Tech Insights
【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...
TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。
【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...
TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。
【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...
TWCERT/CCがTRCore DVCのパストラバーサル脆弱性【CVE-2024-11311】を公開した。バージョン6.0から6.3が影響を受け、CVSSスコア9.8と深刻度が高い。認証なしでの任意のファイルアップロードが可能で、Webシェルを介した任意のコード実行のリスクがある。早急なセキュリティ対策が求められる状況となっている。
【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...
TWCERT/CCがTRCore DVCのパストラバーサル脆弱性【CVE-2024-11311】を公開した。バージョン6.0から6.3が影響を受け、CVSSスコア9.8と深刻度が高い。認証なしでの任意のファイルアップロードが可能で、Webシェルを介した任意のコード実行のリスクがある。早急なセキュリティ対策が求められる状況となっている。
【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...
code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。
【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...
code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。
【CVE-2024-10924】Really Simple Security 9.0.0-9....
WordPressプラグインのReally Simple Security(Free/Pro/Pro Multisite)において、バージョン9.0.0から9.1.1.1に認証バイパスの脆弱性が発見された。Two-Factor認証機能のREST APIアクションにおけるユーザーチェックの不備により、未認証の攻撃者が管理者権限でログイン可能となる深刻な問題が報告されている。CVSSスコアは9.8(CRITICAL)と評価されている。
【CVE-2024-10924】Really Simple Security 9.0.0-9....
WordPressプラグインのReally Simple Security(Free/Pro/Pro Multisite)において、バージョン9.0.0から9.1.1.1に認証バイパスの脆弱性が発見された。Two-Factor認証機能のREST APIアクションにおけるユーザーチェックの不備により、未認証の攻撃者が管理者権限でログイン可能となる深刻な問題が報告されている。CVSSスコアは9.8(CRITICAL)と評価されている。
【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...
WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。
【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...
WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。
【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...
code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。
【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...
code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。
【CVE-2024-11257】Beauty Parlour Management Syste...
1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。
【CVE-2024-11257】Beauty Parlour Management Syste...
1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。
【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...
Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。
【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...
Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。
【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...
無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。
【CVE-2024-43417】GLPIバージョン10.0.0-10.0.17にXSS脆弱性、...
無料の資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン10.0.0から10.0.17未満に影響を及ぼすリフレクテッドXSS脆弱性が発見された。この脆弱性は未認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSSスコアは6.5(MEDIUM)であり、早急なバージョン10.0.17へのアップグレードが推奨されている。
【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...
オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。
【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...
オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。
【CVE-2024-52574】SiemensのTecnomatix Plant Simula...
SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のバッファオーバーフロー脆弱性が発見された。CVSSスコアは最大7.8を記録し、攻撃者による任意のコード実行が可能となる危険性がある。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、Siemens社は修正パッチを提供している。製造業のデジタル化に影響を与える可能性がある重要な脆弱性への対応が求められる。
【CVE-2024-52574】SiemensのTecnomatix Plant Simula...
SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のバッファオーバーフロー脆弱性が発見された。CVSSスコアは最大7.8を記録し、攻撃者による任意のコード実行が可能となる危険性がある。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、Siemens社は修正パッチを提供している。製造業のデジタル化に影響を与える可能性がある重要な脆弱性への対応が求められる。
【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...
オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。
【CVE-2024-52526】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...
オープンソースのネットワーク監視システムLibreNMSにおいて、格納型XSS(クロスサイトスクリプティング)の脆弱性が発見された。Deviceページのサービスタブで認証済みユーザーが任意のJavaScriptコードを実行可能な状態であり、他のユーザーのセッション情報が危険にさらされる可能性があった。この脆弱性はバージョン24.10.0で修正されている。
【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...
Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。
【CVE-2024-52424】WordPress用Wp-Login Customizerプラ...
Patchstack OÜが2024年11月18日、WordPress用プラグインWp-Login Customizerにおいてクロスサイトリクエストフォージェリを利用したクロスサイトスクリプティングの脆弱性を発見したことを公開した。バージョン1.0以前の全てのバージョンが影響を受け、CVSS v3.1で7.1(High)と評価されている深刻な脆弱性であり、早急な対応が求められている。
【CVE-2024-52419】WordPress Copy Anything to Clip...
WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。
【CVE-2024-52419】WordPress Copy Anything to Clip...
WordPressプラグインCopy Anything to Clipboard 4.0.3以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃の複雑さは低いものの特権アカウントとユーザーの操作が必要。Patchstack Allianceが発見したこの脆弱性は、Webページ生成時の入力値の不適切な処理に起因し、早急な対応が推奨される。
【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...
オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。
【CVE-2024-51497】LibreNMSにストアードXSS脆弱性が発見、バージョン24...
オープンソースのネットワーク監視システムLibreNMSにおいて、Custom OIDタブのunitパラメータを介して認証済みユーザーが任意のJavaScriptを注入できる脆弱性が発見された。この脆弱性によりセッション乗っ取りや不正操作が可能となり、CVSSスコアは4.8(MEDIUM)と評価されている。開発チームは2024年11月15日にバージョン24.10.0で修正を完了している。
【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...
MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting(XSS)の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)で、CWE-79に分類される深刻な問題となっている。
【CVE-2024-50655】emlog pro 2.3.18以前にXSS脆弱性が発見、記事...
MITREが2024年11月15日に公開したCVE-2024-50655の情報によると、emlog pro 2.3.18以前のバージョンでCross Site Scripting(XSS)の脆弱性が発見された。この脆弱性により、攻撃者は記事投稿機能を悪用して悪意のあるJavaScriptコードを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)で、CWE-79に分類される深刻な問題となっている。
【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...
MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。
【CVE-2024-50653】CRMEB 5.4.0以下でアクセス制御の脆弱性、クーポン機能...
MITRE CorporationがCRMEB 5.4.0以下のバージョンにおけるアクセス制御の脆弱性を公開した。パケットキャプチャーを利用した攻撃により、フロントエンドでのクーポン一回制限を回避し、無制限にクーポンを収集できる問題が存在する。CISAの評価では自動化可能な攻撃手法であり、システムへの部分的な影響が指摘されている。
【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...
Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。
【CVE-2024-50156】Linuxカーネルのドライバ脆弱性、NULLポインタ参照の問題...
Linuxカーネルのdrm/msmドライバにおいて、msm_disp_state_print_regs()関数でNULLポインタ参照が可能となる脆弱性が発見された。この問題は【CVE-2024-50156】として特定され、Version 5.14以降および複数のVersion 7系列に影響を及ぼしている。修正パッチでは、NULLポインタ検出時の処理が改善され、二重ポインタの使用も排除された。
【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...
ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。
【CVE-2024-49574】ManageEngine ADAudit Plusにて深刻なS...
ManageEngineは2024年11月18日、Active Directory監査ソリューションADAudit Plusにおいて深刻なSQL Injectionの脆弱性を確認した。この脆弱性はバージョン8123未満の全バージョンに影響を及ぼし、CVSSスコア8.3を記録。特権は必要だがユーザーインタラクション不要で攻撃可能であり、情報の機密性と整合性に重大な影響を及ぼす可能性が高いと評価されている。
【CVE-2024-11258】Beauty Parlour Management Syste...
1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。
【CVE-2024-11258】Beauty Parlour Management Syste...
1000 ProjectsのBeauty Parlour Management System 1.0において、管理者ページのユーザー名パラメータにSQLインジェクションの脆弱性が発見された。CVE-2024-11258として識別されるこの脆弱性は、リモートからの攻撃が可能で認証も不要とされている。CVSSスコアは最大7.3(HIGH)と評価されており、エクスプロイトコードも既に公開されているため、早急な対応が必要とされる。
【CVE-2024-11247】SourceCodester Online Eyewear S...
SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。
【CVE-2024-11247】SourceCodester Online Eyewear S...
SourceCodester Online Eyewear Shop 1.0のInventory Pageに重大なセキュリティ上の脆弱性が発見された。/oews/classes/Master.php?f=save_productファイル内のbrandパラメータを操作することで発生するクロスサイトスクリプティングの脆弱性は、CVSS 4.0でスコア5.3のMedium評価となっている。既に公開されており、リモートからの攻撃が可能な状態だ。
【CVE-2024-10582】Music Player For Elementor 2.4....
WordPressのプラグインMusic Player For Elementorにおいて、バージョン2.4.1以前に認証済みユーザーによる未認可のテンプレートインポートを可能にする脆弱性が発見された。import_mpfe_template()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがテンプレートをインポート可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、データの整合性に関する潜在的なリスクが存在する。
【CVE-2024-10582】Music Player For Elementor 2.4....
WordPressのプラグインMusic Player For Elementorにおいて、バージョン2.4.1以前に認証済みユーザーによる未認可のテンプレートインポートを可能にする脆弱性が発見された。import_mpfe_template()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがテンプレートをインポート可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、データの整合性に関する潜在的なリスクが存在する。
【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...
WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。
【CVE-2024-52425】WordPress用プラグインDrozd 1.1.1にXSS脆...
WordPress用プラグインDrozd - Addons for Elementorにおいて格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.1.1以前に影響し、CVSS値6.5の中程度の深刻度と評価されている。攻撃には低い特権レベルとユーザー操作が必要だが、Webページ生成時の不適切な入力によってスクリプト実行の可能性がある。Patchstack Allianceに所属するGabによって発見され、2024年11月18日に公開された。
【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...
WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。
【CVE-2024-52423】Themify Builder 7.6.3にXSS脆弱性が発見...
WordPressプラグインThemify Builder 7.6.3以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコアは6.5で中程度の深刻度と評価され、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。SSVCの評価では自動化された攻撃への対応はないものの、部分的な技術的影響が指摘されており、早急な対応が推奨される。
【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...
オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。
【CVE-2024-51494】LibreNMSにXSS脆弱性が発見、バージョン24.10.0...
オープンソースのネットワーク監視システムLibreNMSにおいて、Port Settingsページでの認証済みユーザーによる任意のJavaScript実行が可能なXSS脆弱性が発見された。CVE-2024-51494として識別されるこの脆弱性は、バージョン24.10.0で修正が完了。脆弱性の深刻度はCVSS v3.1で4.8(MEDIUM)と評価され、早急な更新が推奨される。
【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...
オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。
【CVE-2024-50350】LibreNMSにStoredタイプのXSS脆弱性、Port ...
オープンソースのネットワーク監視システムLibreNMSのPort Settings画面において、認証済みユーザーがPort Group作成時のnameパラメータを介して任意のJavaScriptを実行できる脆弱性が発見された。この脆弱性は【CVE-2024-50350】として識別され、CVSSスコアは4.8(MEDIUM)と評価されている。LibreNMSの開発チームは迅速に対応し、バージョン24.10.0で修正を実施した。
【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...
WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。
【CVE-2024-10113】WP AdCenter 2.5.7以前にXSS脆弱性、投稿者権...
WordPressプラグイン「WP AdCenter – Ad Manager & Adsense Ads」のバージョン2.5.7以前において、Stored XSSの脆弱性が発見された。wpadcenter_adショートコードにおける入力値の不適切なサニタイズにより、投稿者権限以上のユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4(Medium)で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要と評価されている。
【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意...
TRCoreのDVCバージョン6.0から6.3において、パストラバーサル脆弱性が発見された。この脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを読み取ることが可能となる。CVSSスコアは7.5と高く、TWCERTは攻撃の自動化も可能であると報告している。早急な対策が必要とされる事態となっている。
【CVE-2024-11309】TRCore DVCにパストラバーサルの脆弱性、認証なしで任意...
TRCoreのDVCバージョン6.0から6.3において、パストラバーサル脆弱性が発見された。この脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを読み取ることが可能となる。CVSSスコアは7.5と高く、TWCERTは攻撃の自動化も可能であると報告している。早急な対策が必要とされる事態となっている。
【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...
資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。
【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バー...
資産およびIT管理ソフトウェアパッケージGLPIのチケットフォームにおいて、認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。CVE-2024-41679として識別されるこの脆弱性は、バージョン10.0.0から10.0.17未満に影響を与え、CVSSスコア6.5(Medium)を記録している。開発チームはバージョン10.0.17で修正を実施し、対策を完了している。
【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見...
WordPressプラグイン「WP Githuber MD」のバージョン1.16.3以前にStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、特権アカウントとユーザーの操作を必要とするものの攻撃の複雑さは低く、ユーザーの機密情報漏洩やセッション乗っ取りなどのリスクが指摘されている。早急なアップデートによる対策が推奨される。
【CVE-2024-52422】WP Githuber MD 1.16.3にXSS脆弱性が発見...
WordPressプラグイン「WP Githuber MD」のバージョン1.16.3以前にStored XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、特権アカウントとユーザーの操作を必要とするものの攻撃の複雑さは低く、ユーザーの機密情報漏洩やセッション乗っ取りなどのリスクが指摘されている。早急なアップデートによる対策が推奨される。