Tech Insights

【CVE-2024-50166】Linuxカーネルのfman関連デバイスに参照カウント処理の脆弱性、複数バージョンで修正パッチをリリース

【CVE-2024-50166】Linuxカーネルのfman関連デバイスに参照カウント処理の脆...

Linuxカーネルのfman関連デバイスにおいて参照カウント処理の脆弱性が発見され、2024年11月7日に修正パッチがリリースされた。mac_probe()関数内での参照カウント処理の不備により、システムリソースのリークが発生する可能性がある。Linux 4.5以降のバージョンが影響を受けるが、6.6.59以降の6.6系列、6.11.6以降の6.11系列、6.12以降のバージョンではすでに修正が適用されている。

【CVE-2024-50166】Linuxカーネルのfman関連デバイスに参照カウント処理の脆...

Linuxカーネルのfman関連デバイスにおいて参照カウント処理の脆弱性が発見され、2024年11月7日に修正パッチがリリースされた。mac_probe()関数内での参照カウント処理の不備により、システムリソースのリークが発生する可能性がある。Linux 4.5以降のバージョンが影響を受けるが、6.6.59以降の6.6系列、6.11.6以降の6.11系列、6.12以降のバージョンではすでに修正が適用されている。

【CVE-2024-50165】LinuxカーネルのBPFマウントオプション解析に脆弱性、メモリリーク問題の修正パッチを提供

【CVE-2024-50165】LinuxカーネルのBPFマウントオプション解析に脆弱性、メモ...

LinuxカーネルのBPFサブシステムにおいて、bpf_parse_param()関数のマウントオプション解析処理に起因するメモリリークの脆弱性が発見された。この問題はCVE-2024-50165として識別され、Linuxカーネルバージョン6.9から6.11.6までに影響を与えることが確認されている。修正パッチの適用により、param->stringの値が適切に保持されメモリリークが解消される。

【CVE-2024-50165】LinuxカーネルのBPFマウントオプション解析に脆弱性、メモ...

LinuxカーネルのBPFサブシステムにおいて、bpf_parse_param()関数のマウントオプション解析処理に起因するメモリリークの脆弱性が発見された。この問題はCVE-2024-50165として識別され、Linuxカーネルバージョン6.9から6.11.6までに影響を与えることが確認されている。修正パッチの適用により、param->stringの値が適切に保持されメモリリークが解消される。

【CVE-2024-9792】D-Link DSL-2750U R5B017にXSS脆弱性が発見、リモートからの攻撃が可能に

【CVE-2024-9792】D-Link DSL-2750U R5B017にXSS脆弱性が発...

D-Link DSL-2750U R5B017のPort Forwarding Pageコンポーネントにおいて、PortMappingDescription引数の操作によるクロスサイトスクリプティング脆弱性が発見された。CVSS 4.0で5.1点の中程度の深刻度と評価されており、リモートからの攻撃が可能で、高い特権レベルを持つユーザーを標的とした攻撃のリスクが指摘されている。

【CVE-2024-9792】D-Link DSL-2750U R5B017にXSS脆弱性が発...

D-Link DSL-2750U R5B017のPort Forwarding Pageコンポーネントにおいて、PortMappingDescription引数の操作によるクロスサイトスクリプティング脆弱性が発見された。CVSS 4.0で5.1点の中程度の深刻度と評価されており、リモートからの攻撃が可能で、高い特権レベルを持つユーザーを標的とした攻撃のリスクが指摘されている。

【CVE-2024-9671】Red Hat 3scale API Management Platform 2に認証機能の欠如、請求書情報の漏洩リスクが発覚

【CVE-2024-9671】Red Hat 3scale API Management Pl...

Red Hat社は2024年10月9日、Red Hat 3scale API Management Platform 2において深刻な脆弱性【CVE-2024-9671】を公開した。開発者ユーザーのPDF請求書に関する認証メカニズムが欠如しており、URLを知っているか推測できれば誰でも閲覧可能な状態になっていることが判明。CVSS 3.1で基本値5.3のMEDIUMと評価され、全バージョンが影響を受ける。

【CVE-2024-9671】Red Hat 3scale API Management Pl...

Red Hat社は2024年10月9日、Red Hat 3scale API Management Platform 2において深刻な脆弱性【CVE-2024-9671】を公開した。開発者ユーザーのPDF請求書に関する認証メカニズムが欠如しており、URLを知っているか推測できれば誰でも閲覧可能な状態になっていることが判明。CVSS 3.1で基本値5.3のMEDIUMと評価され、全バージョンが影響を受ける。

ASP.NET Core .NET 9で新たにOpenAPI文書生成機能を搭載、APIドキュメント作成の効率化を実現

ASP.NET Core .NET 9で新たにOpenAPI文書生成機能を搭載、APIドキュメ...

MicrosoftはASP.NET Core .NET 9において、OpenAPI文書生成機能を新たに搭載した。Minimal APIとコントローラベースの両方のアプリケーションで利用可能で、ランタイムとビルド時の生成に対応。System.Text.JsonのJSONスキーマサポートを活用し、より正確なAPIドキュメントの生成を実現。複数文書生成やカスタマイズ機能も提供され、開発効率の向上が期待される。

ASP.NET Core .NET 9で新たにOpenAPI文書生成機能を搭載、APIドキュメ...

MicrosoftはASP.NET Core .NET 9において、OpenAPI文書生成機能を新たに搭載した。Minimal APIとコントローラベースの両方のアプリケーションで利用可能で、ランタイムとビルド時の生成に対応。System.Text.JsonのJSONスキーマサポートを活用し、より正確なAPIドキュメントの生成を実現。複数文書生成やカスタマイズ機能も提供され、開発効率の向上が期待される。

Windows 11 バージョン 24H2でUbisoft製ゲームの応答不能問題が発生、アサシンクリードシリーズなど複数タイトルに影響

Windows 11 バージョン 24H2でUbisoft製ゲームの応答不能問題が発生、アサシ...

Microsoftは2024年11月22日、Windows 11 バージョン 24H2において、Ubisoft製の一部ゲームが応答不能になる問題を報告した。アサシンクリードシリーズなど5つのタイトルで、起動時やロード中、プレイ中に操作不能や黒画面化が発生。対策としてセーフガードを適用し、該当ゲームがインストールされたデバイスへのアップデート提供を一時停止している。

Windows 11 バージョン 24H2でUbisoft製ゲームの応答不能問題が発生、アサシ...

Microsoftは2024年11月22日、Windows 11 バージョン 24H2において、Ubisoft製の一部ゲームが応答不能になる問題を報告した。アサシンクリードシリーズなど5つのタイトルで、起動時やロード中、プレイ中に操作不能や黒画面化が発生。対策としてセーフガードを適用し、該当ゲームがインストールされたデバイスへのアップデート提供を一時停止している。

小池都知事がSMART BRIDAL吉野代表と面談し、95%の婚活成功率の秘訣について議論

小池都知事がSMART BRIDAL吉野代表と面談し、95%の婚活成功率の秘訣について議論

小池百合子都知事と松本明子副知事が、ミセスユニバースジャパン2024の世界大会出場者と東京都庁で面談を行った。SMART BRIDAL代表の吉野麻衣子氏は95%という高い婚活成功率の秘訣としてコミュニケーション能力と想像力の重要性を説明し、LINE添削やプロフィール作成支援など具体的な取り組みについて解説を行った。

小池都知事がSMART BRIDAL吉野代表と面談し、95%の婚活成功率の秘訣について議論

小池百合子都知事と松本明子副知事が、ミセスユニバースジャパン2024の世界大会出場者と東京都庁で面談を行った。SMART BRIDAL代表の吉野麻衣子氏は95%という高い婚活成功率の秘訣としてコミュニケーション能力と想像力の重要性を説明し、LINE添削やプロフィール作成支援など具体的な取り組みについて解説を行った。

シーイーシーのat Clapsが子育て支援アプリとしてBabyTech Awards 2024で大賞を受賞、デジタルとアナログの融合で新しい価値を創出

シーイーシーのat Clapsが子育て支援アプリとしてBabyTech Awards 2024...

シーイーシーが開発した子育て支援アプリ「at Claps」が、BabyTech Awards 2024の子どもの遊びと学び部門で大賞を受賞した。全国約5万店舗のコンビニで印刷可能な500点以上のコンテンツを提供し、デジタルとアナログを融合した新しい子育て支援の形を実現。ボランティア活動を通じた地域社会との交流促進にも取り組んでいる。

シーイーシーのat Clapsが子育て支援アプリとしてBabyTech Awards 2024...

シーイーシーが開発した子育て支援アプリ「at Claps」が、BabyTech Awards 2024の子どもの遊びと学び部門で大賞を受賞した。全国約5万店舗のコンビニで印刷可能な500点以上のコンテンツを提供し、デジタルとアナログを融合した新しい子育て支援の形を実現。ボランティア活動を通じた地域社会との交流促進にも取り組んでいる。

株式会社ヴェスの滝沢ソフトウェア検証センターがISMS認証を取得、情報セキュリティ管理体制の強化を実現

株式会社ヴェスの滝沢ソフトウェア検証センターがISMS認証を取得、情報セキュリティ管理体制の強...

株式会社ヴェスは滝沢ソフトウェア検証センターにおいて、情報セキュリティマネジメントシステム(ISMS)の国際規格ISO/IEC 27001の認証を2024年11月2日付で取得した。認証範囲にはソフトウェアの第三者検証サービスやテスト自動化サービス、ユーザビリティ検証サービスが含まれており、より安全で信頼性の高いサービス提供が可能になる。

株式会社ヴェスの滝沢ソフトウェア検証センターがISMS認証を取得、情報セキュリティ管理体制の強...

株式会社ヴェスは滝沢ソフトウェア検証センターにおいて、情報セキュリティマネジメントシステム(ISMS)の国際規格ISO/IEC 27001の認証を2024年11月2日付で取得した。認証範囲にはソフトウェアの第三者検証サービスやテスト自動化サービス、ユーザビリティ検証サービスが含まれており、より安全で信頼性の高いサービス提供が可能になる。

【CVE-2024-52765】H3C GR-1800AXにRCE脆弱性が発見、aspForm parameterを経由した攻撃の可能性

【CVE-2024-52765】H3C GR-1800AXにRCE脆弱性が発見、aspForm...

MITRE Corporationは2024年11月20日、H3C GR-1800AXのMiniGRW1B0V100R007においてリモートコード実行(RCE)の脆弱性を公開した。この脆弱性はaspForm parameterを経由した攻撃が可能となっており、システムのセキュリティに重大な影響を及ぼす可能性がある。製品の利用者は早急なセキュリティ対策の実施が推奨されている。

【CVE-2024-52765】H3C GR-1800AXにRCE脆弱性が発見、aspForm...

MITRE Corporationは2024年11月20日、H3C GR-1800AXのMiniGRW1B0V100R007においてリモートコード実行(RCE)の脆弱性を公開した。この脆弱性はaspForm parameterを経由した攻撃が可能となっており、システムのセキュリティに重大な影響を及ぼす可能性がある。製品の利用者は早急なセキュリティ対策の実施が推奨されている。

【CVE-2024-48982】MBed OS 6.16.0のHCIパケット処理に脆弱性、バッファオーバーフローの可能性が判明

【CVE-2024-48982】MBed OS 6.16.0のHCIパケット処理に脆弱性、バッ...

MITRE CorporationがMBed OS 6.16.0のHCIパケット処理における重大な脆弱性を公開した。HCIパケットのヘッダーから長さを読み取る際のバリデーション不備により、3バイト未満の値が指定された場合にバッファオーバーフローが発生する可能性がある。この問題は主にサービス拒否攻撃による影響に限定されており、システム全体のダウンや深刻な攻撃への発展は困難とされている。

【CVE-2024-48982】MBed OS 6.16.0のHCIパケット処理に脆弱性、バッ...

MITRE CorporationがMBed OS 6.16.0のHCIパケット処理における重大な脆弱性を公開した。HCIパケットのヘッダーから長さを読み取る際のバリデーション不備により、3バイト未満の値が指定された場合にバッファオーバーフローが発生する可能性がある。この問題は主にサービス拒否攻撃による影響に限定されており、システム全体のダウンや深刻な攻撃への発展は困難とされている。

【CVE-2024-11589】itsourcecode Tailoring Management System 1.0にSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-11589】itsourcecode Tailoring Manageme...

itsourcecodeのTailoring Management System 1.0のexpcatedit.phpファイルに深刻な脆弱性が発見された。CVE-2024-11589として報告されたこの脆弱性は、SQLインジェクションによるものであり、リモートからの攻撃が可能。CVSS 4.0スコアは5.3で深刻度は「MEDIUM」と評価され、機密性、完全性、可用性への影響が指摘されている。既に公開されており、早急な対応が求められる。

【CVE-2024-11589】itsourcecode Tailoring Manageme...

itsourcecodeのTailoring Management System 1.0のexpcatedit.phpファイルに深刻な脆弱性が発見された。CVE-2024-11589として報告されたこの脆弱性は、SQLインジェクションによるものであり、リモートからの攻撃が可能。CVSS 4.0スコアは5.3で深刻度は「MEDIUM」と評価され、機密性、完全性、可用性への影響が指摘されている。既に公開されており、早急な対応が求められる。

【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベンダーの対応が課題に

【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...

115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。

【CVE-2024-11489】115cmsにクロスサイトスクリプティングの脆弱性が発見、ベン...

115cms 20240807以前のバージョンにおいて、file.htmlのks引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11489として識別されるこの脆弱性は、CWE-79とCWE-94に分類され、CVSSスコアは最大で5.3を記録。遠隔からの攻撃が可能で、エクスプロイトも公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いている。

【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、wireless・healthエンドポイントのmetricパラメータに深刻な問題

【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、w...

オープンソースのネットワーク監視システムLibreNMSにおいて、"/wireless"および"/health"エンドポイントの"metric"パラメータにReflected XSS(反射型クロスサイトスクリプティング)の脆弱性が発見された。CVSSスコアは4.8(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。バージョン24.10.0未満が影響を受け、最新版へのアップデートが推奨される。

【CVE-2024-51496】LibreNMSにReflected XSSの脆弱性が発見、w...

オープンソースのネットワーク監視システムLibreNMSにおいて、"/wireless"および"/health"エンドポイントの"metric"パラメータにReflected XSS(反射型クロスサイトスクリプティング)の脆弱性が発見された。CVSSスコアは4.8(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。バージョン24.10.0未満が影響を受け、最新版へのアップデートが推奨される。

【CVE-2024-28729】D-Link DWR 2000M 5G CPEに深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-28729】D-Link DWR 2000M 5G CPEに深刻な脆弱性、...

MITREが2024年11月12日に公開したD-Link DWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEの脆弱性情報によると、ローカルの攻撃者が細工されたリクエストを通じて任意のコードを実行できる問題が発見された。CVSSスコア7.8のHigh評価を受けており、早急な対策が必要とされている。

【CVE-2024-28729】D-Link DWR 2000M 5G CPEに深刻な脆弱性、...

MITREが2024年11月12日に公開したD-Link DWR 2000M 5G CPE With Wifi 6 Ax1800およびDWR 5G CPE DWR-2000M_1.34MEの脆弱性情報によると、ローカルの攻撃者が細工されたリクエストを通じて任意のコードを実行できる問題が発見された。CVSSスコア7.8のHigh評価を受けており、早急な対策が必要とされている。

【CVE-2024-9341】Red HatがContainers共通ライブラリの重大な脆弱性を発表、コンテナセキュリティの強化が急務に

【CVE-2024-9341】Red HatがContainers共通ライブラリの重大な脆弱性...

Red Hatは2024年10月1日、Containers共通ライブラリにFIPSモード有効時のファイルパス検証の脆弱性が存在することを発表した。この脆弱性により攻撃者はシンボリックリンクを悪用してホストの重要なディレクトリをコンテナ内にマウントすることが可能となる。Podman、Buildah、Cri-Oなどの主要なコンテナランタイムに影響があり、RHEL 8/9およびOpenShift Container Platform 4.12-4.17向けに修正パッチが提供されている。

【CVE-2024-9341】Red HatがContainers共通ライブラリの重大な脆弱性...

Red Hatは2024年10月1日、Containers共通ライブラリにFIPSモード有効時のファイルパス検証の脆弱性が存在することを発表した。この脆弱性により攻撃者はシンボリックリンクを悪用してホストの重要なディレクトリをコンテナ内にマウントすることが可能となる。Podman、Buildah、Cri-Oなどの主要なコンテナランタイムに影響があり、RHEL 8/9およびOpenShift Container Platform 4.12-4.17向けに修正パッチが提供されている。

【CVE-2024-50351】LibreNMSにReflected XSSの脆弱性が発見、バージョン24.10.0で修正完了

【CVE-2024-50351】LibreNMSにReflected XSSの脆弱性が発見、バ...

オープンソースのネットワーク監視システムLibreNMSにおいて、Reflected XSSの脆弱性(CVE-2024-50351)が発見された。この脆弱性はlogsタブのsectionパラメータに存在し、report_this関数での入力値の無害化処理が不十分であることが原因。CVSSスコアは4.8(MEDIUM)と評価され、バージョン24.10.0で修正が完了している。

【CVE-2024-50351】LibreNMSにReflected XSSの脆弱性が発見、バ...

オープンソースのネットワーク監視システムLibreNMSにおいて、Reflected XSSの脆弱性(CVE-2024-50351)が発見された。この脆弱性はlogsタブのsectionパラメータに存在し、report_this関数での入力値の無害化処理が不十分であることが原因。CVSSスコアは4.8(MEDIUM)と評価され、バージョン24.10.0で修正が完了している。

SHEとポーラ・オルビスが次世代女性起業家ピッチコンテストを開催、160件の応募から10名のファイナリストを選出へ

SHEとポーラ・オルビスが次世代女性起業家ピッチコンテストを開催、160件の応募から10名のフ...

SHE株式会社とポーラ・オルビスホールディングスが協業で実施する女性起業家支援プロジェクト「NEXT FOUNDERS」の最終ピッチ会が12月22日に開催される。2024年8月から募集を開始し、総エントリー160件から選抜された候補者による二次審査を経て、最終的に10名のファイナリストが決定する。昨年の実績では参加者の3分の1が実際に起業を果たすなど、具体的な成果を上げている。

SHEとポーラ・オルビスが次世代女性起業家ピッチコンテストを開催、160件の応募から10名のフ...

SHE株式会社とポーラ・オルビスホールディングスが協業で実施する女性起業家支援プロジェクト「NEXT FOUNDERS」の最終ピッチ会が12月22日に開催される。2024年8月から募集を開始し、総エントリー160件から選抜された候補者による二次審査を経て、最終的に10名のファイナリストが決定する。昨年の実績では参加者の3分の1が実際に起業を果たすなど、具体的な成果を上げている。

【CVE-2024-11049】ZKTeco ZKBio Time 9.0.1に直接リクエストの脆弱性、深刻度はMEDIUMレベルで早急な対応が必要に

【CVE-2024-11049】ZKTeco ZKBio Time 9.0.1に直接リクエスト...

VulDBがZKTeco ZKBio Time 9.0.1の画像ファイルハンドラーにおける直接リクエストの脆弱性を報告した。CVE-2024-11049として登録されたこの脆弱性は、CVSSスコア6.3(MEDIUM)と評価されており、リモートからの攻撃が可能だ。既にエクスプロイトが公開されているにもかかわらず、ベンダーからの対応がない状況が続いている。

【CVE-2024-11049】ZKTeco ZKBio Time 9.0.1に直接リクエスト...

VulDBがZKTeco ZKBio Time 9.0.1の画像ファイルハンドラーにおける直接リクエストの脆弱性を報告した。CVE-2024-11049として登録されたこの脆弱性は、CVSSスコア6.3(MEDIUM)と評価されており、リモートからの攻撃が可能だ。既にエクスプロイトが公開されているにもかかわらず、ベンダーからの対応がない状況が続いている。

【CVE-2024-10920】mariazevedo88のtravels-java-apiにJWT認証の脆弱性が発見、ハードコードされた暗号化キーが問題に

【CVE-2024-10920】mariazevedo88のtravels-java-apiに...

mariazevedo88のtravels-java-apiにおいて、JwtAuthenticationTokenFilter.javaのdoFilterInternal関数で使用されているハードコードされた暗号化キーに関する脆弱性が発見された。この問題はバージョン5.0.0から5.0.1まで影響を与える可能性があり、CVSS 4.0では低リスクと評価されているものの、リモートからの攻撃の可能性が指摘されている。

【CVE-2024-10920】mariazevedo88のtravels-java-apiに...

mariazevedo88のtravels-java-apiにおいて、JwtAuthenticationTokenFilter.javaのdoFilterInternal関数で使用されているハードコードされた暗号化キーに関する脆弱性が発見された。この問題はバージョン5.0.0から5.0.1まで影響を与える可能性があり、CVSS 4.0では低リスクと評価されているものの、リモートからの攻撃の可能性が指摘されている。

【CVE-2024-51208】Boat Booking System 1.0にファイルアップロード脆弱性が発見、システムのセキュリティリスクが深刻化

【CVE-2024-51208】Boat Booking System 1.0にファイルアップ...

MITRE Corporationは2024年11月20日、Anuj Kumar氏が開発したBoat Booking System version 1.0のchange-image.phpにおいてファイルアップロードの脆弱性を公表した。Image Upload Mechanismのパラメータを介して悪意のあるPHPスクリプトをアップロードすることが可能となっており、システム全体のセキュリティリスクが指摘されている。脆弱性は【CVE-2024-51208】として識別され、早急な対策が求められる。

【CVE-2024-51208】Boat Booking System 1.0にファイルアップ...

MITRE Corporationは2024年11月20日、Anuj Kumar氏が開発したBoat Booking System version 1.0のchange-image.phpにおいてファイルアップロードの脆弱性を公表した。Image Upload Mechanismのパラメータを介して悪意のあるPHPスクリプトをアップロードすることが可能となっており、システム全体のセキュリティリスクが指摘されている。脆弱性は【CVE-2024-51208】として識別され、早急な対策が求められる。

【CVE-2024-52755】D-LINK DI-8003でバッファオーバーフロー脆弱性が発見、セキュリティ対策の強化が必要に

【CVE-2024-52755】D-LINK DI-8003でバッファオーバーフロー脆弱性が発...

MITRE Corporationは2024年11月20日、D-LINK DI-8003 v16.07.26Aにおいてバッファオーバーフロー脆弱性を発見したことを公表した。ipsec_road_asp関数のhost_ipパラメータに存在する脆弱性は、CVSSスコア3.5のLowレベルと評価されており、認証情報が必要となる。SSVCの評価では技術的影響は部分的で、自動化された攻撃は不可能とされているものの、セキュリティ対策の強化が求められている。

【CVE-2024-52755】D-LINK DI-8003でバッファオーバーフロー脆弱性が発...

MITRE Corporationは2024年11月20日、D-LINK DI-8003 v16.07.26Aにおいてバッファオーバーフロー脆弱性を発見したことを公表した。ipsec_road_asp関数のhost_ipパラメータに存在する脆弱性は、CVSSスコア3.5のLowレベルと評価されており、認証情報が必要となる。SSVCの評価では技術的影響は部分的で、自動化された攻撃は不可能とされているものの、セキュリティ対策の強化が求められている。

【CVE-2024-52757】D-LINK DI-8003にバッファオーバーフローの脆弱性、arp_sys_asp関数のnotifyパラメータに問題

【CVE-2024-52757】D-LINK DI-8003にバッファオーバーフローの脆弱性、...

D-LINK社のDI-8003 v16.07.16A1において、arp_sys_asp関数のnotifyパラメータにバッファオーバーフローの脆弱性が発見された。CVE-2024-52757として識別されるこの脆弱性は、CVSS v3.1で3.5(Low)と評価されている。CWE-120に分類されるこの問題は、入力サイズのチェックが不十分なバッファコピーに関する脆弱性であり、早急な対応が推奨される。

【CVE-2024-52757】D-LINK DI-8003にバッファオーバーフローの脆弱性、...

D-LINK社のDI-8003 v16.07.16A1において、arp_sys_asp関数のnotifyパラメータにバッファオーバーフローの脆弱性が発見された。CVE-2024-52757として識別されるこの脆弱性は、CVSS v3.1で3.5(Low)と評価されている。CWE-120に分類されるこの問題は、入力サイズのチェックが不十分なバッファコピーに関する脆弱性であり、早急な対応が推奨される。

【CVE-2024-52677】HkCms v2.3.2.240702以前のバージョンでファイルアップロード脆弱性が発見、早急な対応が必要に

【CVE-2024-52677】HkCms v2.3.2.240702以前のバージョンでファイ...

MITREは2024年11月20日、HkCms v2.3.2.240702以前のバージョンに存在するファイルアップロード脆弱性をCVE-2024-52677として公開した。この脆弱性は/app/common/library/Upload.phpのgetFileName関数に存在し、適切な入力検証が行われていないことが原因である。GitHubではPoCと詳細な技術情報が公開されており、早急な対応が必要とされている。

【CVE-2024-52677】HkCms v2.3.2.240702以前のバージョンでファイ...

MITREは2024年11月20日、HkCms v2.3.2.240702以前のバージョンに存在するファイルアップロード脆弱性をCVE-2024-52677として公開した。この脆弱性は/app/common/library/Upload.phpのgetFileName関数に存在し、適切な入力検証が行われていないことが原因である。GitHubではPoCと詳細な技術情報が公開されており、早急な対応が必要とされている。

【CVE-2024-48983】MBed OS 6.16.0にバッファオーバーフローの脆弱性、DoS攻撃のリスクが浮上

【CVE-2024-48983】MBed OS 6.16.0にバッファオーバーフローの脆弱性、...

MBed OS 6.16.0において、HCIパケット処理時に最大65KBのバッファオーバーフローが発生する脆弱性が発見された。この脆弱性は2024年11月20日に公開され、CVE-2024-48983として識別されている。パケットヘッダーからの長さ決定時に整数オーバーフローが発生し、バッファサイズが不適切に計算される可能性があるが、深刻な攻撃への悪用は困難とされている。

【CVE-2024-48983】MBed OS 6.16.0にバッファオーバーフローの脆弱性、...

MBed OS 6.16.0において、HCIパケット処理時に最大65KBのバッファオーバーフローが発生する脆弱性が発見された。この脆弱性は2024年11月20日に公開され、CVE-2024-48983として識別されている。パケットヘッダーからの長さ決定時に整数オーバーフローが発生し、バッファサイズが不適切に計算される可能性があるが、深刻な攻撃への悪用は困難とされている。

【CVE-2024-11590】1000 Projects Bookstore Management Systemにリモート攻撃可能な脆弱性、パスワードリセット機能に深刻な問題

【CVE-2024-11590】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。

【CVE-2024-11590】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のforget_password_process.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-11590として識別されるこの脆弱性は、unm引数の操作により発生し、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1と3.0で7.3(HIGH)と評価され、既に攻撃手法が公開されている状態にある。

【CVE-2024-10450】SourceCodester Kortex Liteに重大な脆弱性、SQLインジェクションによる情報漏洩のリスクが浮上

【CVE-2024-10450】SourceCodester Kortex Liteに重大な脆...

VulDBは2024年10月28日、SourceCodester Kortex Lite Advocate Office Management System 1.0においてSQLインジェクションの脆弱性を発見したことを報告した。CVE-2024-10450として識別されたこの脆弱性は、edit_profile.phpのPOSTパラメータを悪用することで情報漏洩や改ざんが可能となる。CVSSスコアでは中程度の評価となっているものの、既に公開されており早急な対応が必要だ。

【CVE-2024-10450】SourceCodester Kortex Liteに重大な脆...

VulDBは2024年10月28日、SourceCodester Kortex Lite Advocate Office Management System 1.0においてSQLインジェクションの脆弱性を発見したことを報告した。CVE-2024-10450として識別されたこの脆弱性は、edit_profile.phpのPOSTパラメータを悪用することで情報漏洩や改ざんが可能となる。CVSSスコアでは中程度の評価となっているものの、既に公開されており早急な対応が必要だ。

【CVE-2024-11179】MStore APIプラグインでSQL injection脆弱性が発見、Subscriber以上の権限で悪用可能に

【CVE-2024-11179】MStore APIプラグインでSQL injection脆弱...

WordPressプラグイン「MStore API」にSQL injectionの脆弱性が発見された。この脆弱性は【CVE-2024-11179】として識別され、バージョン4.15.7以前のすべてのバージョンに影響を及ぼす。Subscriber以上の権限を持つ認証済みユーザーにより、データベースから機密情報が抽出される可能性があり、CVSSスコア6.5(中程度)と評価されている。

【CVE-2024-11179】MStore APIプラグインでSQL injection脆弱...

WordPressプラグイン「MStore API」にSQL injectionの脆弱性が発見された。この脆弱性は【CVE-2024-11179】として識別され、バージョン4.15.7以前のすべてのバージョンに影響を及ぼす。Subscriber以上の権限を持つ認証済みユーザーにより、データベースから機密情報が抽出される可能性があり、CVSSスコア6.5(中程度)と評価されている。

【CVE-2024-11078】code-projects Job Recruitment 1.0にクロスサイトスクリプティングの脆弱性が発見、リモート攻撃が可能に

【CVE-2024-11078】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。

【CVE-2024-11078】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。

【CVE-2024-11050】AMTT Hotel Broadband Operation System 3.0.3.151204にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクが判明

【CVE-2024-11050】AMTT Hotel Broadband Operation ...

AMTT Hotel Broadband Operation Systemのversion 3.0.3.151204以前のバージョンにおいて、language.phpファイル内のLangID、LangName、LangENameパラメータの処理に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3(MEDIUM)で、リモートからの攻撃が可能であり、特に完全性への影響が懸念される。ベンダーへの早期通知にもかかわらず対応は確認されておらず、既に脆弱性の詳細が公開され悪用可能な状態となっている。

【CVE-2024-11050】AMTT Hotel Broadband Operation ...

AMTT Hotel Broadband Operation Systemのversion 3.0.3.151204以前のバージョンにおいて、language.phpファイル内のLangID、LangName、LangENameパラメータの処理に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3(MEDIUM)で、リモートからの攻撃が可能であり、特に完全性への影響が懸念される。ベンダーへの早期通知にもかかわらず対応は確認されておらず、既に脆弱性の詳細が公開され悪用可能な状態となっている。