Tech Insights

【CVE-2024-43932】The Plus Addons For Elementor 5.6.2に認可機能の欠落による深刻な脆弱性が発見、直ちにアップデートが必要に

【CVE-2024-43932】The Plus Addons For Elementor 5...

WordPressプラグインThe Plus Addons For Elementor Page Builder Liteにおいて、認可機能の欠落による重大な脆弱性が発見された。CVE-2024-43932として識別されたこの問題は、バージョン5.6.2までのすべてのバージョンに影響を与える。CVSSスコア6.5を記録しており、攻撃の複雑さは低いものの特権が必要とされる。開発元のPOSIMYTHは直ちにバージョン5.6.3をリリースし、脆弱性を修正している。

【CVE-2024-43932】The Plus Addons For Elementor 5...

WordPressプラグインThe Plus Addons For Elementor Page Builder Liteにおいて、認可機能の欠落による重大な脆弱性が発見された。CVE-2024-43932として識別されたこの問題は、バージョン5.6.2までのすべてのバージョンに影響を与える。CVSSスコア6.5を記録しており、攻撃の複雑さは低いものの特権が必要とされる。開発元のPOSIMYTHは直ちにバージョン5.6.3をリリースし、脆弱性を修正している。

【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可機能の欠陥、アクセス制御の不備でセキュリティリスクが増大

【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可...

WordPressプラグインのPhoto Engineにおいて、認可機能に関する重大な脆弱性が発見された。CVSSスコア4.3(MEDIUM)に分類されるこの脆弱性は、アクセス制御の設定が不適切に構成されており、認可されていないユーザーによる不正アクセスが可能となる可能性がある。開発元のJordy Meowはバージョン6.4.1で修正プログラムを提供している。

【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可...

WordPressプラグインのPhoto Engineにおいて、認可機能に関する重大な脆弱性が発見された。CVSSスコア4.3(MEDIUM)に分類されるこの脆弱性は、アクセス制御の設定が不適切に構成されており、認可されていないユーザーによる不正アクセスが可能となる可能性がある。開発元のJordy Meowはバージョン6.4.1で修正プログラムを提供している。

【CVE-2024-43296】WordPress HTML5 Video Player 2.5.30に認証不備の脆弱性、アクセス制御の改善が急務に

【CVE-2024-43296】WordPress HTML5 Video Player 2....

bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度(4.3)の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。

【CVE-2024-43296】WordPress HTML5 Video Player 2....

bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度(4.3)の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する脆弱性、未認証でのアクセスが可能な状態に

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...

Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...

Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbnxt_reのセットアップ処理に問題発覚

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbn...

Linuxカーネルにおいて、RDMAドライバbnxt_reのセットアップ処理に関連するメモリリーク脆弱性が発見された。bnxt_re_setup_chip_ctx()関数内でbnxt_qplib_map_db_bar()が失敗した際にrdev->chip_ctxのメモリ解放が行われないという問題が確認されている。影響を受けるバージョンは6.5から6.6.59未満、6.11.6未満、6.12-rc4未満となっており、各バージョン向けのパッチが提供されている。

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbn...

Linuxカーネルにおいて、RDMAドライバbnxt_reのセットアップ処理に関連するメモリリーク脆弱性が発見された。bnxt_re_setup_chip_ctx()関数内でbnxt_qplib_map_db_bar()が失敗した際にrdev->chip_ctxのメモリ解放が行われないという問題が確認されている。影響を受けるバージョンは6.5から6.6.59未満、6.11.6未満、6.12-rc4未満となっており、各バージョン向けのパッチが提供されている。

【CVE-2024-49409】Galaxy S24のバッテリー容量測定に脆弱性、9月のファームウェアアップデートで対処へ

【CVE-2024-49409】Galaxy S24のバッテリー容量測定に脆弱性、9月のファー...

Samsung MobileはGalaxy S24のバッテリー容量測定における境界外書き込みの脆弱性【CVE-2024-49409】を公開した。システム権限を持つローカル攻撃者によって境界外のメモリに書き込みが可能になる脆弱性で、CVSS v3.1で6.4(MEDIUM)と評価された。この脆弱性は2024年9月のファームウェアアップデートで修正される予定となっている。

【CVE-2024-49409】Galaxy S24のバッテリー容量測定に脆弱性、9月のファー...

Samsung MobileはGalaxy S24のバッテリー容量測定における境界外書き込みの脆弱性【CVE-2024-49409】を公開した。システム権限を持つローカル攻撃者によって境界外のメモリに書き込みが可能になる脆弱性で、CVSS v3.1で6.4(MEDIUM)と評価された。この脆弱性は2024年9月のファームウェアアップデートで修正される予定となっている。

【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開、制限されたアイテム作成が可能に

【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開...

Jenkins ProjectがJenkins 2.478以前のバージョンにおける重大な脆弱性を公開した。CLIやREST APIを通じてアクセス制御をバイパスし、制限されたアイテムタイプの作成が可能になる問題が発見された。Item/Configure権限を持つ攻撃者が非承認のアイテムを作成できる状態であり、Jenkins 2.462.3およびJenkins 2.479以降で修正された。

【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開...

Jenkins ProjectがJenkins 2.478以前のバージョンにおける重大な脆弱性を公開した。CLIやREST APIを通じてアクセス制御をバイパスし、制限されたアイテムタイプの作成が可能になる問題が発見された。Item/Configure権限を持つ攻撃者が非承認のアイテムを作成できる状態であり、Jenkins 2.462.3およびJenkins 2.479以降で修正された。

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の欠如による脆弱性が発見、アクセス制御の不備に注意

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...

WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...

WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。

【CVE-2024-50572】Siemensの産業用ネットワーク機器に深刻な脆弱性、管理者権限での不正コード実行の可能性

【CVE-2024-50572】Siemensの産業用ネットワーク機器に深刻な脆弱性、管理者権...

SiemensのRUGGEDCOM RM1224やSCALANCEシリーズなど、複数の産業用ネットワーク機器においてV8.2未満のバージョンに影響する脆弱性が発見された。CVE-2024-50572として識別されたこの脆弱性は、認証済み管理者権限を持つリモート攻撃者によるコード実行やシステムルートシェルの取得を可能にする可能性がある。CVSS v3.1で7.2、v4.0で8.6のスコアが付与された。

【CVE-2024-50572】Siemensの産業用ネットワーク機器に深刻な脆弱性、管理者権...

SiemensのRUGGEDCOM RM1224やSCALANCEシリーズなど、複数の産業用ネットワーク機器においてV8.2未満のバージョンに影響する脆弱性が発見された。CVE-2024-50572として識別されたこの脆弱性は、認証済み管理者権限を持つリモート攻撃者によるコード実行やシステムルートシェルの取得を可能にする可能性がある。CVSS v3.1で7.2、v4.0で8.6のスコアが付与された。

【CVE-2024-50104】Linux kernelのsdm845 soundcardで重大な脆弱性を発見、システムクラッシュのリスクに警鐘

【CVE-2024-50104】Linux kernelのsdm845 soundcardで重...

Linux kernelの開発チームは、sdm845 soundcardにおけるSoundwire runtime stream割り当ての重大な脆弱性を発見した。Qualcomm RB3ボードで特に影響が大きく、音声再生時にNULLポインターデリファレンスによるシステムクラッシュを引き起こす可能性がある。この問題は早急な対応が必要とされ、開発者らはパッチの適用を推奨している。

【CVE-2024-50104】Linux kernelのsdm845 soundcardで重...

Linux kernelの開発チームは、sdm845 soundcardにおけるSoundwire runtime stream割り当ての重大な脆弱性を発見した。Qualcomm RB3ボードで特に影響が大きく、音声再生時にNULLポインターデリファレンスによるシステムクラッシュを引き起こす可能性がある。この問題は早急な対応が必要とされ、開発者らはパッチの適用を推奨している。

【CVE-2024-47435】Adobe Substance3D - Painterにメモリ読み取りの脆弱性、ASLRバイパスのリスクに注意

【CVE-2024-47435】Adobe Substance3D - Painterにメモリ...

Adobe Substance3D - Painter 10.1.0以前のバージョンにメモリ読み取りの脆弱性が発見された。CVE-2024-47435として識別されるこの脆弱性は、攻撃者がASLRなどの保護機能を回避できる可能性がある。攻撃には悪意のあるファイルを開く必要があるものの、CVSS基本値5.5の中程度の深刻度と評価されており、早急な対応が求められている。

【CVE-2024-47435】Adobe Substance3D - Painterにメモリ...

Adobe Substance3D - Painter 10.1.0以前のバージョンにメモリ読み取りの脆弱性が発見された。CVE-2024-47435として識別されるこの脆弱性は、攻撃者がASLRなどの保護機能を回避できる可能性がある。攻撃には悪意のあるファイルを開く必要があるものの、CVSS基本値5.5の中程度の深刻度と評価されており、早急な対応が求められている。

【CVE-2024-43293】WordPressプラグインRecipe Card Blocks 3.3.1に認証の脆弱性、アクセス制御の設定不備で整合性に影響

【CVE-2024-43293】WordPressプラグインRecipe Card Block...

WPZOOMが開発するWordPressプラグインRecipe Card Blocks for Gutenberg & Elementorにおいて、3.3.1以前のバージョンで認証に関する脆弱性が発見された。この脆弱性はCVE-2024-43293として識別され、CVSSスコア4.3(MEDIUM)が付与されている。アクセス制御の設定不備により、権限のないユーザーによるリソースへのアクセスが可能となる可能性がある。

【CVE-2024-43293】WordPressプラグインRecipe Card Block...

WPZOOMが開発するWordPressプラグインRecipe Card Blocks for Gutenberg & Elementorにおいて、3.3.1以前のバージョンで認証に関する脆弱性が発見された。この脆弱性はCVE-2024-43293として識別され、CVSSスコア4.3(MEDIUM)が付与されている。アクセス制御の設定不備により、権限のないユーザーによるリソースへのアクセスが可能となる可能性がある。

【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性、家庭向けネットワークのセキュリティリスクに

【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算...

Cisco Talosの研究者によってLevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性が発見された。CVE-2024-28052として識別されるこの脆弱性は、CVSSスコア5.3のMEDIUMレベルで、特別な権限なしで攻撃が可能。影響を受けるバージョンはR0.40e6で、家庭や小規模オフィスのネットワークセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-28052】LevelOne WBR-6012ルーターにバッファサイズ計算...

Cisco Talosの研究者によってLevelOne WBR-6012ルーターにバッファサイズ計算の脆弱性が発見された。CVE-2024-28052として識別されるこの脆弱性は、CVSSスコア5.3のMEDIUMレベルで、特別な権限なしで攻撃が可能。影響を受けるバージョンはR0.40e6で、家庭や小規模オフィスのネットワークセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-10996】1000 Projects Bookstore Management System 1.0にSQL injection脆弱性、早急な対応が必要に

【CVE-2024-10996】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のprocess_category_edit.phpファイルでSQL injection脆弱性が発見された。catパラメータの操作により攻撃が可能で、CVSS 4.0では6.9(MEDIUM)の評価。リモートから実行可能で特権不要、exploitも公開済みのため早急な対応が必要となっている。

【CVE-2024-10996】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のprocess_category_edit.phpファイルでSQL injection脆弱性が発見された。catパラメータの操作により攻撃が可能で、CVSS 4.0では6.9(MEDIUM)の評価。リモートから実行可能で特権不要、exploitも公開済みのため早急な対応が必要となっている。

【CVE-2024-50558】SiemensのSCALANCEとRUGGEDCOM V8.2未満に脆弱性、アクセス制御の不備でサービス拒否の可能性

【CVE-2024-50558】SiemensのSCALANCEとRUGGEDCOM V8.2...

SiemensのSCALANCEとRUGGEDCOMシリーズのV8.2未満のバージョンに、読み取り専用ユーザーのアクセス制御における脆弱性が発見された。CVE-2024-50558として識別されたこの問題により、攻撃者による一時的なサービス拒否状態が引き起こされる可能性がある。CVSS v3.1で4.3、CVSS v4.0で5.3のスコアが付けられ、ネットワークからのアクセスが可能な中程度の深刻度と評価されている。

【CVE-2024-50558】SiemensのSCALANCEとRUGGEDCOM V8.2...

SiemensのSCALANCEとRUGGEDCOMシリーズのV8.2未満のバージョンに、読み取り専用ユーザーのアクセス制御における脆弱性が発見された。CVE-2024-50558として識別されたこの問題により、攻撃者による一時的なサービス拒否状態が引き起こされる可能性がある。CVSS v3.1で4.3、CVSS v4.0で5.3のスコアが付けられ、ネットワークからのアクセスが可能な中程度の深刻度と評価されている。

【CVE-2024-48039】CubeWP All-in-One Dynamic Content Framework 1.1.15に認証の脆弱性、アクセス制御の不備で権限管理に問題

【CVE-2024-48039】CubeWP All-in-One Dynamic Conte...

WordPressプラグインのCubeWP All-in-One Dynamic Content Framework 1.1.15以前のバージョンにおいて、アクセス制御の設定が不適切な脆弱性が発見された。CVSSスコア4.3を記録し、攻撃の複雑さは低いと評価されている。特権レベルは必要だが利用者の関与は不要で、整合性への影響が懸念される。1.1.16以降のバージョンで修正済み。

【CVE-2024-48039】CubeWP All-in-One Dynamic Conte...

WordPressプラグインのCubeWP All-in-One Dynamic Content Framework 1.1.15以前のバージョンにおいて、アクセス制御の設定が不適切な脆弱性が発見された。CVSSスコア4.3を記録し、攻撃の複雑さは低いと評価されている。特権レベルは必要だが利用者の関与は不要で、整合性への影響が懸念される。1.1.16以降のバージョンで修正済み。

【CVE-2024-51032】Toll Tax Management System 1.0にXSS脆弱性、認証済みユーザーによる任意のスクリプト実行が可能に

【CVE-2024-51032】Toll Tax Management System 1.0に...

MITREは2024年11月8日、Sourcecodester Toll Tax Management System 1.0において、Cross-site Scripting(XSS)の脆弱性【CVE-2024-51032】を公開した。manage_recipient.phpファイルのownerフィールドを通じて認証済みユーザーが任意のWebスクリプトを注入できる問題が発見されており、早急な対策が必要とされている。

【CVE-2024-51032】Toll Tax Management System 1.0に...

MITREは2024年11月8日、Sourcecodester Toll Tax Management System 1.0において、Cross-site Scripting(XSS)の脆弱性【CVE-2024-51032】を公開した。manage_recipient.phpファイルのownerフィールドを通じて認証済みユーザーが任意のWebスクリプトを注入できる問題が発見されており、早急な対策が必要とされている。

【CVE-2024-50458】WordPress用プラグインAdvanced Sermons 3.4にXSS脆弱性、バージョン3.5で修正完了

【CVE-2024-50458】WordPress用プラグインAdvanced Sermons...

WordPressプラグインAdvanced Sermonsのバージョン3.4以前にクロスサイトスクリプティング脆弱性が発見された。CVSS 3.1スコア6.5の中程度の深刻度で、攻撃には低い権限と利用者の操作が必要となる。SOPROBROによって発見されたこの脆弱性は、バージョン3.5で修正された。SSVCによる評価では、脆弱性の自動化可能性はなく、技術的影響は部分的とされている。

【CVE-2024-50458】WordPress用プラグインAdvanced Sermons...

WordPressプラグインAdvanced Sermonsのバージョン3.4以前にクロスサイトスクリプティング脆弱性が発見された。CVSS 3.1スコア6.5の中程度の深刻度で、攻撃には低い権限と利用者の操作が必要となる。SOPROBROによって発見されたこの脆弱性は、バージョン3.5で修正された。SSVCによる評価では、脆弱性の自動化可能性はなく、技術的影響は部分的とされている。

【CVE-2024-50243】Linuxカーネルのntfs3ファイルシステムに重大な脆弱性、一般保護違反の問題に対処完了

【CVE-2024-50243】Linuxカーネルのntfs3ファイルシステムに重大な脆弱性、...

Linuxカーネルの開発チームがntfs3ファイルシステムにおける重要な脆弱性の修正パッチを公開した。CVE-2024-50243として識別されるこの脆弱性は、ntfs_create_inode()関数における非常駐属性の削除処理に関連する一般保護違反の問題を引き起こす。影響を受けるバージョンは6.6.60以前、6.11.7以前、6.12-rc3以前で、修正パッチの適用によりファイルシステムの安定性と信頼性が向上する。

【CVE-2024-50243】Linuxカーネルのntfs3ファイルシステムに重大な脆弱性、...

Linuxカーネルの開発チームがntfs3ファイルシステムにおける重要な脆弱性の修正パッチを公開した。CVE-2024-50243として識別されるこの脆弱性は、ntfs_create_inode()関数における非常駐属性の削除処理に関連する一般保護違反の問題を引き起こす。影響を受けるバージョンは6.6.60以前、6.11.7以前、6.12-rc3以前で、修正パッチの適用によりファイルシステムの安定性と信頼性が向上する。

【CVE-2024-9440】Slim Select 2.0-2.9.0にXSS脆弱性が発見、修正パッチの早期提供が急務に

【CVE-2024-9440】Slim Select 2.0-2.9.0にXSS脆弱性が発見、...

Slim Select 2.0から2.9.0のバージョンにおいて、クロスサイトスクリプティング脆弱性が発見された。createOption関数内でユーザー入力値が適切にサニタイズされずにHTMLに出力される問題が確認されており、攻撃者によって任意のJavaScriptコードが実行される可能性がある。CVSSスコアは5.4で深刻度はミディアムに分類され、現時点で修正パッチは提供されていない。

【CVE-2024-9440】Slim Select 2.0-2.9.0にXSS脆弱性が発見、...

Slim Select 2.0から2.9.0のバージョンにおいて、クロスサイトスクリプティング脆弱性が発見された。createOption関数内でユーザー入力値が適切にサニタイズされずにHTMLに出力される問題が確認されており、攻撃者によって任意のJavaScriptコードが実行される可能性がある。CVSSスコアは5.4で深刻度はミディアムに分類され、現時点で修正パッチは提供されていない。

【CVE-2024-50224】Linuxカーネルspi-fsl-dspiモジュールの脆弱性修正、システム安定性が向上へ

【CVE-2024-50224】Linuxカーネルspi-fsl-dspiモジュールの脆弱性修...

Linuxカーネルのspi-fsl-dspiモジュールにおいて、GPIOチップセレクトを使用しない場合にシステムがクラッシュする脆弱性が修正された。【CVE-2024-50224】として識別されるこの問題は、NULLポインタ参照によるシステムクラッシュを引き起こす可能性があり、spi_get_csgpiod()の戻り値チェックを追加することで解決された。この修正により、SPIデバイス制御の安定性が向上し、システム全体のセキュリティが強化される。

【CVE-2024-50224】Linuxカーネルspi-fsl-dspiモジュールの脆弱性修...

Linuxカーネルのspi-fsl-dspiモジュールにおいて、GPIOチップセレクトを使用しない場合にシステムがクラッシュする脆弱性が修正された。【CVE-2024-50224】として識別されるこの問題は、NULLポインタ参照によるシステムクラッシュを引き起こす可能性があり、spi_get_csgpiod()の戻り値チェックを追加することで解決された。この修正により、SPIデバイス制御の安定性が向上し、システム全体のセキュリティが強化される。

【CVE-2024-50230】Linuxカーネルのnilfs2ファイルシステムに脆弱性、読み取り専用移行時のカーネルバグが発生

【CVE-2024-50230】Linuxカーネルのnilfs2ファイルシステムに脆弱性、読み...

kernel.orgは2024年11月9日、Linuxカーネルのnilfs2ファイルシステムにおける重要な脆弱性【CVE-2024-50230】を公開した。この問題は、ファイルシステムの破損検出後にディレクトリ操作を行う際、ブロック書き込み準備段階でfolio/pageサイズを超えるアクセスによりカーネルバグが発生するというものだ。原因はcheckedフラグのクリア漏れにあり、早急な対応が必要とされている。

【CVE-2024-50230】Linuxカーネルのnilfs2ファイルシステムに脆弱性、読み...

kernel.orgは2024年11月9日、Linuxカーネルのnilfs2ファイルシステムにおける重要な脆弱性【CVE-2024-50230】を公開した。この問題は、ファイルシステムの破損検出後にディレクトリ操作を行う際、ブロック書き込み準備段階でfolio/pageサイズを超えるアクセスによりカーネルバグが発生するというものだ。原因はcheckedフラグのクリア漏れにあり、早急な対応が必要とされている。

【CVE-2024-50227】Linuxカーネルthunderboltにスタック領域外読み取りの脆弱性、KASANによる早期発見で対策へ

【CVE-2024-50227】Linuxカーネルthunderboltにスタック領域外読み取...

Linuxカーネルのthunderboltコンポーネントにおいて、tb_retimer_scan関数でスタック領域外読み取りの脆弱性が発見された。この問題はKASANによって検出され、ループ変数の制御不備によってスタック上の配列範囲外を読み取る可能性がある。影響を受けるバージョンはLinux 6.11から6.11.6までで、6.11.7以降のバージョンでは修正が適用されている。

【CVE-2024-50227】Linuxカーネルthunderboltにスタック領域外読み取...

Linuxカーネルのthunderboltコンポーネントにおいて、tb_retimer_scan関数でスタック領域外読み取りの脆弱性が発見された。この問題はKASANによって検出され、ループ変数の制御不備によってスタック上の配列範囲外を読み取る可能性がある。影響を受けるバージョンはLinux 6.11から6.11.6までで、6.11.7以降のバージョンでは修正が適用されている。

【CVE-2024-50223】Linuxカーネルのtask_numa_work関数でヌルポインタ参照の脆弱性が発見、システムの安定性に影響

【CVE-2024-50223】Linuxカーネルのtask_numa_work関数でヌルポイ...

Linuxカーネルにおいて、task_numa_work関数内でのヌルポインタ参照による重大な脆弱性が発見された。stress-ng-vm-segvテストによって特定されたこの問題は、システムクラッシュを引き起こす可能性があり、特にNUMAバランシング機能を使用するシステムに影響を及ぼす。Linux 6.6.60以降のバージョンで修正が実装され、システムの安定性が向上している。

【CVE-2024-50223】Linuxカーネルのtask_numa_work関数でヌルポイ...

Linuxカーネルにおいて、task_numa_work関数内でのヌルポインタ参照による重大な脆弱性が発見された。stress-ng-vm-segvテストによって特定されたこの問題は、システムクラッシュを引き起こす可能性があり、特にNUMAバランシング機能を使用するシステムに影響を及ぼす。Linux 6.6.60以降のバージョンで修正が実装され、システムの安定性が向上している。

【CVE-2024-10997】1000 Projects Bookstore Management System 1.0にSQLインジェクション脆弱性が発見、早急な対応が必要な状況に

【CVE-2024-10997】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のbook_list.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10997として識別されるこの脆弱性は、idパラメータの不適切な処理に起因しており、CVSSスコアは5.3-6.5と中程度の深刻度と評価されている。既に公開されており早急な対応が必要とされる状況だ。攻撃者はリモートから低い特権レベルで攻撃を実行できる可能性がある。

【CVE-2024-10997】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のbook_list.phpファイルにSQLインジェクション脆弱性が発見された。CVE-2024-10997として識別されるこの脆弱性は、idパラメータの不適切な処理に起因しており、CVSSスコアは5.3-6.5と中程度の深刻度と評価されている。既に公開されており早急な対応が必要とされる状況だ。攻撃者はリモートから低い特権レベルで攻撃を実行できる可能性がある。

【CVE-2024-10988】E-Health Care System 1.0にSQLインジェクションの脆弱性が発見、医療情報漏洩のリスクが深刻化

【CVE-2024-10988】E-Health Care System 1.0にSQLインジ...

code-projects E-Health Care System 1.0のdoctor_login.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10988として識別されるこの脆弱性は、emailパラメータの操作によってデータベースへの不正アクセスが可能となり、CVSSスコア最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、早急な対策が求められている。

【CVE-2024-10988】E-Health Care System 1.0にSQLインジ...

code-projects E-Health Care System 1.0のdoctor_login.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10988として識別されるこの脆弱性は、emailパラメータの操作によってデータベースへの不正アクセスが可能となり、CVSSスコア最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、早急な対策が求められている。

【CVE-2024-49948】Linuxカーネルのqdisc_pkt_len_init関数に脆弱性、GSOパケット処理の安全性に懸念

【CVE-2024-49948】Linuxカーネルのqdisc_pkt_len_init関数に...

Linuxカーネルのネットワークスタックにおいて、qdisc_pkt_len_init関数のGSOパケット処理に関する重要な脆弱性が発見された。virtio_net_hdr_to_skb()関数によるTCPヘッダーの不完全な検証が原因で、特定条件下でバッファアンダーフローが発生する可能性がある。この問題は特にLinux 3.9以降のバージョンに影響を及ぼすため、早急なパッチ適用が推奨されている。

【CVE-2024-49948】Linuxカーネルのqdisc_pkt_len_init関数に...

Linuxカーネルのネットワークスタックにおいて、qdisc_pkt_len_init関数のGSOパケット処理に関する重要な脆弱性が発見された。virtio_net_hdr_to_skb()関数によるTCPヘッダーの不完全な検証が原因で、特定条件下でバッファアンダーフローが発生する可能性がある。この問題は特にLinux 3.9以降のバージョンに影響を及ぼすため、早急なパッチ適用が推奨されている。

【CVE-2024-50122】LinuxカーネルのPCIデバイス追加時の競合問題が修正、システムの安定性向上へ

【CVE-2024-50122】LinuxカーネルのPCIデバイス追加時の競合問題が修正、シス...

Linuxカーネルにおいて、PCIデバイスの電源制御コードとホストコントローラのプローブ機能間で競合が発生し、デバイス削除時にシステムがクラッシュする問題が確認された。この問題は【CVE-2024-50122】として特定され、リスキャンロックの適切な保持による対策が実装された。特にPCIデバイスの電源管理機能を使用するシステムでの安定性向上が期待される。

【CVE-2024-50122】LinuxカーネルのPCIデバイス追加時の競合問題が修正、シス...

Linuxカーネルにおいて、PCIデバイスの電源制御コードとホストコントローラのプローブ機能間で競合が発生し、デバイス削除時にシステムがクラッシュする問題が確認された。この問題は【CVE-2024-50122】として特定され、リスキャンロックの適切な保持による対策が実装された。特にPCIデバイスの電源管理機能を使用するシステムでの安定性向上が期待される。

【CVE-2024-10999】CodeAstro Real Estate Management System 1.0に深刻な脆弱性、リモートからの攻撃が可能に

【CVE-2024-10999】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page内のaboutadd.phpファイルに制限のないアップロードの脆弱性が発見された。CVSSスコアは4.0で5.1を記録し、リモートからの攻撃が可能であることから早急な対応が必要とされている。既に攻撃手法が公開されており、不動産管理システムという性質上、情報漏洩のリスクが高く注意が必要だ。

【CVE-2024-10999】CodeAstro Real Estate Managemen...

CodeAstro Real Estate Management System 1.0のAbout Us Page内のaboutadd.phpファイルに制限のないアップロードの脆弱性が発見された。CVSSスコアは4.0で5.1を記録し、リモートからの攻撃が可能であることから早急な対応が必要とされている。既に攻撃手法が公開されており、不動産管理システムという性質上、情報漏洩のリスクが高く注意が必要だ。

【CVE-2024-10989】code-projects E-Health Care System 1.0でSQLインジェクションの脆弱性を発見、医療データの漏洩リスクに警鐘

【CVE-2024-10989】code-projects E-Health Care Sys...

code-projects E-Health Care System 1.0のAdmin/detail.phpファイルにおいて、s_idパラメータに対するSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-10989】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されており、医療データの漏洩リスクが指摘されている。

【CVE-2024-10989】code-projects E-Health Care Sys...

code-projects E-Health Care System 1.0のAdmin/detail.phpファイルにおいて、s_idパラメータに対するSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-10989】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されており、医療データの漏洩リスクが指摘されている。