EditorにJB2ファイル解析の脆弱性...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editor 10.3.0.386においてJB2ファイル解析の脆弱性を発見したことを公開した。CVE-2024-8824として識別されるこの脆弱性は、ユーザーが悪意のあるページやファイルにアクセスすることで情報漏洩が発生する可能性がある。CVSSスコアは3.3(Low)と評価されているものの、他の脆弱性と組み合わせることで任意のコード実行につながる危険性もある。

【CVE-2024-11960】D-Link DIR-605L 2.13B01でバッファオーバーフロー脆弱性、リモート攻撃のリスクが深刻化

【CVE-2024-11960】D-Link DIR-605L 2.13B01でバッファオーバ...

D-Link DIR-605L 2.13B01において、formSetPortTr機能に関連する重大なバッファオーバーフローの脆弱性が発見された。この脆弱性はリモートからの攻撃が可能で、CVSS 4.0で8.7の高スコアを記録。curTime引数の操作によってバッファオーバーフローが発生する可能性があり、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。早急な対応が求められる状況となっている。

【CVE-2024-11960】D-Link DIR-605L 2.13B01でバッファオーバ...

D-Link DIR-605L 2.13B01において、formSetPortTr機能に関連する重大なバッファオーバーフローの脆弱性が発見された。この脆弱性はリモートからの攻撃が可能で、CVSS 4.0で8.7の高スコアを記録。curTime引数の操作によってバッファオーバーフローが発生する可能性があり、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。早急な対応が求められる状況となっている。

【CVE-2024-11743】SourceCodester Best House Rental System 1.0に深刻な脆弱性、クロスサイトリクエストフォージェリの問題が発覚

【CVE-2024-11743】SourceCodester Best House Renta...

セキュリティ研究者により、SourceCodester Best House Rental Management System 1.0に重大な脆弱性が発見された。この脆弱性はCVE-2024-11743として識別され、/rental/ajax.php?action=delete_userファイルのPOSTリクエストハンドラに関連するクロスサイトリクエストフォージェリの問題を含んでいる。CVSSスコアは最大で6.9(中程度)を記録し、遠隔からの攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-11743】SourceCodester Best House Renta...

セキュリティ研究者により、SourceCodester Best House Rental Management System 1.0に重大な脆弱性が発見された。この脆弱性はCVE-2024-11743として識別され、/rental/ajax.php?action=delete_userファイルのPOSTリクエストハンドラに関連するクロスサイトリクエストフォージェリの問題を含んでいる。CVSSスコアは最大で6.9(中程度)を記録し、遠隔からの攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-11742】Best House Rental Management System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクが発生

【CVE-2024-11742】Best House Rental Management Sy...

SourceCodester社のBest House Rental Management System 1.0において、ajax.phpファイルに関連するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-11742として識別されるこの脆弱性は、lastnameやfirstname、middlenameといったパラメータの処理に起因しており、リモートからの攻撃が可能である点が深刻だ。既に公開されている脆弱性のため、早急な対応が求められる。

【CVE-2024-11742】Best House Rental Management Sy...

SourceCodester社のBest House Rental Management System 1.0において、ajax.phpファイルに関連するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-11742として識別されるこの脆弱性は、lastnameやfirstname、middlenameといったパラメータの処理に起因しており、リモートからの攻撃が可能である点が深刻だ。既に公開されている脆弱性のため、早急な対応が求められる。

【CVE-2024-11664】eNMS version 4.2にパストラバーサルの脆弱性、深刻度の高いリスクに緊急対応が必要

【CVE-2024-11664】eNMS version 4.2にパストラバーサルの脆弱性、深...

eNMSのversion 4.2以前のバージョンにおいて、TGZファイルハンドラーのmultiselect_filtering機能にパストラバーサルの脆弱性が発見された。CVSSスコアは最大8.8と高く、リモートからの攻撃が可能で低権限での実行も可能なため、早急なパッチ適用が推奨される。パッチIDは22b0b443acca740fc83b5544165c1f53eff3f529として提供されている。

【CVE-2024-11664】eNMS version 4.2にパストラバーサルの脆弱性、深...

eNMSのversion 4.2以前のバージョンにおいて、TGZファイルハンドラーのmultiselect_filtering機能にパストラバーサルの脆弱性が発見された。CVSSスコアは最大8.8と高く、リモートからの攻撃が可能で低権限での実行も可能なため、早急なパッチ適用が推奨される。パッチIDは22b0b443acca740fc83b5544165c1f53eff3f529として提供されている。

【CVE-2024-11998】code-projects Farmacia 1.0にSQL injection脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11998】code-projects Farmacia 1.0にSQL ...

2024年11月30日、VulDBはcode-projects Farmacia 1.0のvisualizer-forneccedor.chpファイルにSQL injection脆弱性が存在することを公開した。CVE-2024-11998として識別されるこの脆弱性は、リモートから攻撃可能でありCVSS 4.0スコアは5.3(Medium)と評価されている。既に攻撃コードが公開されており、早急な対応が必要とされる。

【CVE-2024-11998】code-projects Farmacia 1.0にSQL ...

2024年11月30日、VulDBはcode-projects Farmacia 1.0のvisualizer-forneccedor.chpファイルにSQL injection脆弱性が存在することを公開した。CVE-2024-11998として識別されるこの脆弱性は、リモートから攻撃可能でありCVSS 4.0スコアは5.3(Medium)と評価されている。既に攻撃コードが公開されており、早急な対応が必要とされる。

【CVE-2024-11745】Tenda AC8に重大な脆弱性、リモートからの攻撃でシステム全体に影響の恐れ

【CVE-2024-11745】Tenda AC8に重大な脆弱性、リモートからの攻撃でシステム...

Tenda AC8 16.03.34.09においてroute_static_check関数に重大な脆弱性が発見された。この脆弱性は/goform/SetStaticRouteCfgファイル内に存在し、リモートからの攻撃が可能なスタックベースバッファオーバーフローを引き起こす可能性がある。CVSSスコアは8.7-9.0と高く、機密性・整合性・可用性すべてに深刻な影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-11745】Tenda AC8に重大な脆弱性、リモートからの攻撃でシステム...

Tenda AC8 16.03.34.09においてroute_static_check関数に重大な脆弱性が発見された。この脆弱性は/goform/SetStaticRouteCfgファイル内に存在し、リモートからの攻撃が可能なスタックベースバッファオーバーフローを引き起こす可能性がある。CVSSスコアは8.7-9.0と高く、機密性・整合性・可用性すべてに深刻な影響を及ぼす可能性があり、早急な対応が必要とされている。