Tech Insights
【CVE-2024-43314】WordPress用プラグインAsset CleanUpにアク...
WordPress用プラグインAsset CleanUp: Page Speed Boosterにおいて、アクセス制御に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-43314】として識別され、バージョン1.3.9.3以前のすべてのバージョンに影響を与える。CVSSスコアは4.3(MEDIUM)で、権限の欠落(CWE-862)に分類されている。開発元は既にバージョン1.3.9.4で修正を実施しており、ユーザーには速やかなアップデートが推奨される。
【CVE-2024-43314】WordPress用プラグインAsset CleanUpにアク...
WordPress用プラグインAsset CleanUp: Page Speed Boosterにおいて、アクセス制御に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-43314】として識別され、バージョン1.3.9.3以前のすべてのバージョンに影響を与える。CVSSスコアは4.3(MEDIUM)で、権限の欠落(CWE-862)に分類されている。開発元は既にバージョン1.3.9.4で修正を実施しており、ユーザーには速やかなアップデートが推奨される。
【CVE-2024-43302】WordPress Fonts Plugin 3.7.7にアク...
WordPress Fonts Plugin 3.7.7以前のバージョンにアクセス制御の脆弱性が発見された。この脆弱性はCWE-862として分類され、認証に関する設定の不備により、低い権限レベルのユーザーが本来アクセスできない機能やデータにアクセスできる可能性がある。CVSSスコアは4.3で中程度の深刻度と評価されており、バージョン3.7.8で修正された。
【CVE-2024-43302】WordPress Fonts Plugin 3.7.7にアク...
WordPress Fonts Plugin 3.7.7以前のバージョンにアクセス制御の脆弱性が発見された。この脆弱性はCWE-862として分類され、認証に関する設定の不備により、低い権限レベルのユーザーが本来アクセスできない機能やデータにアクセスできる可能性がある。CVSSスコアは4.3で中程度の深刻度と評価されており、バージョン3.7.8で修正された。
うるるが鈴鹿高専のビジネスコンテストに協賛、労働力不足問題解決に向け若い世代のアイデアを募集
株式会社うるるが鈴鹿工業高等専門学校主催の「高専ビジネスコンテスト in 鈴鹿高専 2024」への協賛を発表。2024年12月10日から14日にかけて開催される本コンテストでは、深刻化する労働力不足問題の解決をテーマに、高専生たちが斬新なビジネスプランを競い合う。最優秀賞には東京オフィスツアーとAmazonギフト券5万円が用意されている。
うるるが鈴鹿高専のビジネスコンテストに協賛、労働力不足問題解決に向け若い世代のアイデアを募集
株式会社うるるが鈴鹿工業高等専門学校主催の「高専ビジネスコンテスト in 鈴鹿高専 2024」への協賛を発表。2024年12月10日から14日にかけて開催される本コンテストでは、深刻化する労働力不足問題の解決をテーマに、高専生たちが斬新なビジネスプランを競い合う。最優秀賞には東京オフィスツアーとAmazonギフト券5万円が用意されている。
高専GCON2024が本選出場12チームを発表、SDGsと技術で社会課題解決に挑戦
独立行政法人国立高等専門学校機構と日本経済新聞社が共催する第3回高専GIRLS SDGs × Technology Contest(高専GCON2024)の本選出場12チームが決定。全国85チームから選ばれた12チームが、12月15日の本選でSDGsを中心とした社会課題解決に向けた技術開発とアイデアを競う。最優秀賞として文部科学大臣賞1チーム、優秀賞2チーム、企業賞が選考される。
高専GCON2024が本選出場12チームを発表、SDGsと技術で社会課題解決に挑戦
独立行政法人国立高等専門学校機構と日本経済新聞社が共催する第3回高専GIRLS SDGs × Technology Contest(高専GCON2024)の本選出場12チームが決定。全国85チームから選ばれた12チームが、12月15日の本選でSDGsを中心とした社会課題解決に向けた技術開発とアイデアを競う。最優秀賞として文部科学大臣賞1チーム、優秀賞2チーム、企業賞が選考される。
MathWorksとNXPがバッテリーマネジメントシステム向けModel-Based Desi...
MathWorksとNXP Semiconductorsが、バッテリーマネジメントシステム向けのModel-Based Design Toolboxを発表した。MATLABとSimulinkを活用したBMSアプリケーションの開発が可能となり、NXPプロセッサへの直接実装機能により開発プロセスが大幅に効率化される。EVバッテリーの性能と安全性向上に向けた画期的なソリューションとなるだろう。
MathWorksとNXPがバッテリーマネジメントシステム向けModel-Based Desi...
MathWorksとNXP Semiconductorsが、バッテリーマネジメントシステム向けのModel-Based Design Toolboxを発表した。MATLABとSimulinkを活用したBMSアプリケーションの開発が可能となり、NXPプロセッサへの直接実装機能により開発プロセスが大幅に効率化される。EVバッテリーの性能と安全性向上に向けた画期的なソリューションとなるだろう。
JiteraがAI開発エージェントを活用したシステム開発効率化ソリューションをNexTech ...
株式会社Jiteraが2024年11月20日から22日まで幕張メッセで開催されるNexTech Week 2024秋に出展する。AIを活用したシステム設計書の自動生成やE2Eテストの自動化機能をデモンストレーションで紹介。システムの複雑化やドキュメント不足などの課題解決に向けた具体的なソリューションを提示する場となる。
JiteraがAI開発エージェントを活用したシステム開発効率化ソリューションをNexTech ...
株式会社Jiteraが2024年11月20日から22日まで幕張メッセで開催されるNexTech Week 2024秋に出展する。AIを活用したシステム設計書の自動生成やE2Eテストの自動化機能をデモンストレーションで紹介。システムの複雑化やドキュメント不足などの課題解決に向けた具体的なソリューションを提示する場となる。
【CVE-2024-7010】mudler/localai 2.17.1にタイミング攻撃の脆弱...
mudler/localai 2.17.1においてタイミング攻撃に対する脆弱性が発見された。この脆弱性により、攻撃者はサーバーの応答時間を分析することで有効なログイン認証情報を特定可能となっている。CVSSスコアは7.5と高く、ネットワークからのアクセスが可能で攻撃条件の複雑さも低いため、早急なバージョン2.21へのアップデートが推奨される。
【CVE-2024-7010】mudler/localai 2.17.1にタイミング攻撃の脆弱...
mudler/localai 2.17.1においてタイミング攻撃に対する脆弱性が発見された。この脆弱性により、攻撃者はサーバーの応答時間を分析することで有効なログイン認証情報を特定可能となっている。CVSSスコアは7.5と高く、ネットワークからのアクセスが可能で攻撃条件の複雑さも低いため、早急なバージョン2.21へのアップデートが推奨される。
【CVE-2024-50333】SuiteCRMのModuleBuilderにRCE脆弱性、早...
オープンソースCRMソフトウェアSuiteCRMのModuleBuilderに深刻な脆弱性が発見された。ParserLabel::addLabels()関数を悪用することで、攻撃者がカスタム言語ファイルに任意のコードを書き込める可能性がある。影響を受けるバージョンは7.14.6未満および8.0.0以降8.7.1未満で、CVSSスコアは6.6(MEDIUM)となっている。修正版の7.14.6および8.7.1への早急なアップデートが推奨される。
【CVE-2024-50333】SuiteCRMのModuleBuilderにRCE脆弱性、早...
オープンソースCRMソフトウェアSuiteCRMのModuleBuilderに深刻な脆弱性が発見された。ParserLabel::addLabels()関数を悪用することで、攻撃者がカスタム言語ファイルに任意のコードを書き込める可能性がある。影響を受けるバージョンは7.14.6未満および8.0.0以降8.7.1未満で、CVSSスコアは6.6(MEDIUM)となっている。修正版の7.14.6および8.7.1への早急なアップデートが推奨される。
【CVE-2024-49772】SuiteCRM 7.14.4にSQL injection脆弱...
SalesagilityのCRMソフトウェアSuiteCRM 7.14.4において、AM_ProjectTemplatesコントローラーにSQL injectionの脆弱性が発見された。CVSSスコア8.8(High)と評価されるこの脆弱性により、認証済みの低権限ユーザーがデータベース全体の情報を漏洩させることが可能となっている。対応バージョンとなる7.14.6および8.7.1へのアップデートが推奨される。
【CVE-2024-49772】SuiteCRM 7.14.4にSQL injection脆弱...
SalesagilityのCRMソフトウェアSuiteCRM 7.14.4において、AM_ProjectTemplatesコントローラーにSQL injectionの脆弱性が発見された。CVSSスコア8.8(High)と評価されるこの脆弱性により、認証済みの低権限ユーザーがデータベース全体の情報を漏洩させることが可能となっている。対応バージョンとなる7.14.6および8.7.1へのアップデートが推奨される。
【CVE-2024-50353】ICG.AspNetCore.Utilities.CloudS...
IowaComputerGurus社のクラウドストレージユーティリティライブラリICG.AspNetCore.Utilities.CloudStorageにおいて、SAS Uriの期間設定に関する脆弱性が発見された。CVE-2024-50353として識別されるこの問題は、1時間以外の期間設定時に意図しない有効期限が設定される可能性があり、CVSSスコア5.3の中程度の深刻度と評価されている。バージョン8.0.0で修正済みだ。
【CVE-2024-50353】ICG.AspNetCore.Utilities.CloudS...
IowaComputerGurus社のクラウドストレージユーティリティライブラリICG.AspNetCore.Utilities.CloudStorageにおいて、SAS Uriの期間設定に関する脆弱性が発見された。CVE-2024-50353として識別されるこの問題は、1時間以外の期間設定時に意図しない有効期限が設定される可能性があり、CVSSスコア5.3の中程度の深刻度と評価されている。バージョン8.0.0で修正済みだ。
【CVE-2024-50461】WordPressプラグインEmbedPress 4.0.14...
WordPressプラグインEmbedPress 4.0.14以前のバージョンにおいて、Cross Site Scripting(XSS)の脆弱性が発見された。CVSSスコア6.5(Medium)と評価されるこの脆弱性は、Webページ生成時における入力の不適切な無害化処理に起因しており、情報漏洩やセッションハイジャックなどの深刻な被害をもたらす可能性がある。すでにバージョン4.1.0で修正が実施されており、早急なアップデートが推奨されている。
【CVE-2024-50461】WordPressプラグインEmbedPress 4.0.14...
WordPressプラグインEmbedPress 4.0.14以前のバージョンにおいて、Cross Site Scripting(XSS)の脆弱性が発見された。CVSSスコア6.5(Medium)と評価されるこの脆弱性は、Webページ生成時における入力の不適切な無害化処理に起因しており、情報漏洩やセッションハイジャックなどの深刻な被害をもたらす可能性がある。すでにバージョン4.1.0で修正が実施されており、早急なアップデートが推奨されている。
BLUETTIが新型ポータブル電源Elite200V2を発表、EVグレードバッテリー採用で長寿...
BLUETTIが2024年11月13日より新世代2kWhクラスポータブル電源Elite200V2の予約販売を開始した。EVグレードのリン酸鉄リチウムイオンバッテリーを採用することで6000サイクル以上の寿命を実現し、定格出力2200Wに加えて電力リフト機能により3300Wまでの出力が可能となった。独自のBLUETOPUS AI-BMSによる安全機能も搭載している。
BLUETTIが新型ポータブル電源Elite200V2を発表、EVグレードバッテリー採用で長寿...
BLUETTIが2024年11月13日より新世代2kWhクラスポータブル電源Elite200V2の予約販売を開始した。EVグレードのリン酸鉄リチウムイオンバッテリーを採用することで6000サイクル以上の寿命を実現し、定格出力2200Wに加えて電力リフト機能により3300Wまでの出力が可能となった。独自のBLUETOPUS AI-BMSによる安全機能も搭載している。
【CVE-2024-43355】WordPressプラグインJoomSport 5.3.0にア...
WordPressプラグインJoomSport 5.3.0以下にアクセス制御の脆弱性が発見され、CVE-2024-43355として公開された。CVSS3.1で4.3のスコアを記録し、攻撃の難易度は低いものの特権レベルが必要とされる中程度の深刻度となっている。この問題はCWE-862として分類され、バージョン5.5.7で修正されることが確認されている。
【CVE-2024-43355】WordPressプラグインJoomSport 5.3.0にア...
WordPressプラグインJoomSport 5.3.0以下にアクセス制御の脆弱性が発見され、CVE-2024-43355として公開された。CVSS3.1で4.3のスコアを記録し、攻撃の難易度は低いものの特権レベルが必要とされる中程度の深刻度となっている。この問題はCWE-862として分類され、バージョン5.5.7で修正されることが確認されている。
【CVE-2024-49519】Adobe Substance3D Painter 10.1....
Adobe Substance3D Painter 10.1.0以前のバージョンに境界外の書き込みの脆弱性が発見された。CVE-2024-49519として識別されたこの脆弱性は、CVSSスコア7.8の高い深刻度を示しており、悪意のあるファイルを開くことで任意のコードが実行される可能性がある。Adobe社は修正プログラムを提供し、影響を受けるバージョンのユーザーには速やかなアップデートを推奨している。
【CVE-2024-49519】Adobe Substance3D Painter 10.1....
Adobe Substance3D Painter 10.1.0以前のバージョンに境界外の書き込みの脆弱性が発見された。CVE-2024-49519として識別されたこの脆弱性は、CVSSスコア7.8の高い深刻度を示しており、悪意のあるファイルを開くことで任意のコードが実行される可能性がある。Adobe社は修正プログラムを提供し、影響を受けるバージョンのユーザーには速やかなアップデートを推奨している。
【CVE-2024-10998】1000 Projects Bookstore Managem...
1000 ProjectsのBookstore Management System 1.0において、管理者用ファイルprocess_category_add.phpに重大な脆弱性が発見された。CVE-2024-10998として識別されるこの脆弱性は、cat引数に対するSQLインジェクションが可能で、CVSSスコア7.3のHigh評価となっている。認証なしでリモートからの攻撃が可能な状態であり、既に攻撃コードが公開されているため、早急な対応が求められる。
【CVE-2024-10998】1000 Projects Bookstore Managem...
1000 ProjectsのBookstore Management System 1.0において、管理者用ファイルprocess_category_add.phpに重大な脆弱性が発見された。CVE-2024-10998として識別されるこの脆弱性は、cat引数に対するSQLインジェクションが可能で、CVSSスコア7.3のHigh評価となっている。認証なしでリモートからの攻撃が可能な状態であり、既に攻撃コードが公開されているため、早急な対応が求められる。
【CVE-2024-10995】Hospital Appointment System 1.0...
Codezips Hospital Appointment System 1.0のremoveDoctorResult.phpファイルにSQL injection脆弱性が発見された。Name引数を操作することで攻撃が可能で、CVSS 4.0で6.9、CVSS 3.1で7.3のスコアが付けられている。特権不要でリモートから攻撃可能なため、患者データの漏洩リスクが高く、早急な対応が必要とされている。
【CVE-2024-10995】Hospital Appointment System 1.0...
Codezips Hospital Appointment System 1.0のremoveDoctorResult.phpファイルにSQL injection脆弱性が発見された。Name引数を操作することで攻撃が可能で、CVSS 4.0で6.9、CVSS 3.1で7.3のスコアが付けられている。特権不要でリモートから攻撃可能なため、患者データの漏洩リスクが高く、早急な対応が必要とされている。
【CVE-2024-10187】myCred 2.7.4にXSS脆弱性が発見、Contribu...
WordPressプラグインのmyCred 2.7.4以前のバージョンに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-10187】として識別され、mycred_linkショートコードにおける入力値の検証と出力のエスケープが不十分であることが原因。CVSSスコアは6.4(MEDIUM)で、Contributor以上の権限を持つユーザーが悪用可能な状態となっている。
【CVE-2024-10187】myCred 2.7.4にXSS脆弱性が発見、Contribu...
WordPressプラグインのmyCred 2.7.4以前のバージョンに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-10187】として識別され、mycred_linkショートコードにおける入力値の検証と出力のエスケープが不十分であることが原因。CVSSスコアは6.4(MEDIUM)で、Contributor以上の権限を持つユーザーが悪用可能な状態となっている。
【CVE-2024-47765】MinecraftMotdParserにXSS脆弱性が発見、H...
GitHubが2024年10月4日に公開したMinecraftMotdParserの脆弱性【CVE-2024-47765】は、HtmlGeneratorクラスにおけるクロスサイトスクリプティング攻撃の危険性を示している。MOTDを介した悪意あるスクリプトの注入が可能で、CVSS評価は6.9(MEDIUM)。バージョン1.0.6での修正が提供され、早急なアップデートが推奨される。
【CVE-2024-47765】MinecraftMotdParserにXSS脆弱性が発見、H...
GitHubが2024年10月4日に公開したMinecraftMotdParserの脆弱性【CVE-2024-47765】は、HtmlGeneratorクラスにおけるクロスサイトスクリプティング攻撃の危険性を示している。MOTDを介した悪意あるスクリプトの注入が可能で、CVSS評価は6.9(MEDIUM)。バージョン1.0.6での修正が提供され、早急なアップデートが推奨される。
【CVE-2024-45764】Dell Enterprise SONiC OSの認証バイパス...
Dell EMCは2024年11月8日、Dell Enterprise SONiC OSのバージョン4.1.x、4.2.xに存在する重大な認証バイパスの脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として評価され、リモートからの不正アクセスが可能となる問題が指摘されている。Dell EMCはバージョン4.1.6および4.2.2以降へのアップグレードを提供しており、早急な対応が推奨される。
【CVE-2024-45764】Dell Enterprise SONiC OSの認証バイパス...
Dell EMCは2024年11月8日、Dell Enterprise SONiC OSのバージョン4.1.x、4.2.xに存在する重大な認証バイパスの脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として評価され、リモートからの不正アクセスが可能となる問題が指摘されている。Dell EMCはバージョン4.1.6および4.2.2以降へのアップグレードを提供しており、早急な対応が推奨される。
【CVE-2024-40239】Life: Personal Diary, Journal 1...
Androidアプリケーション「Life: Personal Diary, Journal 17.5.0」において、指紋認証機能のアクセス制御に不備が発見された。CVSSスコア6.1のMedium評価で、物理的に近接する攻撃者による権限昇格が可能となる脆弱性が確認されている。機密性と完全性への高い影響が指摘され、個人のプライバシー情報を扱うアプリケーションとして早急な対応が必要とされている。
【CVE-2024-40239】Life: Personal Diary, Journal 1...
Androidアプリケーション「Life: Personal Diary, Journal 17.5.0」において、指紋認証機能のアクセス制御に不備が発見された。CVSSスコア6.1のMedium評価で、物理的に近接する攻撃者による権限昇格が可能となる脆弱性が確認されている。機密性と完全性への高い影響が指摘され、個人のプライバシー情報を扱うアプリケーションとして早急な対応が必要とされている。
【CVE-2024-33623】LevelOne WBR-6012にDoS脆弱性、HTTPリク...
LevelOne WBR-6012 R0.40eのWebアプリケーション機能にDoS脆弱性が発見された。CVE-2024-33623として識別されるこの脆弱性は、特別な細工がされたHTTPリクエストによってデバイスの再起動を引き起こす可能性がある。CVSSスコアは3.7(Low)と評価されているが、ネットワーク経由での攻撃が可能で特権も不要という特徴を持つ。
【CVE-2024-33623】LevelOne WBR-6012にDoS脆弱性、HTTPリク...
LevelOne WBR-6012 R0.40eのWebアプリケーション機能にDoS脆弱性が発見された。CVE-2024-33623として識別されるこの脆弱性は、特別な細工がされたHTTPリクエストによってデバイスの再起動を引き起こす可能性がある。CVSSスコアは3.7(Low)と評価されているが、ネットワーク経由での攻撃が可能で特権も不要という特徴を持つ。
【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...
Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。
【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...
Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。
【CVE-2024-6442】Zephyr OS 3.6のBluetoothスタックに脆弱性、...
Zephyr Projectは2024年10月4日、Zephyr OSのBluetoothスタックにバッファオーバーフロー脆弱性が存在することを公開した。CVE-2024-6442として識別されるこの脆弱性は、ASCSのレスポンスバッファの未チェックにより発生し、CVSSスコア6.3の中程度の深刻度と評価されている。影響を受けるのはZephyr 3.6までのすべてのバージョンで、システムの機密性、整合性、可用性に影響を与える可能性がある。
【CVE-2024-6442】Zephyr OS 3.6のBluetoothスタックに脆弱性、...
Zephyr Projectは2024年10月4日、Zephyr OSのBluetoothスタックにバッファオーバーフロー脆弱性が存在することを公開した。CVE-2024-6442として識別されるこの脆弱性は、ASCSのレスポンスバッファの未チェックにより発生し、CVSSスコア6.3の中程度の深刻度と評価されている。影響を受けるのはZephyr 3.6までのすべてのバージョンで、システムの機密性、整合性、可用性に影響を与える可能性がある。
【CVE-2024-49864】Linuxカーネルrxrpcにレース条件の脆弱性、I/Oスレッ...
Linuxカーネルのrxrpcコンポーネントにおいて、ソケットのセットアップとI/Oスレッド生成の間にレース条件が発生する脆弱性が発見された。この問題により、UDPパケット処理時にシステムがクラッシュする可能性がある。Linux 6.2から6.6.54までの広範なバージョンが影響を受けており、早急なアップデートが推奨されている。暫定対策としてパケット破棄による対応が実装された。
【CVE-2024-49864】Linuxカーネルrxrpcにレース条件の脆弱性、I/Oスレッ...
Linuxカーネルのrxrpcコンポーネントにおいて、ソケットのセットアップとI/Oスレッド生成の間にレース条件が発生する脆弱性が発見された。この問題により、UDPパケット処理時にシステムがクラッシュする可能性がある。Linux 6.2から6.6.54までの広範なバージョンが影響を受けており、早急なアップデートが推奨されている。暫定対策としてパケット破棄による対応が実装された。
【CVE-2024-50561】Siemens製品のファイル名サニタイズ処理に脆弱性、バージョ...
Siemensは複数の産業用ネットワーク機器においてファイル名のサニタイズ処理に関する脆弱性【CVE-2024-50561】を公開した。RUGGEDCOM RM1224 LTE(4G)やSCALANCEシリーズなど、バージョン8.2未満の製品が影響を受け、認証済みリモート攻撃者によるシステム整合性の侵害が可能となる。CVSSスコアはv3.1で4.3、v4.0で5.1のMedium評価だ。
【CVE-2024-50561】Siemens製品のファイル名サニタイズ処理に脆弱性、バージョ...
Siemensは複数の産業用ネットワーク機器においてファイル名のサニタイズ処理に関する脆弱性【CVE-2024-50561】を公開した。RUGGEDCOM RM1224 LTE(4G)やSCALANCEシリーズなど、バージョン8.2未満の製品が影響を受け、認証済みリモート攻撃者によるシステム整合性の侵害が可能となる。CVSSスコアはv3.1で4.3、v4.0で5.1のMedium評価だ。
【CVE-2024-50557】Siemens製品にiPerf機能の入力検証における重大な脆弱...
Siemensは複数の産業用通信機器における重大な脆弱性を公開した。RUGGEDCOM RM1224やSCALANCEシリーズなどのバージョン8.2未満の製品で、iperf機能の設定フィールドにおける入力検証の不備が発見された。未認証のリモート攻撃者による任意のコード実行が可能となる危険性があり、CVSSスコアは3.1で7.2、4.0で8.6と高い深刻度を示している。
【CVE-2024-50557】Siemens製品にiPerf機能の入力検証における重大な脆弱...
Siemensは複数の産業用通信機器における重大な脆弱性を公開した。RUGGEDCOM RM1224やSCALANCEシリーズなどのバージョン8.2未満の製品で、iperf機能の設定フィールドにおける入力検証の不備が発見された。未認証のリモート攻撃者による任意のコード実行が可能となる危険性があり、CVSSスコアは3.1で7.2、4.0で8.6と高い深刻度を示している。
【CVE-2024-50460】WordPress用Firelight Lightboxプラグ...
FirelightWP社が開発するWordPress用プラグインFirelight Lightboxにおいて、バージョン2.3.3以前に影響を与えるクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-50460】として識別され、CVSSスコア5.9のミディアムレベルと評価されている。攻撃の前提条件として高い権限が必要とされるものの、技術的な複雑さは低く、影響範囲が制限されたスコープを超えて広がる可能性が指摘されている。
【CVE-2024-50460】WordPress用Firelight Lightboxプラグ...
FirelightWP社が開発するWordPress用プラグインFirelight Lightboxにおいて、バージョン2.3.3以前に影響を与えるクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-50460】として識別され、CVSSスコア5.9のミディアムレベルと評価されている。攻撃の前提条件として高い権限が必要とされるものの、技術的な複雑さは低く、影響範囲が制限されたスコープを超えて広がる可能性が指摘されている。
【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...
SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。
【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...
SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。
【CVE-2024-48044】ShortPixel Image Optimizer 5.6....
WordPressプラグインのShortPixel Image Optimizerにアクセス制御の脆弱性が発見された。バージョン5.6.3以前が影響を受け、認証済みユーザーによる権限昇格の可能性がある。CVSSスコアは5.4でミディアムレベルの深刻度とされ、Patchstack OÜのRafie Muhammadによって発見された。バージョン5.6.4で修正済みのため、早急なアップデートが推奨される。
【CVE-2024-48044】ShortPixel Image Optimizer 5.6....
WordPressプラグインのShortPixel Image Optimizerにアクセス制御の脆弱性が発見された。バージョン5.6.3以前が影響を受け、認証済みユーザーによる権限昇格の可能性がある。CVSSスコアは5.4でミディアムレベルの深刻度とされ、Patchstack OÜのRafie Muhammadによって発見された。バージョン5.6.4で修正済みのため、早急なアップデートが推奨される。
【CVE-2024-47803】Jenkins 2.478のsecretTextareaに脆弱...
Jenkins ProjectはJenkins 2.478以前のバージョンとLTS 2.462.2以前のバージョンにおいて、secretTextarea形式のフォームフィールドに関連するセキュリティ脆弱性を公開した。フォーム送信時のエラーメッセージで機密情報が適切に編集されない問題が発見され、Jenkins 2.462.3以降のバージョンで修正が実施されている。影響を受けるユーザーには速やかなアップデートが推奨される。
【CVE-2024-47803】Jenkins 2.478のsecretTextareaに脆弱...
Jenkins ProjectはJenkins 2.478以前のバージョンとLTS 2.462.2以前のバージョンにおいて、secretTextarea形式のフォームフィールドに関連するセキュリティ脆弱性を公開した。フォーム送信時のエラーメッセージで機密情報が適切に編集されない問題が発見され、Jenkins 2.462.3以降のバージョンで修正が実施されている。影響を受けるユーザーには速やかなアップデートが推奨される。