Tech Insights

【CVE-2024-50654】lilishop 4.2.4のクーポン機能に脆弱性、高負荷時の制限回避が可能に

【CVE-2024-50654】lilishop 4.2.4のクーポン機能に脆弱性、高負荷時の...

lilishop 4.2.4以前のバージョンにおいて、クーポン収集機能のアクセス制御に深刻な脆弱性が発見された。高負荷状態でデータパケットを送信することで、設定された数量制限を超えてクーポンを取得できる問題が確認されている。この脆弱性は【CVE-2024-50654】として識別され、多くのECサイトへの影響が懸念される。不正なクーポン取得による経済的損失やユーザー体験の低下を防ぐため、早急な対応が求められている。

【CVE-2024-50654】lilishop 4.2.4のクーポン機能に脆弱性、高負荷時の...

lilishop 4.2.4以前のバージョンにおいて、クーポン収集機能のアクセス制御に深刻な脆弱性が発見された。高負荷状態でデータパケットを送信することで、設定された数量制限を超えてクーポンを取得できる問題が確認されている。この脆弱性は【CVE-2024-50654】として識別され、多くのECサイトへの影響が懸念される。不正なクーポン取得による経済的損失やユーザー体験の低下を防ぐため、早急な対応が求められている。

【CVE-2024-52759】D-LINK DI-8003のバッファオーバーフロー脆弱性が発覚、製品のセキュリティリスクが深刻化

【CVE-2024-52759】D-LINK DI-8003のバッファオーバーフロー脆弱性が発...

D-LINK社のDI-8003 v16.07.26Aにおいて、ip_position_asp機能のipパラメータにバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-52759】として識別され、メモリ破壊やコード実行などの深刻な影響をもたらす可能性がある。D-LINK社はセキュリティ通知を公開し、GitHubリポジトリでも技術的な詳細が共有されている。

【CVE-2024-52759】D-LINK DI-8003のバッファオーバーフロー脆弱性が発...

D-LINK社のDI-8003 v16.07.26Aにおいて、ip_position_asp機能のipパラメータにバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-52759】として識別され、メモリ破壊やコード実行などの深刻な影響をもたらす可能性がある。D-LINK社はセキュリティ通知を公開し、GitHubリポジトリでも技術的な詳細が共有されている。

【CVE-2024-52567】SiemensのTecnomatix Plant Simulationに深刻な脆弱性、コード実行のリスクで早急な対応が必要に

【CVE-2024-52567】SiemensのTecnomatix Plant Simula...

Siemens社の製造シミュレーションソフトウェアTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のメモリ読み取りに関する深刻な脆弱性が発見された。この脆弱性は【CVE-2024-52567】として識別され、CVSS v3.1で7.8のHighスコアを記録。特別に細工されたWRLファイルによって任意のコード実行が可能になる危険性が指摘されており、早急な対応が必要とされている。

【CVE-2024-52567】SiemensのTecnomatix Plant Simula...

Siemens社の製造シミュレーションソフトウェアTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のメモリ読み取りに関する深刻な脆弱性が発見された。この脆弱性は【CVE-2024-52567】として識別され、CVSS v3.1で7.8のHighスコアを記録。特別に細工されたWRLファイルによって任意のコード実行が可能になる危険性が指摘されており、早急な対応が必要とされている。

【CVE-2024-52714】Tenda AC6 v2.0のfromSetSysTime関数にバッファオーバーフロー脆弱性が発見、重大なセキュリティリスクに

【CVE-2024-52714】Tenda AC6 v2.0のfromSetSysTime関数...

Tenda AC6 v2.0 v15.03.06.50において、fromSetSysTime関数にバッファオーバーフローの脆弱性が発見された。CVSSスコア8.1のHigh評価で、攻撃条件の複雑さは低く特権も不要なため、リモートからの攻撃が容易に実行可能な状態となっている。CWE-120に分類されるこの脆弱性は、機密性と完全性に重大な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2024-52714】Tenda AC6 v2.0のfromSetSysTime関数...

Tenda AC6 v2.0 v15.03.06.50において、fromSetSysTime関数にバッファオーバーフローの脆弱性が発見された。CVSSスコア8.1のHigh評価で、攻撃条件の複雑さは低く特権も不要なため、リモートからの攻撃が容易に実行可能な状態となっている。CWE-120に分類されるこの脆弱性は、機密性と完全性に重大な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョンでセキュリティリスク拡大

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョン...

TR-CERTは2024年11月18日、django-cmsの3.11.7、3.11.8、4.1.2、4.1.3のバージョンでクロスサイトスクリプティング(XSS)の脆弱性を発見したと発表した。CVSSスコア3.8の脆弱性は、入力値の適切な無害化処理が行われていないことに起因しており、特権ユーザーによる不正なWebページ生成のリスクがある。既に修正バージョン4.1.4がリリースされ、早急なアップデートが推奨される。

【CVE-2024-11319】django-cmsに深刻なXSS脆弱性が発見、複数バージョン...

TR-CERTは2024年11月18日、django-cmsの3.11.7、3.11.8、4.1.2、4.1.3のバージョンでクロスサイトスクリプティング(XSS)の脆弱性を発見したと発表した。CVSSスコア3.8の脆弱性は、入力値の適切な無害化処理が行われていないことに起因しており、特権ユーザーによる不正なWebページ生成のリスクがある。既に修正バージョン4.1.4がリリースされ、早急なアップデートが推奨される。

MicrosoftがLinux版Azure Cosmos DBエミュレータをプレビュー公開、Apple siliconとARMチップでの開発効率が向上

MicrosoftがLinux版Azure Cosmos DBエミュレータをプレビュー公開、A...

MicrosoftはApple siliconやMicrosoft ARMチップでネイティブに動作する新しいLinux版Azure Cosmos DBエミュレータをプレビューリリースした。Docker経由での簡単なデプロイメントが可能で、NoSQL APIをサポートしゲートウェイモードで動作する。仮想マシンが不要になり開発効率が大幅に向上、ただし一部機能には制限あり。今後のアップデートでさらなる機能追加を予定している。

MicrosoftがLinux版Azure Cosmos DBエミュレータをプレビュー公開、A...

MicrosoftはApple siliconやMicrosoft ARMチップでネイティブに動作する新しいLinux版Azure Cosmos DBエミュレータをプレビューリリースした。Docker経由での簡単なデプロイメントが可能で、NoSQL APIをサポートしゲートウェイモードで動作する。仮想マシンが不要になり開発効率が大幅に向上、ただし一部機能には制限あり。今後のアップデートでさらなる機能追加を予定している。

SportipがAI口腔機能評価システム「リハケア」をリリース、誤嚥性肺炎の予防と口腔機能向上加算の取得をサポート

SportipがAI口腔機能評価システム「リハケア」をリリース、誤嚥性肺炎の予防と口腔機能向上...

Sportipは高齢者の健康支援を目的とした口腔機能評価システム「リハケア」の提供を開始した。スマートフォンでの音声録音による独自の評価テストとAI解析により、専門スタッフがいない現場でも手軽に口腔機能の評価が可能になる。また口腔機能向上加算の取得をサポートする機能も搭載されており、加算算定率の向上が期待できる。

SportipがAI口腔機能評価システム「リハケア」をリリース、誤嚥性肺炎の予防と口腔機能向上...

Sportipは高齢者の健康支援を目的とした口腔機能評価システム「リハケア」の提供を開始した。スマートフォンでの音声録音による独自の評価テストとAI解析により、専門スタッフがいない現場でも手軽に口腔機能の評価が可能になる。また口腔機能向上加算の取得をサポートする機能も搭載されており、加算算定率の向上が期待できる。

医療法人社団誠栄会がACCEL JAPANに参画、三浦翔平を起用しオンライン診療の認知度向上を目指す

医療法人社団誠栄会がACCEL JAPANに参画、三浦翔平を起用しオンライン診療の認知度向上を目指す

医療法人社団誠栄会が2024年11月15日よりACCEL JAPANに参画し、アンバサダーの三浦翔平を起用したプロモーションを開始。オンライン診療を中心とした医療サービスの認知度向上を目指す。ACCEL JAPANは著名タレントの写真素材・動画素材を月額定額制で提供し、企業の成長を支援するプロジェクトだ。医療サービスのデジタル化とアクセシビリティの向上が期待される。

医療法人社団誠栄会がACCEL JAPANに参画、三浦翔平を起用しオンライン診療の認知度向上を目指す

医療法人社団誠栄会が2024年11月15日よりACCEL JAPANに参画し、アンバサダーの三浦翔平を起用したプロモーションを開始。オンライン診療を中心とした医療サービスの認知度向上を目指す。ACCEL JAPANは著名タレントの写真素材・動画素材を月額定額制で提供し、企業の成長を支援するプロジェクトだ。医療サービスのデジタル化とアクセシビリティの向上が期待される。

サーティファイが2025年2月開催の4つの検定試験申込受付を開始、全試験でリモートWebテストを採用しユーザビリティを向上

サーティファイが2025年2月開催の4つの検定試験申込受付を開始、全試験でリモートWebテスト...

株式会社サーティファイは2024年11月19日より、2025年2月16日開催予定の「ネットマーケティング検定」「SNSマーケティング検定」「コミュニケーション検定」「ビジネス著作権検定」の公開試験申込受付を開始した。全ての試験がリモートWebテストによる在宅・在社受験形式で実施され、受験料は3,000円から7,000円の範囲で設定されている。これにより受験者は場所や時間の制約なく効率的に資格取得を目指すことが可能となった。

サーティファイが2025年2月開催の4つの検定試験申込受付を開始、全試験でリモートWebテスト...

株式会社サーティファイは2024年11月19日より、2025年2月16日開催予定の「ネットマーケティング検定」「SNSマーケティング検定」「コミュニケーション検定」「ビジネス著作権検定」の公開試験申込受付を開始した。全ての試験がリモートWebテストによる在宅・在社受験形式で実施され、受験料は3,000円から7,000円の範囲で設定されている。これにより受験者は場所や時間の制約なく効率的に資格取得を目指すことが可能となった。

GRAVITYがLGBTQ支援のReBitへ第2弾寄付活動、リポストとスロット機能で社会貢献を促進

GRAVITYがLGBTQ支援のReBitへ第2弾寄付活動、リポストとスロット機能で社会貢献を促進

HiClub株式会社のSNSアプリ「GRAVITY」が認定NPO法人ReBitへの第2弾寄付活動を開始。公式アカウントのリポスト数に応じた寄付とチャリティスロット収益の全額寄付を実施。LGBTQやダイバーシティ支援に取り組む団体への支援を通じ、やさしい世界の実現を目指す。ユーザー参加型の社会貢献モデルとして注目。

GRAVITYがLGBTQ支援のReBitへ第2弾寄付活動、リポストとスロット機能で社会貢献を促進

HiClub株式会社のSNSアプリ「GRAVITY」が認定NPO法人ReBitへの第2弾寄付活動を開始。公式アカウントのリポスト数に応じた寄付とチャリティスロット収益の全額寄付を実施。LGBTQやダイバーシティ支援に取り組む団体への支援を通じ、やさしい世界の実現を目指す。ユーザー参加型の社会貢献モデルとして注目。

VCSがPwn2Own 2024で2年連続優勝、IoTデバイスの脆弱性発見でセキュリティ向上に貢献

VCSがPwn2Own 2024で2年連続優勝、IoTデバイスの脆弱性発見でセキュリティ向上に貢献

Viettel Cyber Securityが世界最高峰のサイバーセキュリティコンテストPwn2Own 2024で2年連続優勝を達成。33ポイントを獲得し、Team Cluckの17.25ポイントを大きく引き離した。Lorex、Synologyの監視カメラやSonosのスマートスピーカーなど、多数のIoTデバイスの脆弱性を発見し、20万5000米ドルの賞金を獲得。AIとの融合による次世代セキュリティ技術への挑戦も新たな焦点に。

VCSがPwn2Own 2024で2年連続優勝、IoTデバイスの脆弱性発見でセキュリティ向上に貢献

Viettel Cyber Securityが世界最高峰のサイバーセキュリティコンテストPwn2Own 2024で2年連続優勝を達成。33ポイントを獲得し、Team Cluckの17.25ポイントを大きく引き離した。Lorex、Synologyの監視カメラやSonosのスマートスピーカーなど、多数のIoTデバイスの脆弱性を発見し、20万5000米ドルの賞金を獲得。AIとの融合による次世代セキュリティ技術への挑戦も新たな焦点に。

GET IN THE RING OSAKA 2024にカサナレ株式会社が決勝進出、独自の生成AI技術が高評価を獲得

GET IN THE RING OSAKA 2024にカサナレ株式会社が決勝進出、独自の生成A...

大阪イノベーションハブ主催のスタートアップピッチコンテスト「GET IN THE RING OSAKA 2024」において、カサナレ株式会社が決勝進出を果たした。2024年11月26日に開催される決勝では、スライドなしの英語ピッチで世界大会への出場権をかけた戦いが展開される。独自の生成AI技術とその革新性が評価され、約4億円以上の企業が参加するHeavy級での登壇が決定している。

GET IN THE RING OSAKA 2024にカサナレ株式会社が決勝進出、独自の生成A...

大阪イノベーションハブ主催のスタートアップピッチコンテスト「GET IN THE RING OSAKA 2024」において、カサナレ株式会社が決勝進出を果たした。2024年11月26日に開催される決勝では、スライドなしの英語ピッチで世界大会への出場権をかけた戦いが展開される。独自の生成AI技術とその革新性が評価され、約4億円以上の企業が参加するHeavy級での登壇が決定している。

アツラエがユーザーテストサービスを開始、プロダクトの仮説検証がワンストップで可能に

アツラエがユーザーテストサービスを開始、プロダクトの仮説検証がワンストップで可能に

株式会社アツラエは2024年11月20日より、新規事業のプロダクト開発支援を目的としたユーザーテストサービスを開始した。テスト設計からプロトタイプ制作、テスターのリクルーティング、テストの実施、レポート作成までをワンストップで提供し、約2,450万人の母集団からテストユーザーを選定可能。新規事業やサービス開発の成功率向上を支援する。

アツラエがユーザーテストサービスを開始、プロダクトの仮説検証がワンストップで可能に

株式会社アツラエは2024年11月20日より、新規事業のプロダクト開発支援を目的としたユーザーテストサービスを開始した。テスト設計からプロトタイプ制作、テスターのリクルーティング、テストの実施、レポート作成までをワンストップで提供し、約2,450万人の母集団からテストユーザーを選定可能。新規事業やサービス開発の成功率向上を支援する。

スキルアップNeXtがUdemyでGX超入門講座の提供を開始、環境エネルギー専門家と共同開発した60分のGXリテラシー学習プログラムを展開

スキルアップNeXtがUdemyでGX超入門講座の提供を開始、環境エネルギー専門家と共同開発し...

スキルアップNeXtは、環境・エネルギーの第一人者である竹内純子氏と共同開発したGX超入門講座をUdemyで提供開始した。GX実行会議の構成員からアドバイスを受けて制作された本講座は、GXリテラシーを60分で学習できる内容となっている。2050年カーボンニュートラルの実現に向けて必要とされる260万人以上のGX人材育成を支援するため、GXスキル標準に準拠したカリキュラムを採用している。

スキルアップNeXtがUdemyでGX超入門講座の提供を開始、環境エネルギー専門家と共同開発し...

スキルアップNeXtは、環境・エネルギーの第一人者である竹内純子氏と共同開発したGX超入門講座をUdemyで提供開始した。GX実行会議の構成員からアドバイスを受けて制作された本講座は、GXリテラシーを60分で学習できる内容となっている。2050年カーボンニュートラルの実現に向けて必要とされる260万人以上のGX人材育成を支援するため、GXスキル標準に準拠したカリキュラムを採用している。

【CVE-2024-52298】macro-pdfviewerに深刻な権限昇格の脆弱性、PDFファイルへの不正アクセスが可能に

【CVE-2024-52298】macro-pdfviewerに深刻な権限昇格の脆弱性、PDF...

GitHubが公開したXWiki用PDFビューアマクロmacro-pdfviewerの脆弱性情報によると、「Delegate my view right」機能を悪用することで、攻撃者が権限のないPDFファイルに最終編集者の権限でアクセス可能になることが判明。CVSS v3.1で深刻度7.5(高)と評価され、バージョン2.5.6で修正された。早急なアップデートが推奨される。

【CVE-2024-52298】macro-pdfviewerに深刻な権限昇格の脆弱性、PDF...

GitHubが公開したXWiki用PDFビューアマクロmacro-pdfviewerの脆弱性情報によると、「Delegate my view right」機能を悪用することで、攻撃者が権限のないPDFファイルに最終編集者の権限でアクセス可能になることが判明。CVSS v3.1で深刻度7.5(高)と評価され、バージョン2.5.6で修正された。早急なアップデートが推奨される。

【CVE-2024-50211】Linuxカーネルのudf inode_bmap()エラー処理機能が改善、システムの安定性向上へ

【CVE-2024-50211】Linuxカーネルのudf inode_bmap()エラー処理...

kernel.orgはLinuxカーネルにおけるudf inode_bmap()関数のエラー処理改善に関する脆弱性【CVE-2024-50211】を公開した。この更新により、特にftruncate操作時のエラー検出機能が強化され、早期のエラー検出と処理中断が可能になった。影響を受けるバージョンはLinux 1da177e4c3f4から特定のバージョンまでで、Linux 6.6.59以降で修正されている。

【CVE-2024-50211】Linuxカーネルのudf inode_bmap()エラー処理...

kernel.orgはLinuxカーネルにおけるudf inode_bmap()関数のエラー処理改善に関する脆弱性【CVE-2024-50211】を公開した。この更新により、特にftruncate操作時のエラー検出機能が強化され、早期のエラー検出と処理中断が可能になった。影響を受けるバージョンはLinux 1da177e4c3f4から特定のバージョンまでで、Linux 6.6.59以降で修正されている。

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処理に深刻な問題

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...

GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。

【CVE-2024-47604】NuGetGalleryでXSS脆弱性が発見、HTMLの属性処...

GitHubは2024年10月1日、NuGetGalleryにおいてXSS脆弱性を発見したことを公開した。CVSSスコア8.2の高リスク脆弱性で、HTMLの属性処理における不備により、攻撃者が任意のコードを実行可能な状態となっていた。影響を受けるバージョンは2024.06.21から2024.09.25までで、すでにパッチによる修正が行われている。

【CVE-2024-52306】Laravel-Backpack FileManagerにデシリアライゼーションの脆弱性、バージョン3.0.9で修正完了

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-52306】Laravel-Backpack FileManagerにデシ...

Laravel-Backpack FileManagerのバージョン3.0.9未満において、mimesパラメータからの信頼できないデータのデシリアライゼーションによるリモートコード実行の脆弱性が発見された。CVSSスコア7.7の高リスク評価となり、バージョン3.0.9で修正が実施された。CWE-502に分類されるこの脆弱性は、適切な入力検証の重要性を再認識させる結果となっている。

【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSRF脆弱性、Stored XSSの実行が可能な深刻な問題に

【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSR...

WordPressプラグインのAppointmind 4.0.0以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、攻撃者がネットワーク経由でStored XSSを実行可能。GentleSourceは対策版となるバージョン4.1.0をリリースしており、管理者は直ちにアップデートを実施することが推奨されている。

【CVE-2024-51679】WordPressのAppointmind 4.0.0にCSR...

WordPressプラグインのAppointmind 4.0.0以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、攻撃者がネットワーク経由でStored XSSを実行可能。GentleSourceは対策版となるバージョン4.1.0をリリースしており、管理者は直ちにアップデートを実施することが推奨されている。

【CVE-2024-48284】PHPGurukul User Registration 3.2にXSS脆弱性が発見、POSTリクエストでの悪意のあるスクリプト実行が可能に

【CVE-2024-48284】PHPGurukul User Registration 3....

PHPGurukul User Registration & Login and User Management System 3.2において、/search-result.phpページのsearchkeyパラメータを介したリフレクテッドXSS脆弱性が発見された。CISAの評価によるとCVSS v3.1で深刻度は6.1(MEDIUM)とされ、攻撃にはネットワークアクセスと低特権が必要。この脆弱性はCWE-79に分類され、Webページ生成時の入力の不適切な無害化が原因となっている。

【CVE-2024-48284】PHPGurukul User Registration 3....

PHPGurukul User Registration & Login and User Management System 3.2において、/search-result.phpページのsearchkeyパラメータを介したリフレクテッドXSS脆弱性が発見された。CISAの評価によるとCVSS v3.1で深刻度は6.1(MEDIUM)とされ、攻撃にはネットワークアクセスと低特権が必要。この脆弱性はCWE-79に分類され、Webページ生成時の入力の不適切な無害化が原因となっている。

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱性、TLSパケットによるセグメンテーション違反の危険性が浮上

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による重大な脆弱性を発見した。CVSSスコア8.2の高リスク脆弱性として分類され、不正なTLSパケットの送信によりアプリケーションのセグメンテーション違反を引き起こす可能性がある。攻撃の複雑さは低く、特権やユーザーの操作も不要とされており、早急な対応が求められている。

【CVE-2024-42386】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14に範囲外ポインタオフセットの使用による重大な脆弱性を発見した。CVSSスコア8.2の高リスク脆弱性として分類され、不正なTLSパケットの送信によりアプリケーションのセグメンテーション違反を引き起こす可能性がある。攻撃の複雑さは低く、特権やユーザーの操作も不要とされており、早急な対応が求められている。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバーフローの脆弱性、セグメンテーション違反のリスクが判明

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

【CVE-2024-42384】Mongoose Web Server v7.14に整数オーバ...

CesantaのMongoose Web Server v7.14において、整数オーバーフローまたはラップアラウンドの脆弱性が発見された。CVE-2024-42384として識別されたこの脆弱性は、攻撃者が予期せぬTLSパケットを送信することでアプリケーションにセグメンテーション違反を引き起こす可能性がある。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン0から7.14までが影響を受ける。

【CVE-2024-11212】SourceCodester Best Employee Management System 1.0にSQLインジェクションの脆弱性が発見、早急な対策が必要に

【CVE-2024-11212】SourceCodester Best Employee Ma...

SourceCodesterのBest Employee Management System 1.0のfetch_product_details.phpファイルにSQLインジェクションの脆弱性が発見された。barcodeパラメータを操作することでリモートからの攻撃が可能で、既に一般に公開されている。CVSSスコアは中程度だが、認証情報があれば攻撃可能なため、早急なパッチ適用が推奨される。機密性・整合性・可用性への影響は限定的と評価されている。

【CVE-2024-11212】SourceCodester Best Employee Ma...

SourceCodesterのBest Employee Management System 1.0のfetch_product_details.phpファイルにSQLインジェクションの脆弱性が発見された。barcodeパラメータを操作することでリモートからの攻撃が可能で、既に一般に公開されている。CVSSスコアは中程度だが、認証情報があれば攻撃可能なため、早急なパッチ適用が推奨される。機密性・整合性・可用性への影響は限定的と評価されている。

【CVE-2024-10534】Dataprom InformaticsのPACS-ACSSにアクセス制御の脆弱性、トラフィックインジェクションのリスクが浮上

【CVE-2024-10534】Dataprom InformaticsのPACS-ACSSに...

Dataprom InformaticsのPersonnel Attendance Control SystemsおよびAccess Control Security Systemsに深刻な脆弱性が発見された。CVE-2024-10534として特定されたこの脆弱性は、Origin Validation Errorに分類され、トラフィックインジェクションを可能にする。CVSSスコアは8.6と高く評価され、2024年より前のすべてのバージョンが影響を受ける。早急な対応が推奨されている。

【CVE-2024-10534】Dataprom InformaticsのPACS-ACSSに...

Dataprom InformaticsのPersonnel Attendance Control SystemsおよびAccess Control Security Systemsに深刻な脆弱性が発見された。CVE-2024-10534として特定されたこの脆弱性は、Origin Validation Errorに分類され、トラフィックインジェクションを可能にする。CVSSスコアは8.6と高く評価され、2024年より前のすべてのバージョンが影響を受ける。早急な対応が推奨されている。

【CVE-2024-9668】Royal Elementor AddonsのCountdownウィジェットにXSS脆弱性、バージョン1.7.1001まで影響

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4(MEDIUM)と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-9668】Royal Elementor AddonsのCountdown...

WordPressプラグインのRoyal Elementor Addons and Templatesにおいて、バージョン1.7.1001までのCountdownウィジェットに重大な脆弱性が発見された。この脆弱性は【CVE-2024-9668】として識別され、CVSSスコア6.4(MEDIUM)と評価されている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、速やかなアップデートが推奨される。

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻なリモートコード実行の可能性が判明

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻な...

コンテンツ管理システムCraftにおいて、FileHelper::absolutePath関数のパス正規化機能の欠如により、Twig SSTIを介したリモートコード実行が可能となる脆弱性が発見された。CVE-2024-52293として識別されるこの問題は、CVSSスコア7.2のHigh評価を受け、バージョン4.12.2と5.4.3で修正された。影響を受けるバージョンのユーザーは速やかなアップデートが推奨される。

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻な...

コンテンツ管理システムCraftにおいて、FileHelper::absolutePath関数のパス正規化機能の欠如により、Twig SSTIを介したリモートコード実行が可能となる脆弱性が発見された。CVE-2024-52293として識別されるこの問題は、CVSSスコア7.2のHigh評価を受け、バージョン4.12.2と5.4.3で修正された。影響を受けるバージョンのユーザーは速やかなアップデートが推奨される。

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケット処理の脆弱性、ヒープメモリ読み取りのリスクが浮上

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケ...

CesantaのMongoose Web Server v7.14において範囲外ポインタオフセットの使用に関する脆弱性が発見された。攻撃者は特別に細工されたTLSパケットを送信することで、アプリケーションに意図しないヒープメモリ空間の読み取りを強制することが可能である。CVSSスコアは4.3(ミディアム)と評価されており、攻撃には利用者の関与が必要だが特権は不要とされている。

【CVE-2024-42390】Mongoose Web Server v7.14にTLSパケ...

CesantaのMongoose Web Server v7.14において範囲外ポインタオフセットの使用に関する脆弱性が発見された。攻撃者は特別に細工されたTLSパケットを送信することで、アプリケーションに意図しないヒープメモリ空間の読み取りを強制することが可能である。CVSSスコアは4.3(ミディアム)と評価されており、攻撃には利用者の関与が必要だが特権は不要とされている。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱性、TLSパケットによる不正メモリアクセスの危険性が浮上

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...

Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり攻撃のリスクが判明

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり...

IPアドレス管理ソフトウェアphpIPAM 1.5.1において、X-Forwarded-Forヘッダーを利用してIPブロックメカニズムを回避できる脆弱性が発見された。この脆弱性により、攻撃者は管理者を含むすべてのユーザーアカウントに対してパスワードの総当たり攻撃が可能となる。CVSSスコアは5.3(Medium)で評価され、バージョン1.7.0で修正されている。早急なアップデートが推奨される重要な問題だ。

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり...

IPアドレス管理ソフトウェアphpIPAM 1.5.1において、X-Forwarded-Forヘッダーを利用してIPブロックメカニズムを回避できる脆弱性が発見された。この脆弱性により、攻撃者は管理者を含むすべてのユーザーアカウントに対してパスワードの総当たり攻撃が可能となる。CVSSスコアは5.3(Medium)で評価され、バージョン1.7.0で修正されている。早急なアップデートが推奨される重要な問題だ。

【CVE-2024-3379】lunary-ai/lunaryに認証の脆弱性が発見、秘密鍵再生成の不正アクセスが可能な状態に

【CVE-2024-3379】lunary-ai/lunaryに認証の脆弱性が発見、秘密鍵再生...

lunary-ai/lunaryのバージョン1.2.2から1.2.6において、不適切な認証に関する重大な脆弱性が発見された。Memberロールを持つ権限のないユーザーがプロジェクトの秘密鍵を再生成できる状態となっており、CVE-2024-3379として報告されている。深刻度は9.6と非常に高く、バージョン1.2.7で修正が完了している。

【CVE-2024-3379】lunary-ai/lunaryに認証の脆弱性が発見、秘密鍵再生...

lunary-ai/lunaryのバージョン1.2.2から1.2.6において、不適切な認証に関する重大な脆弱性が発見された。Memberロールを持つ権限のないユーザーがプロジェクトの秘密鍵を再生成できる状態となっており、CVE-2024-3379として報告されている。深刻度は9.6と非常に高く、バージョン1.2.7で修正が完了している。