Tech Insights
【CVE-2024-47905】Ivanti Connect SecureとPolicy Se...
IvantiはConnect SecureとPolicy Secureに存在する脆弱性【CVE-2024-47905】を公開した。この脆弱性は管理者権限を持つリモート認証済み攻撃者によってサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは4.9(MEDIUM)で、スタックベースのバッファオーバーフロー(CWE-121)に分類される。対策として最新バージョンへのアップデートが推奨されている。
【CVE-2024-47905】Ivanti Connect SecureとPolicy Se...
IvantiはConnect SecureとPolicy Secureに存在する脆弱性【CVE-2024-47905】を公開した。この脆弱性は管理者権限を持つリモート認証済み攻撃者によってサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは4.9(MEDIUM)で、スタックベースのバッファオーバーフロー(CWE-121)に分類される。対策として最新バージョンへのアップデートが推奨されている。
【CVE-2024-45670】IBM Security SOAR 51.0.1.0以前にパス...
IBMは2024年11月14日、IBM Security SOAR 51.0.1.0以前のバージョンにおけるパスワード回復メカニズムの脆弱性を公開した。CVE-2024-45670として識別されるこの脆弱性は、ユーザーアカウントが侵害された後に元のパスワードを知らなくてもパスワードの回復や変更が可能になる状態を引き起こす。CVSS v3.1のベーススコアは5.6(中程度)と評価されており、適切な対策が必要とされている。
【CVE-2024-45670】IBM Security SOAR 51.0.1.0以前にパス...
IBMは2024年11月14日、IBM Security SOAR 51.0.1.0以前のバージョンにおけるパスワード回復メカニズムの脆弱性を公開した。CVE-2024-45670として識別されるこの脆弱性は、ユーザーアカウントが侵害された後に元のパスワードを知らなくてもパスワードの回復や変更が可能になる状態を引き起こす。CVSS v3.1のベーススコアは5.6(中程度)と評価されており、適切な対策が必要とされている。
【CVE-2024-43625】Microsoft Windows VMSwitchに権限昇格...
Microsoft社がWindows VMSwitchにおける権限昇格の脆弱性【CVE-2024-43625】を公開した。この脆弱性はCVSS v3.1で深刻度8.1のHIGHに分類され、Windows Server 2022やWindows 11の複数バージョンに影響を及ぼす。Use After Free(CWE-416)として分類されており、攻撃の成功には高度な技術的知識が必要とされているが、システム全体への影響が懸念される。
【CVE-2024-43625】Microsoft Windows VMSwitchに権限昇格...
Microsoft社がWindows VMSwitchにおける権限昇格の脆弱性【CVE-2024-43625】を公開した。この脆弱性はCVSS v3.1で深刻度8.1のHIGHに分類され、Windows Server 2022やWindows 11の複数バージョンに影響を及ぼす。Use After Free(CWE-416)として分類されており、攻撃の成功には高度な技術的知識が必要とされているが、システム全体への影響が懸念される。
【CVE-2024-43621】MicrosoftがWindows Telephony Ser...
MicrosoftはWindows Telephony Serviceにおけるリモートコード実行の脆弱性【CVE-2024-43621】を公開した。CVSSスコア8.8のハイリスクと評価されるこの脆弱性は、Windows Server 2025からWindows 10まで広範なバージョンに影響を与える。ヒープベースのバッファオーバーフローによる問題で、攻撃者がリモートからコードを実行できる可能性がある深刻な問題となっている。
【CVE-2024-43621】MicrosoftがWindows Telephony Ser...
MicrosoftはWindows Telephony Serviceにおけるリモートコード実行の脆弱性【CVE-2024-43621】を公開した。CVSSスコア8.8のハイリスクと評価されるこの脆弱性は、Windows Server 2025からWindows 10まで広範なバージョンに影響を与える。ヒープベースのバッファオーバーフローによる問題で、攻撃者がリモートからコードを実行できる可能性がある深刻な問題となっている。
【CVE-2024-43093】AndroidのExternalStorageProvider...
GoogleはAndroidのExternalStorageProviderに重大な脆弱性【CVE-2024-43093】を発見し公開した。この脆弱性はUnicode正規化処理の不備によりファイルパスフィルターをバイパス可能で、特権昇格のリスクがある。Android 12から15までの広範なバージョンに影響し、CVSS評価は7.8(High)となっている。2024年11月のセキュリティパッチで修正が提供されており、早急な対応が推奨される。
【CVE-2024-43093】AndroidのExternalStorageProvider...
GoogleはAndroidのExternalStorageProviderに重大な脆弱性【CVE-2024-43093】を発見し公開した。この脆弱性はUnicode正規化処理の不備によりファイルパスフィルターをバイパス可能で、特権昇格のリスクがある。Android 12から15までの広範なバージョンに影響し、CVSS評価は7.8(High)となっている。2024年11月のセキュリティパッチで修正が提供されており、早急な対応が推奨される。
【CVE-2024-21949】AMD Ryzen AI Softwareにバッファサイズ検証...
AMD Ryzen AI Softwareのバージョン1.2未満に影響を与える脆弱性が発見された。NPUドライバーにおけるユーザー入力の不適切な検証により、予期しないサイズのバッファを提供される可能性があり、システムクラッシュを引き起こすリスクがある。CVSSスコアは5.5でミディアムレベルに分類され、ローカルでの攻撃が可能だ。AMD Ryzen AI Softwareバージョン1.2で修正が実施されている。
【CVE-2024-21949】AMD Ryzen AI Softwareにバッファサイズ検証...
AMD Ryzen AI Softwareのバージョン1.2未満に影響を与える脆弱性が発見された。NPUドライバーにおけるユーザー入力の不適切な検証により、予期しないサイズのバッファを提供される可能性があり、システムクラッシュを引き起こすリスクがある。CVSSスコアは5.5でミディアムレベルに分類され、ローカルでの攻撃が可能だ。AMD Ryzen AI Softwareバージョン1.2で修正が実施されている。
【CVE-2024-11124】TimGeyssens UIOMatic 5にSQLインジェク...
TimGeyssens UIOMatic 5のuioMaticObject.rファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVE-2024-11124として公開されたこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.1のスコアを記録。既に公開されており実際の攻撃に利用される可能性があるため、早急な対応が必要とされている。GitHubのプルリクエスト227番で対応が進められている。
【CVE-2024-11124】TimGeyssens UIOMatic 5にSQLインジェク...
TimGeyssens UIOMatic 5のuioMaticObject.rファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVE-2024-11124として公開されたこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.1のスコアを記録。既に公開されており実際の攻撃に利用される可能性があるため、早急な対応が必要とされている。GitHubのプルリクエスト227番で対応が進められている。
【CVE-2024-11102】Hospital Management System 1.0に...
SourceCodester Hospital Management System 1.0において、/vm/doctor/edit-doc.phpファイルに存在するクロスサイトスクリプティングの脆弱性が発見された。name引数の操作により遠隔からの攻撃が可能で、CVSSスコアは5.3(MEDIUM)と評価されている。すでに攻撃コードが公開されており、医療データのセキュリティリスクが深刻化している状況だ。
【CVE-2024-11102】Hospital Management System 1.0に...
SourceCodester Hospital Management System 1.0において、/vm/doctor/edit-doc.phpファイルに存在するクロスサイトスクリプティングの脆弱性が発見された。name引数の操作により遠隔からの攻撃が可能で、CVSSスコアは5.3(MEDIUM)と評価されている。すでに攻撃コードが公開されており、医療データのセキュリティリスクが深刻化している状況だ。
【CVE-2024-11101】Beauty Parlour Management Syste...
1000 Projects社のBeauty Parlour Management System 1.0において、search-invoices.phpファイルのsearchdataパラメータ処理に深刻な脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、SQLインジェクション攻撃を可能にし、リモートからの実行も可能な状態となっている。既に攻撃コードが公開されており、早急な対応が求められる事態となっている。
【CVE-2024-11101】Beauty Parlour Management Syste...
1000 Projects社のBeauty Parlour Management System 1.0において、search-invoices.phpファイルのsearchdataパラメータ処理に深刻な脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、SQLインジェクション攻撃を可能にし、リモートからの実行も可能な状態となっている。既に攻撃コードが公開されており、早急な対応が求められる事態となっている。
【CVE-2024-11100】Beauty Parlour Management Syste...
1000 ProjectsのBeauty Parlour Management System 1.0において重大なSQLインジェクション脆弱性が発見された。index.phpファイルのname引数を操作することで遠隔から攻撃が可能であり、CVSSスコアは最新のバージョン4.0で6.9(MEDIUM)、バージョン3.1および3.0で7.3(HIGH)と評価されている。この脆弱性は一般に公開されており、攻撃コードも入手可能な状態となっているため、早急な対応が必要だ。
【CVE-2024-11100】Beauty Parlour Management Syste...
1000 ProjectsのBeauty Parlour Management System 1.0において重大なSQLインジェクション脆弱性が発見された。index.phpファイルのname引数を操作することで遠隔から攻撃が可能であり、CVSSスコアは最新のバージョン4.0で6.9(MEDIUM)、バージョン3.1および3.0で7.3(HIGH)と評価されている。この脆弱性は一般に公開されており、攻撃コードも入手可能な状態となっているため、早急な対応が必要だ。
【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バ...
D-Link DSL6740Cモデムにおいて、特権APIの不適切な使用による重大な脆弱性が発見された。認証されていないリモート攻撃者が任意のユーザーのパスワードを変更可能で、Web管理画面やSSH、Telnetサービスへのアクセスが可能となる。CVSS v3.1で9.8のクリティカルスコアを記録し、攻撃の自動化も可能であることから、早急な対策が求められている。
【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バ...
D-Link DSL6740Cモデムにおいて、特権APIの不適切な使用による重大な脆弱性が発見された。認証されていないリモート攻撃者が任意のユーザーのパスワードを変更可能で、Web管理画面やSSH、Telnetサービスへのアクセスが可能となる。CVSS v3.1で9.8のクリティカルスコアを記録し、攻撃の自動化も可能であることから、早急な対策が求められている。
【CVE-2024-11020】Grand Vice InfoのWebopac7にSQLインジ...
TWCERT/CCはGrand Vice InfoのWebopac7にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコアは9.8(Critical)で、認証なしでデータベースの読み取り・変更・削除が可能な状態である。影響を受けるバージョンはWebopac6の6.0.0から6.5.1未満、およびWebopac7の7.0.0から7.2.3未満となっており、早急な対策版へのアップデートが推奨される。
【CVE-2024-11020】Grand Vice InfoのWebopac7にSQLインジ...
TWCERT/CCはGrand Vice InfoのWebopac7にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコアは9.8(Critical)で、認証なしでデータベースの読み取り・変更・削除が可能な状態である。影響を受けるバージョンはWebopac6の6.0.0から6.5.1未満、およびWebopac7の7.0.0から7.2.3未満となっており、早急な対策版へのアップデートが推奨される。
【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...
TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。
【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...
TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1(MEDIUM)と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。
【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの...
Grand Vice InfoのWebopacに深刻な脆弱性が発見され、認証されていないリモートの攻撃者がWebシェルをアップロードして実行し、サーバー上で任意のコードを実行できる状態にある。CVSSスコア9.8の極めて深刻な評価を受けており、影響を受けるバージョンはWebopac 6.0から6.5.0までと7.0から7.2.2まで。対策版として6.5.1および7.2.3がリリースされている。
【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの...
Grand Vice InfoのWebopacに深刻な脆弱性が発見され、認証されていないリモートの攻撃者がWebシェルをアップロードして実行し、サーバー上で任意のコードを実行できる状態にある。CVSSスコア9.8の極めて深刻な評価を受けており、影響を受けるバージョンはWebopac 6.0から6.5.0までと7.0から7.2.2まで。対策版として6.5.1および7.2.3がリリースされている。
【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...
Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。
【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...
Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。
【CVE-2024-10990】Online Veterinary Appointment S...
VulDBは、SourceCodester社が開発したOnline Veterinary Appointment System 1.0のview_service.phpファイルにSQLインジェクションの脆弱性が存在することを報告した。CVSSスコアは中程度と評価されているものの、医療情報を扱うシステムであることから、データの改ざんや漏洩のリスクが特に深刻な問題となる可能性がある。早急なセキュリティ対策の実施が求められる。
【CVE-2024-10990】Online Veterinary Appointment S...
VulDBは、SourceCodester社が開発したOnline Veterinary Appointment System 1.0のview_service.phpファイルにSQLインジェクションの脆弱性が存在することを報告した。CVSSスコアは中程度と評価されているものの、医療情報を扱うシステムであることから、データの改ざんや漏洩のリスクが特に深刻な問題となる可能性がある。早急なセキュリティ対策の実施が求められる。
【CVE-2024-10684】Kognetiks Chatbot For WordPress...
WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。
【CVE-2024-10684】Kognetiks Chatbot For WordPress...
WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。
【CVE-2024-10531】Kognetiks Chatbot for WordPress...
WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。
【CVE-2024-10531】Kognetiks Chatbot for WordPress...
WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。
【CVE-2024-10529】Kognetiks Chatbot for WordPress...
Kognetiks Chatbot for WordPressのバージョン2.1.7以前において、delete_assistant()関数の権限チェック不備が発見され、CVE-2024-10529として報告された。この脆弱性により、認証済みユーザー(Subscriber以上)がアシスタントを不正に削除できる状態となっている。CVSSスコアは5.3(MEDIUM)で評価され、早急な対策が求められている。
【CVE-2024-10529】Kognetiks Chatbot for WordPress...
Kognetiks Chatbot for WordPressのバージョン2.1.7以前において、delete_assistant()関数の権限チェック不備が発見され、CVE-2024-10529として報告された。この脆弱性により、認証済みユーザー(Subscriber以上)がアシスタントを不正に削除できる状態となっている。CVSSスコアは5.3(MEDIUM)で評価され、早急な対策が求められている。
【CVE-2024-10381】Matrix Door Controller Cosec Ve...
Indian Computer Emergency Response Team(CERT-In)は、Matrix Door Controller Cosec Vega FAXQにおいて深刻な認証バイパスの脆弱性を報告した。Webベース管理インターフェースのセッション管理における実装の不備により、リモート攻撃者が特別に細工されたHTTPリクエストを送信することで認証を回避し、デバイスの完全な制御権限を取得できる可能性がある。CVSSスコアは9.3(Critical)と評価されており、早急な対応が必要だ。
【CVE-2024-10381】Matrix Door Controller Cosec Ve...
Indian Computer Emergency Response Team(CERT-In)は、Matrix Door Controller Cosec Vega FAXQにおいて深刻な認証バイパスの脆弱性を報告した。Webベース管理インターフェースのセッション管理における実装の不備により、リモート攻撃者が特別に細工されたHTTPリクエストを送信することで認証を回避し、デバイスの完全な制御権限を取得できる可能性がある。CVSSスコアは9.3(Critical)と評価されており、早急な対応が必要だ。
PowerShell 7.5 RC-1が.NET 9ベースで登場、PSResourceGetの...
MicrosoftがPowerShell 7.5 RC-1を公開し、.NET 9をベースとした18ヶ月間の標準サポートを提供する本番環境対応版をリリースした。PSResourceGetのAzure Container Registry対応やPSReadLine 2.3.6へのアップデート、新コマンドレットの追加など、セキュリティと品質の向上に焦点を当てた機能改善を実施。PowerShell 7.2のサポート終了に伴い、7.4が2026年11月までのLTSリリースとして提供される。
PowerShell 7.5 RC-1が.NET 9ベースで登場、PSResourceGetの...
MicrosoftがPowerShell 7.5 RC-1を公開し、.NET 9をベースとした18ヶ月間の標準サポートを提供する本番環境対応版をリリースした。PSResourceGetのAzure Container Registry対応やPSReadLine 2.3.6へのアップデート、新コマンドレットの追加など、セキュリティと品質の向上に焦点を当てた機能改善を実施。PowerShell 7.2のサポート終了に伴い、7.4が2026年11月までのLTSリリースとして提供される。
スパイラル社がSPIRAL ver.2.34をリリース、Webアプリケーションのパッケージ化機...
スパイラル株式会社が主力製品のローコード開発プラットフォーム「SPIRAL ver.2」の新バージョン「SPIRAL ver.2.34」を提供開始。Webアプリケーションやサイトのパッケージ化およびインポート・エクスポート機能により、開発パートナーの横展開ビジネスの実現と開発効率の向上を支援する。複数クライアントへの展開や社内での利用がより容易になった。
スパイラル社がSPIRAL ver.2.34をリリース、Webアプリケーションのパッケージ化機...
スパイラル株式会社が主力製品のローコード開発プラットフォーム「SPIRAL ver.2」の新バージョン「SPIRAL ver.2.34」を提供開始。Webアプリケーションやサイトのパッケージ化およびインポート・エクスポート機能により、開発パートナーの横展開ビジネスの実現と開発効率の向上を支援する。複数クライアントへの展開や社内での利用がより容易になった。
BlueMemeがアジャイルオンデマンドの対応基盤を拡充、Mendixなど複数のローコード開発...
BlueMemeは、アジャイル開発プロジェクト向けの受託開発サービス「アジャイルオンデマンド」の対応基盤を拡充すると発表。従来のOutSystemsに加え、Mendix、Salesforce、MarkLogic、Creatio、Workatoなどのローコード・ノーコード開発基盤にも順次対応し、2025年1月より提供を開始する。独自の「AGILE-DX」メソッドと「デジタルレイバー技術」により、開発・テストフェーズでの94%の期間短縮を実現している。
BlueMemeがアジャイルオンデマンドの対応基盤を拡充、Mendixなど複数のローコード開発...
BlueMemeは、アジャイル開発プロジェクト向けの受託開発サービス「アジャイルオンデマンド」の対応基盤を拡充すると発表。従来のOutSystemsに加え、Mendix、Salesforce、MarkLogic、Creatio、Workatoなどのローコード・ノーコード開発基盤にも順次対応し、2025年1月より提供を開始する。独自の「AGILE-DX」メソッドと「デジタルレイバー技術」により、開発・テストフェーズでの94%の期間短縮を実現している。
【CVE-2024-47454】Adobe Illustrator 28.7.1に脆弱性、機密...
Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンにOut-of-bounds読み取りの脆弱性が存在することを公開した。この脆弱性により、攻撃者が機密メモリ情報を取得してASLRなどの保護機能を回避できる可能性がある。CVSSスコアは5.5で中程度と評価されており、攻撃には悪意のあるファイルを開く必要がある。
【CVE-2024-47454】Adobe Illustrator 28.7.1に脆弱性、機密...
Adobeは2024年11月12日、Illustrator 28.7.1以前のバージョンにOut-of-bounds読み取りの脆弱性が存在することを公開した。この脆弱性により、攻撃者が機密メモリ情報を取得してASLRなどの保護機能を回避できる可能性がある。CVSSスコアは5.5で中程度と評価されており、攻撃には悪意のあるファイルを開く必要がある。
【CVE-2024-47445】Adobe After Effects 24.6.2に深刻な脆...
Adobe After Effectsのバージョン23.6.9、24.6.2以前において、Out-of-bounds read脆弱性が発見された。この脆弱性は悪意のあるファイルを開くことでトリガーされ、機密性の高いメモリ情報の漏洩やASLRバイパスのリスクがある。CVSSスコアは5.5(Medium)で、早急なアップデートが推奨される。
【CVE-2024-47445】Adobe After Effects 24.6.2に深刻な脆...
Adobe After Effectsのバージョン23.6.9、24.6.2以前において、Out-of-bounds read脆弱性が発見された。この脆弱性は悪意のあるファイルを開くことでトリガーされ、機密性の高いメモリ情報の漏洩やASLRバイパスのリスクがある。CVSSスコアは5.5(Medium)で、早急なアップデートが推奨される。
【CVE-2024-40592】FortiClient MacOSに深刻な暗号化署名検証の脆弱...
FortinetはFortiClient MacOSの複数バージョンにおける重要な脆弱性を公開した。この問題は暗号化署名の不適切な検証に起因しており、ローカルで認証された攻撃者がインストール時のrace conditionを利用して悪意のあるパッケージと入れ替える可能性がある。影響を受けるバージョンは7.4.0、7.2.4以下、7.0.10以下、6.4.10以下で、CVSSスコアは6.8と評価されている。
【CVE-2024-40592】FortiClient MacOSに深刻な暗号化署名検証の脆弱...
FortinetはFortiClient MacOSの複数バージョンにおける重要な脆弱性を公開した。この問題は暗号化署名の不適切な検証に起因しており、ローカルで認証された攻撃者がインストール時のrace conditionを利用して悪意のあるパッケージと入れ替える可能性がある。影響を受けるバージョンは7.4.0、7.2.4以下、7.0.10以下、6.4.10以下で、CVSSスコアは6.8と評価されている。
【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによ...
MirahezeのWikiDiscoverにおいて、Special:WikiDiscoverページでwiki情報を表示する際にXSS脆弱性が発見された。wiki名や説明文に対するエスケープ処理が実装されておらず、悪意のあるXSSペイロードが実行可能な状態であった。CVSS v3.1で深刻度7.6(High)と評価され、特権レベルは必要だが複雑な条件なしで攻撃が可能な状況にあった。コミット2ce846dd93による修正パッチの適用が推奨されている。
【CVE-2024-47782】WikiDiscoverにXSS脆弱性が発見、特権ユーザーによ...
MirahezeのWikiDiscoverにおいて、Special:WikiDiscoverページでwiki情報を表示する際にXSS脆弱性が発見された。wiki名や説明文に対するエスケープ処理が実装されておらず、悪意のあるXSSペイロードが実行可能な状態であった。CVSS v3.1で深刻度7.6(High)と評価され、特権レベルは必要だが複雑な条件なしで攻撃が可能な状況にあった。コミット2ce846dd93による修正パッチの適用が推奨されている。
【CVE-2024-47594】SAP NetWeaver Enterprise Portal...
SAPは2024年10月8日、SAP NetWeaver Enterprise Portal KMC 7.5にクロスサイトスクリプティング脆弱性が存在することを公表した。CVSSスコア5.4の中程度の深刻度と評価されており、KMCサーブレットにおけるユーザー入力の不適切な処理により、攻撃者が細工したスクリプトを通じてWebブラウザセッションの情報が漏洩する可能性がある。
【CVE-2024-47594】SAP NetWeaver Enterprise Portal...
SAPは2024年10月8日、SAP NetWeaver Enterprise Portal KMC 7.5にクロスサイトスクリプティング脆弱性が存在することを公表した。CVSSスコア5.4の中程度の深刻度と評価されており、KMCサーブレットにおけるユーザー入力の不適切な処理により、攻撃者が細工したスクリプトを通じてWebブラウザセッションの情報が漏洩する可能性がある。
【CVE-2024-46613】WeeChat 4.4.2未満のバージョンで整数オーバーフロー...
2024年11月10日、WeeChat 4.4.2より前のバージョンにおいて深刻な整数オーバーフローとバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-46613】として識別され、リスト内のアイテム数が2つ十億を超えた際にcore/core-string.cファイル内の複数の関数で問題が発生することが確認されている。影響を受ける関数はstring_free_split_sharedなど4つが特定されている。
【CVE-2024-46613】WeeChat 4.4.2未満のバージョンで整数オーバーフロー...
2024年11月10日、WeeChat 4.4.2より前のバージョンにおいて深刻な整数オーバーフローとバッファオーバーフローの脆弱性が発見された。この脆弱性は【CVE-2024-46613】として識別され、リスト内のアイテム数が2つ十億を超えた際にcore/core-string.cファイル内の複数の関数で問題が発生することが確認されている。影響を受ける関数はstring_free_split_sharedなど4つが特定されている。
【CVE-2024-50234】Linux iwlegacyドライバーに深刻な脆弱性、休止状態...
Linuxカーネルのiwlegacyドライバーにおいて、休止状態からの復帰時に深刻な脆弱性が発見された。iwl4965デバイスの古い割り込みがクリアされないことで、デバイスの復帰処理と再起動処理が競合し、システムの安定性が損なわれる可能性がある。この問題はCVE-2024-50234として特定され、割り込み有効化前に古い割り込みをクリアする修正パッチが実装された。
【CVE-2024-50234】Linux iwlegacyドライバーに深刻な脆弱性、休止状態...
Linuxカーネルのiwlegacyドライバーにおいて、休止状態からの復帰時に深刻な脆弱性が発見された。iwl4965デバイスの古い割り込みがクリアされないことで、デバイスの復帰処理と再起動処理が競合し、システムの安定性が損なわれる可能性がある。この問題はCVE-2024-50234として特定され、割り込み有効化前に古い割り込みをクリアする修正パッチが実装された。