Tech Insights

【CVE-2024-50276】Linuxカーネルのmse102xドライバに重大な脆弱性、複数バージョンのセキュリティパッチを緊急リリース

【CVE-2024-50276】Linuxカーネルのmse102xドライバに重大な脆弱性、複数...

Linuxカーネルのvertexcom mse102xドライバにおいて、TX skbの二重解放による脆弱性【CVE-2024-50276】が発見され、2024年11月19日に修正パッチがリリースされた。この脆弱性はLinux 5.17から6.6.61までの広範なバージョンに影響を与え、システムクラッシュを引き起こす可能性があるため、早急なパッチ適用が推奨されている。

【CVE-2024-50276】Linuxカーネルのmse102xドライバに重大な脆弱性、複数...

Linuxカーネルのvertexcom mse102xドライバにおいて、TX skbの二重解放による脆弱性【CVE-2024-50276】が発見され、2024年11月19日に修正パッチがリリースされた。この脆弱性はLinux 5.17から6.6.61までの広範なバージョンに影響を与え、システムクラッシュを引き起こす可能性があるため、早急なパッチ適用が推奨されている。

【CVE-2024-50265】Linuxカーネルのocfs2コンポーネントでNULLポインタ参照の脆弱性を修正、システムの安定性向上へ

【CVE-2024-50265】Linuxカーネルのocfs2コンポーネントでNULLポインタ...

Linuxカーネルの開発チームは2024年11月19日、ocfs2コンポーネントにおけるNULLポインタ参照の脆弱性を修正するアップデートを公開した。Syzkallerによって発見された問題では、ocfs2_xa_remove関数内でのNULLポインタ参照により、システムの安定性が損なわれる可能性が指摘されている。修正により、エントリ削除処理が適切に制御され、システムの信頼性が向上した。

【CVE-2024-50265】Linuxカーネルのocfs2コンポーネントでNULLポインタ...

Linuxカーネルの開発チームは2024年11月19日、ocfs2コンポーネントにおけるNULLポインタ参照の脆弱性を修正するアップデートを公開した。Syzkallerによって発見された問題では、ocfs2_xa_remove関数内でのNULLポインタ参照により、システムの安定性が損なわれる可能性が指摘されている。修正により、エントリ削除処理が適切に制御され、システムの信頼性が向上した。

【CVE-2024-50264】Linuxカーネルvsockのダングリングポインタ脆弱性、複数バージョンに影響し修正パッチを提供

【CVE-2024-50264】Linuxカーネルvsockのダングリングポインタ脆弱性、複数...

2024年11月19日、kernel.orgはLinuxカーネルのvsockモジュールにおけるダングリングポインタによるUse-After-Free脆弱性を修正した。この脆弱性はループバック通信時にvsk->transで発生する可能性があり、バージョン4.8以降のシステムに影響を及ぼしていた。修正はvsk->transをNULLで初期化することで対応し、4.19.324以降、5.4.286以降などの各バージョンで脆弱性が修正されている。

【CVE-2024-50264】Linuxカーネルvsockのダングリングポインタ脆弱性、複数...

2024年11月19日、kernel.orgはLinuxカーネルのvsockモジュールにおけるダングリングポインタによるUse-After-Free脆弱性を修正した。この脆弱性はループバック通信時にvsk->transで発生する可能性があり、バージョン4.8以降のシステムに影響を及ぼしていた。修正はvsk->transをNULLで初期化することで対応し、4.19.324以降、5.4.286以降などの各バージョンで脆弱性が修正されている。

【CVE-2024-30424】WordPress用Beaver Builder Addonsにクロスサイトスクリプティングの脆弱性、バージョン1.3.4以前が影響を受ける状態に

【CVE-2024-30424】WordPress用Beaver Builder Addons...

WPZOOMが開発するWordPress用プラグイン「Beaver Builder Addons」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-30424として識別されるこの脆弱性は、バージョン1.3.4以前に影響を与えるストアドXSSの問題であり、CVSSスコアは6.5(MEDIUM)を記録。対策としてバージョン1.3.5へのアップデートが提供されており、影響を受ける可能性のあるユーザーは速やかな更新が推奨される。

【CVE-2024-30424】WordPress用Beaver Builder Addons...

WPZOOMが開発するWordPress用プラグイン「Beaver Builder Addons」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-30424として識別されるこの脆弱性は、バージョン1.3.4以前に影響を与えるストアドXSSの問題であり、CVSSスコアは6.5(MEDIUM)を記録。対策としてバージョン1.3.5へのアップデートが提供されており、影響を受ける可能性のあるユーザーは速やかな更新が推奨される。

【CVE-2024-50163】LinuxカーネルのBPFリダイレクトフラグ重複問題が修正、クラッシュのリスクを解消

【CVE-2024-50163】LinuxカーネルのBPFリダイレクトフラグ重複問題が修正、ク...

kernel.orgは2024年11月7日、LinuxカーネルのBPF機能において内部フラグとUAPIフラグの重複による脆弱性を公開した。SKBとXDPのリダイレクトパスで同一フラグ値が使用され、特定条件下でクラッシュする可能性があった問題が、スタック割り当てのbpf_redirect_infoとフラグの再定義によって修正された。また、BUILD_BUG_ON()チェックの導入により、今後の同様の問題発生を防止する対策も実施された。

【CVE-2024-50163】LinuxカーネルのBPFリダイレクトフラグ重複問題が修正、ク...

kernel.orgは2024年11月7日、LinuxカーネルのBPF機能において内部フラグとUAPIフラグの重複による脆弱性を公開した。SKBとXDPのリダイレクトパスで同一フラグ値が使用され、特定条件下でクラッシュする可能性があった問題が、スタック割り当てのbpf_redirect_infoとフラグの再定義によって修正された。また、BUILD_BUG_ON()チェックの導入により、今後の同様の問題発生を防止する対策も実施された。

【CVE-2024-50150】LinuxカーネルのType-C altmodeデバイス参照問題、メモリ管理の改善でセキュリティ強化へ

【CVE-2024-50150】LinuxカーネルのType-C altmodeデバイス参照問...

LinuxカーネルのUSB Type-C altmodeデバイスにおいて、デバイスリリース時の親デバイス参照管理に関する重要な脆弱性が発見された。KASANによってUse-after-free脆弱性として検出されたこの問題は、システムの安定性に影響を与える可能性があり、開発チームは参照カウント管理の改善による修正を実装。影響を受けるバージョンは4.19以降で、最新のアップデートで対策が施された。

【CVE-2024-50150】LinuxカーネルのType-C altmodeデバイス参照問...

LinuxカーネルのUSB Type-C altmodeデバイスにおいて、デバイスリリース時の親デバイス参照管理に関する重要な脆弱性が発見された。KASANによってUse-after-free脆弱性として検出されたこの問題は、システムの安定性に影響を与える可能性があり、開発チームは参照カウント管理の改善による修正を実装。影響を受けるバージョンは4.19以降で、最新のアップデートで対策が施された。

【CVE-2024-50142】Linuxカーネルのxfrmコンポーネントに脆弱性、プレフィックス長の検証に関する重要な更新が必要に

【CVE-2024-50142】Linuxカーネルのxfrmコンポーネントに脆弱性、プレフィッ...

kernel.orgは2024年11月7日、Linuxカーネルのxfrmコンポーネントにおいてプレフィックス長の検証に関する重要な脆弱性を公開した。この脆弱性は【CVE-2024-50142】として特定され、特にバージョン2.6.12以降の環境に影響を及ぼす。kernel.orgは各バージョン向けに修正パッチを提供し、4.19.323以降や5.4.285以降のバージョンでは既に対策が実施されている。

【CVE-2024-50142】Linuxカーネルのxfrmコンポーネントに脆弱性、プレフィッ...

kernel.orgは2024年11月7日、Linuxカーネルのxfrmコンポーネントにおいてプレフィックス長の検証に関する重要な脆弱性を公開した。この脆弱性は【CVE-2024-50142】として特定され、特にバージョン2.6.12以降の環境に影響を及ぼす。kernel.orgは各バージョン向けに修正パッチを提供し、4.19.323以降や5.4.285以降のバージョンでは既に対策が実施されている。

RUNTEQが新サービス「Skill Metrix」でWebエンジニアのスキルを網羅的に測定、転職支援の強化へ

RUNTEQが新サービス「Skill Metrix」でWebエンジニアのスキルを網羅的に測定、...

超実践型プログラミングスクール「RUNTEQ」が新サービス「Skill Metrix」をまもなくリリース予定。アルゴリズム、データベース/SQL、基礎知識、周辺知識・ツール、Webアプリケーション開発の5つの項目で実務試験によるスキル測定を実施。9ヶ月間・合計1000時間のカリキュラムと組み合わせ、転職に必要なスキルの習得を支援する。

RUNTEQが新サービス「Skill Metrix」でWebエンジニアのスキルを網羅的に測定、...

超実践型プログラミングスクール「RUNTEQ」が新サービス「Skill Metrix」をまもなくリリース予定。アルゴリズム、データベース/SQL、基礎知識、周辺知識・ツール、Webアプリケーション開発の5つの項目で実務試験によるスキル測定を実施。9ヶ月間・合計1000時間のカリキュラムと組み合わせ、転職に必要なスキルの習得を支援する。

株式会社エージェントが鳥取ミライビジネスプログラムを始動し、地域発展に向けた9名の起業家支援を本格化

株式会社エージェントが鳥取ミライビジネスプログラムを始動し、地域発展に向けた9名の起業家支援を本格化

鳥取県版スタートアップエコシステム醸成事業の一環として、株式会社エージェントが地域起業家アクセラレーションプログラム「鳥取ミライビジネスプログラム」を開始。9名の参加者が決定し、2024年2月のビジネスプランコンテストに向けて、地域課題の解決や地域資源の活用を通じた社会性の高いビジネスの創出を目指す。約50の新規事業開発実績を持つエージェントが全面支援を実施。

株式会社エージェントが鳥取ミライビジネスプログラムを始動し、地域発展に向けた9名の起業家支援を本格化

鳥取県版スタートアップエコシステム醸成事業の一環として、株式会社エージェントが地域起業家アクセラレーションプログラム「鳥取ミライビジネスプログラム」を開始。9名の参加者が決定し、2024年2月のビジネスプランコンテストに向けて、地域課題の解決や地域資源の活用を通じた社会性の高いビジネスの創出を目指す。約50の新規事業開発実績を持つエージェントが全面支援を実施。

株式会社UnReactが16タイプ診断の相性チェックツールUnPersonalityをリリース、対人関係の理解促進に貢献

株式会社UnReactが16タイプ診断の相性チェックツールUnPersonalityをリリース...

福岡県のITベンチャー企業である株式会社UnReactが、16タイプ診断の相性チェックツール「UnPersonality」を2024年11月25日にリリースした。UnPersonalityは16Personalitiesの診断結果をもとに各タイプの特徴と相性を簡単に確認できるアプリケーションであり、相性チェック機能や個別分析機能、相性一覧表示機能を実装。対人関係の理解を深めるツールとして期待される。

株式会社UnReactが16タイプ診断の相性チェックツールUnPersonalityをリリース...

福岡県のITベンチャー企業である株式会社UnReactが、16タイプ診断の相性チェックツール「UnPersonality」を2024年11月25日にリリースした。UnPersonalityは16Personalitiesの診断結果をもとに各タイプの特徴と相性を簡単に確認できるアプリケーションであり、相性チェック機能や個別分析機能、相性一覧表示機能を実装。対人関係の理解を深めるツールとして期待される。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダーの対応の遅れに懸念

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1.0にStored XSSの脆弱性が発見、Author以上の権限で任意のスクリプト実行が可能に

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1...

WordPressプラグインのEasy SVG Uploadにおいて、バージョン1.0以前の全バージョンでStored Cross-Site Scriptingの脆弱性が確認された。この脆弱性はCVE-2024-9708として識別され、CVSS v3.1で深刻度6.4(MEDIUM)と評価。Author以上の権限を持つ攻撃者がSVGファイルを介して悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行される可能性がある。

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1...

WordPressプラグインのEasy SVG Uploadにおいて、バージョン1.0以前の全バージョンでStored Cross-Site Scriptingの脆弱性が確認された。この脆弱性はCVE-2024-9708として識別され、CVSS v3.1で深刻度6.4(MEDIUM)と評価。Author以上の権限を持つ攻撃者がSVGファイルを介して悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行される可能性がある。

【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メモリ破損のリスクに対応

【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メ...

kernel.orgが2024年10月21日に公開したLinuxカーネルのiceドライバの脆弱性情報によると、VF上でのMSI-X値増加時に無効なメモリ操作が発生する問題が確認された。この脆弱性はCVE-2024-50042として識別され、デフォルト値の16を超えるMSI-X設定時にメモリ破損のリスクが高まる。修正パッチではice_vsi_rebuild()を使用して配列の再割り当てを適切に行うことで対応している。

【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メ...

kernel.orgが2024年10月21日に公開したLinuxカーネルのiceドライバの脆弱性情報によると、VF上でのMSI-X値増加時に無効なメモリ操作が発生する問題が確認された。この脆弱性はCVE-2024-50042として識別され、デフォルト値の16を超えるMSI-X設定時にメモリ破損のリスクが高まる。修正パッチではice_vsi_rebuild()を使用して配列の再割り当てを適切に行うことで対応している。

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以前にXSS脆弱性、Contributor権限で攻撃実行の可能性

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以...

WordPressプラグインSocial Sharing (By Danny)において、バージョン1.3.7以前に深刻な脆弱性が発見された。dvk_social_sharingショートコードでの入力検証とエスケープ処理の不備により、Contributor以上の権限を持つユーザーがCross-Site Scripting攻撃を実行可能。CVSS Score 6.4の中程度の脆弱性として評価され、早急な対応が推奨される。

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以...

WordPressプラグインSocial Sharing (By Danny)において、バージョン1.3.7以前に深刻な脆弱性が発見された。dvk_social_sharingショートコードでの入力検証とエスケープ処理の不備により、Contributor以上の権限を持つユーザーがCross-Site Scripting攻撃を実行可能。CVSS Score 6.4の中程度の脆弱性として評価され、早急な対応が推奨される。

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクが明らかに

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...

WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...

WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。

【CVE-2024-9707】WordPressプラグインHunk Companionに認証回避の脆弱性、未認証での任意プラグインインストールが可能に

【CVE-2024-9707】WordPressプラグインHunk Companionに認証回...

WordPressプラグインHunk Companionのバージョン1.8.4以前に重大な認証回避の脆弱性が発見された。この脆弱性はCVE-2024-9707として識別され、REST APIエンドポイントの認証チェック欠落により、未認証の攻撃者が任意のプラグインをインストール・有効化可能な状態となっている。CVSSスコアは9.8と深刻度が極めて高く、リモートコード実行の危険性も指摘されている。

【CVE-2024-9707】WordPressプラグインHunk Companionに認証回...

WordPressプラグインHunk Companionのバージョン1.8.4以前に重大な認証回避の脆弱性が発見された。この脆弱性はCVE-2024-9707として識別され、REST APIエンドポイントの認証チェック欠落により、未認証の攻撃者が任意のプラグインをインストール・有効化可能な状態となっている。CVSSスコアは9.8と深刻度が極めて高く、リモートコード実行の危険性も指摘されている。

【CVE-2024-11649】Beauty Parlour Management System 1.0にSQL injection脆弱性、顧客データ漏洩のリスクに警戒

【CVE-2024-11649】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、search-appointment.phpファイルに重大な脆弱性が発見された。CVE-2024-11649として識別されるこの脆弱性は、SQL injectionによる攻撃が可能で、CVSS 4.0で6.9のスコアを記録。リモートからの攻撃が可能で、特権や利用者の操作を必要としないため、早急な対策が求められている。

【CVE-2024-11649】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、search-appointment.phpファイルに重大な脆弱性が発見された。CVE-2024-11649として識別されるこの脆弱性は、SQL injectionによる攻撃が可能で、CVSS 4.0で6.9のスコアを記録。リモートからの攻撃が可能で、特権や利用者の操作を必要としないため、早急な対策が求められている。

【CVE-2024-11552】IrfanView 4.67.0.0にリモートコード実行の脆弱性、DXFファイル解析時のメモリ破損の危険性

【CVE-2024-11552】IrfanView 4.67.0.0にリモートコード実行の脆弱...

Zero Day InitiativeがIrfanViewのDXFファイル解析における重大な脆弱性を報告。CVE-2024-11552として特定されたこの脆弱性は、メモリ破損を引き起こし、リモートコード実行を可能にする。CVSSスコア7.8の高リスク脆弱性で、バージョン4.67.0.0が影響を受ける。ユーザー操作を必要とするものの、システムのセキュリティを著しく損なう可能性がある。

【CVE-2024-11552】IrfanView 4.67.0.0にリモートコード実行の脆弱...

Zero Day InitiativeがIrfanViewのDXFファイル解析における重大な脆弱性を報告。CVE-2024-11552として特定されたこの脆弱性は、メモリ破損を引き起こし、リモートコード実行を可能にする。CVSSスコア7.8の高リスク脆弱性で、バージョン4.67.0.0が影響を受ける。ユーザー操作を必要とするものの、システムのセキュリティを著しく損なう可能性がある。

【CVE-2024-51151】D-Link DI-8200に深刻な遠隔コマンド実行の脆弱性、早急な対応が必要に

【CVE-2024-51151】D-Link DI-8200に深刻な遠隔コマンド実行の脆弱性、...

MITREが公開したD-Link DI-8200 16.07.26A1の脆弱性は、msp_info_htm機能においてflagパラメータとcmdパラメータを介して遠隔からコマンドを実行できる問題である。CVSSスコア8.0のハイリスク評価で、攻撃の自動化も可能とされており、早急な対応が必要とされている。CWE-78に分類されるこの脆弱性は、組織の情報セキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-51151】D-Link DI-8200に深刻な遠隔コマンド実行の脆弱性、...

MITREが公開したD-Link DI-8200 16.07.26A1の脆弱性は、msp_info_htm機能においてflagパラメータとcmdパラメータを介して遠隔からコマンドを実行できる問題である。CVSSスコア8.0のハイリスク評価で、攻撃の自動化も可能とされており、早急な対応が必要とされている。CWE-78に分類されるこの脆弱性は、組織の情報セキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-48986】MBed OS 6.16.0でバッファオーバーフローの脆弱性を発見、サービス拒否攻撃のリスクに警鐘

【CVE-2024-48986】MBed OS 6.16.0でバッファオーバーフローの脆弱性を...

MITRE CorporationがMBed OS 6.16.0に存在するバッファオーバーフローの脆弱性を報告した。HCIパケット処理におけるバッファ長の制御に問題があり、サービス拒否攻撃の可能性が指摘されている。バッファが動的に割り当てられる実装の特性上、影響は限定的である可能性が高いものの、IoTデバイスのセキュリティ設計における重要な課題として認識されている。

【CVE-2024-48986】MBed OS 6.16.0でバッファオーバーフローの脆弱性を...

MITRE CorporationがMBed OS 6.16.0に存在するバッファオーバーフローの脆弱性を報告した。HCIパケット処理におけるバッファ長の制御に問題があり、サービス拒否攻撃の可能性が指摘されている。バッファが動的に割り当てられる実装の特性上、影響は限定的である可能性が高いものの、IoTデバイスのセキュリティ設計における重要な課題として認識されている。

【CVE-2024-11492】115cmsバージョン20240807にCross Site Scripting脆弱性が発見、早急な対応が必要な状況に

【CVE-2024-11492】115cmsバージョン20240807にCross Site ...

115cmsバージョン20240807において、管理画面の/index.php/admin/web/appurladd.htmlファイルのtid引数に関連するCross Site Scriptingの脆弱性が発見された。CVE-2024-11492として識別されるこの脆弱性は、CVSS 4.0で5.3点(MEDIUM)と評価され、リモートからの攻撃が可能で、すでに公開されている状態である。ベンダーへの早期連絡にも関わらず対応が行われていない状況が続いており、早急な対策が必要とされている。

【CVE-2024-11492】115cmsバージョン20240807にCross Site ...

115cmsバージョン20240807において、管理画面の/index.php/admin/web/appurladd.htmlファイルのtid引数に関連するCross Site Scriptingの脆弱性が発見された。CVE-2024-11492として識別されるこの脆弱性は、CVSS 4.0で5.3点(MEDIUM)と評価され、リモートからの攻撃が可能で、すでに公開されている状態である。ベンダーへの早期連絡にも関わらず対応が行われていない状況が続いており、早急な対策が必要とされている。

【CVE-2024-11486】Code4Berry Decoration Management System 1.0に権限の脆弱性、ベンダー対応なく公開状態が継続

【CVE-2024-11486】Code4Berry Decoration Managemen...

Code4Berry Decoration Management System 1.0のuser_permission.phpファイルにおいて深刻な権限の脆弱性が発見された。CVE-2024-11486として識別されたこの脆弱性は、リモートからの攻撃が可能でCVSSスコアは最大5.3を記録。ベンダーへの早期通知にも関わらず対応がなく、脆弱性が一般に公開された状態が続いている。システム管理者による迅速な対応が求められる状況だ。

【CVE-2024-11486】Code4Berry Decoration Managemen...

Code4Berry Decoration Management System 1.0のuser_permission.phpファイルにおいて深刻な権限の脆弱性が発見された。CVE-2024-11486として識別されたこの脆弱性は、リモートからの攻撃が可能でCVSSスコアは最大5.3を記録。ベンダーへの早期通知にも関わらず対応がなく、脆弱性が一般に公開された状態が続いている。システム管理者による迅速な対応が求められる状況だ。

【CVE-2024-11485】Code4Berry Decoration Management System 1.0に重大な権限の脆弱性、リモート攻撃のリスクが発生

【CVE-2024-11485】Code4Berry Decoration Managemen...

2024年11月20日、Code4Berry Decoration Management System 1.0において重大な脆弱性が発見された。/decoration/admin/userregister.phpファイルのUser Handler機能に関連する権限の問題で、リモートからの攻撃が可能とされている。CVSSスコアは5.3を記録し、CWE-275とCWE-266に分類される深刻な脆弱性となっている。

【CVE-2024-11485】Code4Berry Decoration Managemen...

2024年11月20日、Code4Berry Decoration Management System 1.0において重大な脆弱性が発見された。/decoration/admin/userregister.phpファイルのUser Handler機能に関連する権限の問題で、リモートからの攻撃が可能とされている。CVSSスコアは5.3を記録し、CWE-275とCWE-266に分類される深刻な脆弱性となっている。

【CVE-2024-53078】LinuxカーネルのtegraドライバにNULL vs IS_ERR()チェックの脆弱性、6.11.7で修正完了

【CVE-2024-53078】LinuxカーネルのtegraドライバにNULL vs IS_...

kernel.orgは2024年11月19日、LinuxカーネルのtegraドライバにおけるNULL vs IS_ERR()チェックの脆弱性(CVE-2024-53078)を公表した。この脆弱性はiommu_paging_domain_alloc()関数のエラー処理に関連し、Linux 6.11から6.11.6までのバージョンに影響を与える。修正パッチは既に提供され、6.11.7以降のバージョンでは対策が完了している。

【CVE-2024-53078】LinuxカーネルのtegraドライバにNULL vs IS_...

kernel.orgは2024年11月19日、LinuxカーネルのtegraドライバにおけるNULL vs IS_ERR()チェックの脆弱性(CVE-2024-53078)を公表した。この脆弱性はiommu_paging_domain_alloc()関数のエラー処理に関連し、Linux 6.11から6.11.6までのバージョンに影響を与える。修正パッチは既に提供され、6.11.7以降のバージョンでは対策が完了している。

【CVE-2024-53076】Linux kernelのiio_gts_build_avail_scale_tableにメモリリーク脆弱性が発見、複数バージョンに影響

【CVE-2024-53076】Linux kernelのiio_gts_build_avai...

Linux kernelのiio_gts_build_avail_scale_table関数においてメモリリークの脆弱性が発見された。この問題はper_time_scalesやper_time_gainsのkcalloc処理に起因しており、特にforループ内でのメモリ解放が適切に行われない状況が確認されている。影響を受けるバージョンはLinux 6.4から6.6.60までの範囲で、セキュリティアップデートによる対応が進められている。

【CVE-2024-53076】Linux kernelのiio_gts_build_avai...

Linux kernelのiio_gts_build_avail_scale_table関数においてメモリリークの脆弱性が発見された。この問題はper_time_scalesやper_time_gainsのkcalloc処理に起因しており、特にforループ内でのメモリ解放が適切に行われない状況が確認されている。影響を受けるバージョンはLinux 6.4から6.6.60までの範囲で、セキュリティアップデートによる対応が進められている。

【CVE-2024-53074】Linuxカーネルのiwlwifiドライバにおけるリンクマッピングリソース解放の不具合を修正

【CVE-2024-53074】Linuxカーネルのiwlwifiドライバにおけるリンクマッピ...

Linuxカーネルの開発チームが、iwlwifiドライバにおけるAccessPointの削除処理に関する脆弱性を修正した。この問題はIntel 9260以前の非MLD API対応デバイスに影響を与えており、APの削除時にリンクマッピングリソースが適切に解放されない状態が発生していた。修正はLinuxカーネルのバージョン6.11.7から6.11系列全体およびバージョン6.12以降に適用されている。

【CVE-2024-53074】Linuxカーネルのiwlwifiドライバにおけるリンクマッピ...

Linuxカーネルの開発チームが、iwlwifiドライバにおけるAccessPointの削除処理に関する脆弱性を修正した。この問題はIntel 9260以前の非MLD API対応デバイスに影響を与えており、APの削除時にリンクマッピングリソースが適切に解放されない状態が発生していた。修正はLinuxカーネルのバージョン6.11.7から6.11系列全体およびバージョン6.12以降に適用されている。

【CVE-2024-50651】java_shop 1.0にアクセス制御の脆弱性、他ユーザーの情報が閲覧可能な深刻な問題に

【CVE-2024-50651】java_shop 1.0にアクセス制御の脆弱性、他ユーザーの...

MITRE Corporationは2024年11月15日、java_shop 1.0においてアクセス制御の不備による重大な脆弱性を公開した。IDパラメータの改変により他のユーザーの機密情報にアクセス可能となる問題が発見され、【CVE-2024-50651】として報告された。開発者向けに具体的な修正手順がGitHubで公開され、システム管理者による早急な対応が求められている。

【CVE-2024-50651】java_shop 1.0にアクセス制御の脆弱性、他ユーザーの...

MITRE Corporationは2024年11月15日、java_shop 1.0においてアクセス制御の不備による重大な脆弱性を公開した。IDパラメータの改変により他のユーザーの機密情報にアクセス可能となる問題が発見され、【CVE-2024-50651】として報告された。開発者向けに具体的な修正手順がGitHubで公開され、システム管理者による早急な対応が求められている。

【CVE-2024-11262】Student Record Management System 1.0に重大な脆弱性、スタックベースのバッファオーバーフローが発見される

【CVE-2024-11262】Student Record Management Syste...

SourceCodester社のStudent Record Management System 1.0にスタックベースのバッファオーバーフローの脆弱性が発見された。View All Student Marksコンポーネントのmain機能に影響を与えるこの脆弱性は、ローカルホストでの攻撃が可能であり、CVSSスコア4.0でMedium(中程度)の深刻度と評価されている。特権レベルは必要だがユーザー関与は不要で、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-11262】Student Record Management Syste...

SourceCodester社のStudent Record Management System 1.0にスタックベースのバッファオーバーフローの脆弱性が発見された。View All Student Marksコンポーネントのmain機能に影響を与えるこの脆弱性は、ローカルホストでの攻撃が可能であり、CVSSスコア4.0でMedium(中程度)の深刻度と評価されている。特権レベルは必要だがユーザー関与は不要で、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-11096】code-projects Task Manager 1.0にSQL injection脆弱性が発見、攻撃コードが公開され早急な対応が必要に

【CVE-2024-11096】code-projects Task Manager 1.0に...

code-projects Task Manager 1.0の/newProject.phpファイルにSQL injection脆弱性が発見された。CVE-2024-11096として識別されたこの脆弱性は、projectName引数を操作することで悪用が可能であり、既に攻撃コードが公開されている。CVSSスコアはCVSS 4.0で5.3(MEDIUM)、CVSS 3.1とCVSS 3.0で6.3(MEDIUM)と評価されており、早急な対策が必要とされている。

【CVE-2024-11096】code-projects Task Manager 1.0に...

code-projects Task Manager 1.0の/newProject.phpファイルにSQL injection脆弱性が発見された。CVE-2024-11096として識別されたこの脆弱性は、projectName引数を操作することで悪用が可能であり、既に攻撃コードが公開されている。CVSSスコアはCVSS 4.0で5.3(MEDIUM)、CVSS 3.1とCVSS 3.0で6.3(MEDIUM)と評価されており、早急な対策が必要とされている。

【CVE-2024-11070】PublicCMS 5.202406.dにクロスサイトスクリプティングの脆弱性が発見、リモート攻撃のリスクに対応急務

【CVE-2024-11070】PublicCMS 5.202406.dにクロスサイトスクリプ...

Sanluan社のPublicCMS 5.202406.dにおいて、Tag Type Handlerコンポーネントの/admin/cmsTagType/save機能にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSS 4.0で中程度(5.3)と評価されたこの脆弱性は、リモートからの攻撃が可能で、既に公開されている。対策が急務となっているが、自動化された攻撃は困難とされている。

【CVE-2024-11070】PublicCMS 5.202406.dにクロスサイトスクリプ...

Sanluan社のPublicCMS 5.202406.dにおいて、Tag Type Handlerコンポーネントの/admin/cmsTagType/save機能にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSS 4.0で中程度(5.3)と評価されたこの脆弱性は、リモートからの攻撃が可能で、既に公開されている。対策が急務となっているが、自動化された攻撃は困難とされている。