Tech Insights

【CVE-2024-50154】Linuxカーネルのtcp/dccp処理に重大な脆弱性、タイマー処理の異常でセキュリティリスクが発生

【CVE-2024-50154】Linuxカーネルのtcp/dccp処理に重大な脆弱性、タイマ...

Linuxカーネルのtcp/dccp処理における重要な脆弱性【CVE-2024-50154】が公開された。reqsk_queue_unlink()内のtimer_pending()使用に起因する問題で、BPFプログラムがtrace_tcp_retransmit_synackにアタッチされた際にuse-after-freeが発生。タイマー処理の異常により複数のSYN+ACKが送信され続ける事態が確認されており、早急な対応が必要となっている。

【CVE-2024-50154】Linuxカーネルのtcp/dccp処理に重大な脆弱性、タイマ...

Linuxカーネルのtcp/dccp処理における重要な脆弱性【CVE-2024-50154】が公開された。reqsk_queue_unlink()内のtimer_pending()使用に起因する問題で、BPFプログラムがtrace_tcp_retransmit_synackにアタッチされた際にuse-after-freeが発生。タイマー処理の異常により複数のSYN+ACKが送信され続ける事態が確認されており、早急な対応が必要となっている。

【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの危険性に対処

【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの...

kernel.orgは、Linuxカーネル2.6.30から6.12-rc2に存在するSCTPの重要な脆弱性を修正した。この脆弱性は、sctp_listen_start関数内でautobindが失敗した際の状態遷移の問題に起因しており、特定条件下でシステムクラッシュを引き起こす可能性がある。Linux 4.19.323以降の各安定版で修正が提供され、セキュリティが強化された。

【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの...

kernel.orgは、Linuxカーネル2.6.30から6.12-rc2に存在するSCTPの重要な脆弱性を修正した。この脆弱性は、sctp_listen_start関数内でautobindが失敗した際の状態遷移の問題に起因しており、特定条件下でシステムクラッシュを引き起こす可能性がある。Linux 4.19.323以降の各安定版で修正が提供され、セキュリティが強化された。

【CVE-2024-11046】D-Link DI-8003に重大な脆弱性が発見、OS Command Injectionによる深刻な影響の可能性

【CVE-2024-11046】D-Link DI-8003に重大な脆弱性が発見、OS Com...

D-Link DI-8003 16.07.16A1のupgrade_filter.aspファイルにおいて、OS Command Injectionの脆弱性が発見された。この脆弱性はCVE-2024-11046として識別され、攻撃コードが既に公開されている。CVSSスコアは最大で6.3(MEDIUM)であり、リモートからの攻撃が可能なため、早急な対策が必要となっている。影響を受ける機能はupgrade_filter_aspであり、引数pathの操作により不正なコマンドの実行が可能。

【CVE-2024-11046】D-Link DI-8003に重大な脆弱性が発見、OS Com...

D-Link DI-8003 16.07.16A1のupgrade_filter.aspファイルにおいて、OS Command Injectionの脆弱性が発見された。この脆弱性はCVE-2024-11046として識別され、攻撃コードが既に公開されている。CVSSスコアは最大で6.3(MEDIUM)であり、リモートからの攻撃が可能なため、早急な対策が必要となっている。影響を受ける機能はupgrade_filter_aspであり、引数pathの操作により不正なコマンドの実行が可能。

【CVE-2024-50217】Linuxカーネルのbtrfsにuse-after-free脆弱性、メモリ管理の改善で対策を実施

【CVE-2024-50217】Linuxカーネルのbtrfsにuse-after-free脆...

Linuxカーネルのbtrfsファイルシステムにおいて、block deviceファイルのuse-after-free脆弱性が発見された。同一のfsidと異なるdev_uuidsを持つ2つのイメージを特定の順序でマウントすることで発生する問題で、btrfs_close_one_device関数内でdevice->bdev_fileをNULLに設定する修正が実装された。Linux 4.8以降から6.11.6までのバージョンが影響を受け、6.11.7以降で修正された。

【CVE-2024-50217】Linuxカーネルのbtrfsにuse-after-free脆...

Linuxカーネルのbtrfsファイルシステムにおいて、block deviceファイルのuse-after-free脆弱性が発見された。同一のfsidと異なるdev_uuidsを持つ2つのイメージを特定の順序でマウントすることで発生する問題で、btrfs_close_one_device関数内でdevice->bdev_fileをNULLに設定する修正が実装された。Linux 4.8以降から6.11.6までのバージョンが影響を受け、6.11.7以降で修正された。

【CVE-2024-50245】Linux kernelのntfs3ファイルシステムにデッドロック脆弱性、複数バージョンで修正パッチをリリース

【CVE-2024-50245】Linux kernelのntfs3ファイルシステムにデッドロ...

Linux kernel開発チームは、ntfs3ファイルシステムのmi_read関数におけるデッドロックの脆弱性を公開した。この問題はni_lock_dir()関数内で異なるサブクラスのミューテックスロックが使用されることにより発生し、システムの安定性に影響を与える可能性がある。影響を受けるバージョンは5.15系から6.12-rc3まで広範に及び、各バージョンに対する修正パッチが提供されている。

【CVE-2024-50245】Linux kernelのntfs3ファイルシステムにデッドロ...

Linux kernel開発チームは、ntfs3ファイルシステムのmi_read関数におけるデッドロックの脆弱性を公開した。この問題はni_lock_dir()関数内で異なるサブクラスのミューテックスロックが使用されることにより発生し、システムの安定性に影響を与える可能性がある。影響を受けるバージョンは5.15系から6.12-rc3まで広範に及び、各バージョンに対する修正パッチが提供されている。

ヌーラボがInsight SQL Testingを導入してAmazon Aurora MySQLのバージョンアップテストを効率化、従来の3分の1の期間で完了

ヌーラボがInsight SQL Testingを導入してAmazon Aurora MySQ...

株式会社インサイトテクノロジーは、株式会社ヌーラボのAmazon Aurora MySQLバージョン3へのアップグレードにおいてInsight SQL Testingの導入を発表した。本番環境のSQLを自動収集し評価できる機能により、従来3か月かかっていた検証作業が1か月足らずで完了。BacklogやCacooなどのサービスを支える認証基盤の安定運用を実現している。

ヌーラボがInsight SQL Testingを導入してAmazon Aurora MySQ...

株式会社インサイトテクノロジーは、株式会社ヌーラボのAmazon Aurora MySQLバージョン3へのアップグレードにおいてInsight SQL Testingの導入を発表した。本番環境のSQLを自動収集し評価できる機能により、従来3か月かかっていた検証作業が1か月足らずで完了。BacklogやCacooなどのサービスを支える認証基盤の安定運用を実現している。

BrazeがGartnerマルチチャネルマーケティングハブでリーダーに選出、AIを活用した新機能で顧客エンゲージメントを強化

BrazeがGartnerマルチチャネルマーケティングハブでリーダーに選出、AIを活用した新機...

Brazeが2024年マルチチャネルマーケティングハブのマジック・クアドラントで2年連続リーダーに選出された。BrazeAIを活用した新機能Project Catalystの提供開始やAWS、Microsoft Azureとの統合強化により、マーケティング担当者は数千のキャンペーンバリエーションを効率的に作成・テストすることが可能になった。

BrazeがGartnerマルチチャネルマーケティングハブでリーダーに選出、AIを活用した新機...

Brazeが2024年マルチチャネルマーケティングハブのマジック・クアドラントで2年連続リーダーに選出された。BrazeAIを活用した新機能Project Catalystの提供開始やAWS、Microsoft Azureとの統合強化により、マーケティング担当者は数千のキャンペーンバリエーションを効率的に作成・テストすることが可能になった。

Vlightupが位置情報認証機能搭載の暗号資産取引向けセキュリティソリューションTRUSTAUTHYを開発開始、取引の安全性向上へ

Vlightupが位置情報認証機能搭載の暗号資産取引向けセキュリティソリューションTRUSTA...

Vlightup株式会社が暗号資産取引向けセキュリティソリューションTRUSTAUTHYの開発を開始。位置情報を活用したリアルタイム認証機能GeoAuthにより不正アクセスを防止し、行動データに基づく信用評価システムで取引の安全性を強化。柔軟なリカバリー機能も備え、2025年春にテストネット上でのサンドボックス提供を予定している。

Vlightupが位置情報認証機能搭載の暗号資産取引向けセキュリティソリューションTRUSTA...

Vlightup株式会社が暗号資産取引向けセキュリティソリューションTRUSTAUTHYの開発を開始。位置情報を活用したリアルタイム認証機能GeoAuthにより不正アクセスを防止し、行動データに基づく信用評価システムで取引の安全性を強化。柔軟なリカバリー機能も備え、2025年春にテストネット上でのサンドボックス提供を予定している。

Skyland VenturesがTONエコシステム初のDuckChainに参画、EVMとTelegramの融合で新たな展開へ

Skyland VenturesがTONエコシステム初のDuckChainに参画、EVMとTe...

TONScale LabsとArbitrumによって開発されたDuckChainが、TONエコシステムの新たなコンシューマーレイヤーとして登場。テストネットで1000万件以上のトランザクション実績を持ち、Telegramのスター決済システムとEVM互換性を組み合わせることで、数十億のユーザーをWeb3に導く革新的なプラットフォームを目指している。

Skyland VenturesがTONエコシステム初のDuckChainに参画、EVMとTe...

TONScale LabsとArbitrumによって開発されたDuckChainが、TONエコシステムの新たなコンシューマーレイヤーとして登場。テストネットで1000万件以上のトランザクション実績を持ち、Telegramのスター決済システムとEVM互換性を組み合わせることで、数十億のユーザーをWeb3に導く革新的なプラットフォームを目指している。

レッドクリフが多機能ドローンショー機体RiFF-JPを発表、従来機の2倍の性能と多彩な演出機能で新たな可能性を追求

レッドクリフが多機能ドローンショー機体RiFF-JPを発表、従来機の2倍の性能と多彩な演出機能...

レッドクリフはInter BEE 2024において多機能ドローンショー機体RiFF-JPを国内初公開する。最新機RiFF-JPは従来機EMO-JPと比較して飛行時間最長39分、最大飛行速度20m/sと約2倍のパフォーマンスを実現。花火やスモーク、レーザーなど多彩なモジュールに対応し、教育用プログラミング機体Hula-JPも展示予定だ。

レッドクリフが多機能ドローンショー機体RiFF-JPを発表、従来機の2倍の性能と多彩な演出機能...

レッドクリフはInter BEE 2024において多機能ドローンショー機体RiFF-JPを国内初公開する。最新機RiFF-JPは従来機EMO-JPと比較して飛行時間最長39分、最大飛行速度20m/sと約2倍のパフォーマンスを実現。花火やスモーク、レーザーなど多彩なモジュールに対応し、教育用プログラミング機体Hula-JPも展示予定だ。

テクトロニクスがTICPシリーズIsoVuとEA-PSB 20000 Tripleを発表、電力測定の正確性と効率性が大幅に向上

テクトロニクスがTICPシリーズIsoVuとEA-PSB 20000 Tripleを発表、電力...

テクトロニクスは2024年11月12日、RFアイソレーション技術を採用した業界初のTICPシリーズIsoVuアイソレーション型電流プローブと3チャンネル双方向電源EA-PSB 20000 Tripleシリーズを発表した。TICPシリーズは最高1GHzの周波数帯域で広範な電流測定が可能で、EA-PSB 20000 Tripleは最大96%のエネルギー回生効率を実現している。

テクトロニクスがTICPシリーズIsoVuとEA-PSB 20000 Tripleを発表、電力...

テクトロニクスは2024年11月12日、RFアイソレーション技術を採用した業界初のTICPシリーズIsoVuアイソレーション型電流プローブと3チャンネル双方向電源EA-PSB 20000 Tripleシリーズを発表した。TICPシリーズは最高1GHzの周波数帯域で広範な電流測定が可能で、EA-PSB 20000 Tripleは最大96%のエネルギー回生効率を実現している。

東京電力エナジーパートナーがSprocketを導入、顧客体験向上とOne to Oneマーケティングの精緻化を実現

東京電力エナジーパートナーがSprocketを導入、顧客体験向上とOne to Oneマーケテ...

東京電力エナジーパートナーがCX改善プラットフォームSprocketを導入し、行動履歴によるメッセージ出し分け、会員サイトログイン後のページ情報による出し分け、オプトイン誘導、ゼロパーティデータ収集と他チャネル配信への活用という4つの施策を実施。解約率の2%低下やサービス契約率の向上など、具体的な成果を上げている。

東京電力エナジーパートナーがSprocketを導入、顧客体験向上とOne to Oneマーケテ...

東京電力エナジーパートナーがCX改善プラットフォームSprocketを導入し、行動履歴によるメッセージ出し分け、会員サイトログイン後のページ情報による出し分け、オプトイン誘導、ゼロパーティデータ収集と他チャネル配信への活用という4つの施策を実施。解約率の2%低下やサービス契約率の向上など、具体的な成果を上げている。

やる気スイッチグループがHALLOプログラミング教室の馬事公苑校を開校、世田谷初のフラッグシップ教室として本格展開へ

やる気スイッチグループがHALLOプログラミング教室の馬事公苑校を開校、世田谷初のフラッグシッ...

やる気スイッチグループとPreferred Networksの合弁会社YPスイッチが、プログラミング教育HALLOの馬事公苑校を2024年11月30日に開校する。PFN開発のプログラミング教材Playgramを使用し、年長から中学3年生を対象に、講師1名に対し生徒3名までの小集団個別指導を実施。自宅学習、週1回のレッスン、月1回の発表という学習サイクルで、効率的な学びを提供する。

やる気スイッチグループがHALLOプログラミング教室の馬事公苑校を開校、世田谷初のフラッグシッ...

やる気スイッチグループとPreferred Networksの合弁会社YPスイッチが、プログラミング教育HALLOの馬事公苑校を2024年11月30日に開校する。PFN開発のプログラミング教材Playgramを使用し、年長から中学3年生を対象に、講師1名に対し生徒3名までの小集団個別指導を実施。自宅学習、週1回のレッスン、月1回の発表という学習サイクルで、効率的な学びを提供する。

メディアオーパスプラスと英俊社とNTT ExCパートナーが兵庫県公立高校入試向けWeb講座を開始、3社協業で受験生の学習支援を強化

メディアオーパスプラスと英俊社とNTT ExCパートナーが兵庫県公立高校入試向けWeb講座を開...

メディアオーパスプラス、英俊社、NTT ExCパートナーの3社は2024年12月3日開講予定の兵庫県公立高等学校入試直前対策Web講座の販売を11月12日より開始した。本講座は英俊社の過去問題集と予想問題集を指定書籍として活用し、受験生の効果的な入試対策をサポートする。個人での申し込みは公式サイトからのオンライン販売のみとなり、提携学習塾や各種団体を通じた申し込みも可能だ。

メディアオーパスプラスと英俊社とNTT ExCパートナーが兵庫県公立高校入試向けWeb講座を開...

メディアオーパスプラス、英俊社、NTT ExCパートナーの3社は2024年12月3日開講予定の兵庫県公立高等学校入試直前対策Web講座の販売を11月12日より開始した。本講座は英俊社の過去問題集と予想問題集を指定書籍として活用し、受験生の効果的な入試対策をサポートする。個人での申し込みは公式サイトからのオンライン販売のみとなり、提携学習塾や各種団体を通じた申し込みも可能だ。

SnykがProbelyを買収、LLMを活用したアプリケーション向けのAPIセキュリティテストが強化

SnykがProbelyを買収、LLMを活用したアプリケーション向けのAPIセキュリティテストが強化

Snyk株式会社が動的アプリケーションセキュリティテストプロバイダーProbelyを買収し、APIセキュリティテストとWebアプリケーションテストを強化。LLMを活用したアプリケーション開発において重要性が高まるAPIセキュリティに対応し、開発者向けの包括的なセキュリティソリューションを提供。Security Headersなどの無料ツールも提供され、多層防御アプローチの実現が可能に。

SnykがProbelyを買収、LLMを活用したアプリケーション向けのAPIセキュリティテストが強化

Snyk株式会社が動的アプリケーションセキュリティテストプロバイダーProbelyを買収し、APIセキュリティテストとWebアプリケーションテストを強化。LLMを活用したアプリケーション開発において重要性が高まるAPIセキュリティに対応し、開発者向けの包括的なセキュリティソリューションを提供。Security Headersなどの無料ツールも提供され、多層防御アプローチの実現が可能に。

スパトレが防衛装備庁へ対面英会話研修を提供開始、国際的な技術協力に向けた英語運用能力の向上へ

スパトレが防衛装備庁へ対面英会話研修を提供開始、国際的な技術協力に向けた英語運用能力の向上へ

スパトレ株式会社は防衛装備庁の職員向けに対面英会話研修の提供を2024年11月11日に開始した。会議英語や交渉スキルに重点を置き、実務内容に合わせたカリキュラムと事前のレベルテストを導入することで、即戦力となる英会話力の養成を目指す。実際の業務シーンを想定したロールプレイやディスカッションを通じて、国際会議や共同研究で求められる高度な英語力の習得を支援する。

スパトレが防衛装備庁へ対面英会話研修を提供開始、国際的な技術協力に向けた英語運用能力の向上へ

スパトレ株式会社は防衛装備庁の職員向けに対面英会話研修の提供を2024年11月11日に開始した。会議英語や交渉スキルに重点を置き、実務内容に合わせたカリキュラムと事前のレベルテストを導入することで、即戦力となる英会話力の養成を目指す。実際の業務シーンを想定したロールプレイやディスカッションを通じて、国際会議や共同研究で求められる高度な英語力の習得を支援する。

ビッグローブがZuoraによる課金システムを刷新、バックオフィス業務の効率化と拡張性の強化を実現

ビッグローブがZuoraによる課金システムを刷新、バックオフィス業務の効率化と拡張性の強化を実現

ビッグローブがサブスクリプション・ビジネスの収益化プラットフォームZuoraを採用し、35年間使用してきた課金・請求システムを刷新。Zuora日本データセンター利用の日本初の事例として、バックオフィスの自動化・柔軟性・拡張性を強化。CRMやERPとの統合的な連携により、顧客ニーズに応じた多彩な決済方法への対応と信頼性の高いサービス提供を実現する。

ビッグローブがZuoraによる課金システムを刷新、バックオフィス業務の効率化と拡張性の強化を実現

ビッグローブがサブスクリプション・ビジネスの収益化プラットフォームZuoraを採用し、35年間使用してきた課金・請求システムを刷新。Zuora日本データセンター利用の日本初の事例として、バックオフィスの自動化・柔軟性・拡張性を強化。CRMやERPとの統合的な連携により、顧客ニーズに応じた多彩な決済方法への対応と信頼性の高いサービス提供を実現する。

VMwareがデスクトップ仮想化製品を完全無償化、WorkstationとFusionが商用・教育用でも無料に

VMwareがデスクトップ仮想化製品を完全無償化、WorkstationとFusionが商用・...

VMwareは2024年11月11日、デスクトップ向け仮想化製品のVMware WorkstationとVMware Fusionを完全無償化すると発表した。2024年5月から開始していた個人利用の無償化をさらに拡大し、商用利用や教育用途でも無償で利用可能となる。これに伴いWorkstation ProとFusion Proの有償版は新規販売を終了し、サポートはコミュニティベースで提供される。

VMwareがデスクトップ仮想化製品を完全無償化、WorkstationとFusionが商用・...

VMwareは2024年11月11日、デスクトップ向け仮想化製品のVMware WorkstationとVMware Fusionを完全無償化すると発表した。2024年5月から開始していた個人利用の無償化をさらに拡大し、商用利用や教育用途でも無償で利用可能となる。これに伴いWorkstation ProとFusion Proの有償版は新規販売を終了し、サポートはコミュニティベースで提供される。

【CVE-2024-47361】WordPressプラグインElementor Addon Elements 1.13.6以前に深刻なアクセス制御の脆弱性が発見

【CVE-2024-47361】WordPressプラグインElementor Addon E...

WPVibesが提供するWordPressプラグインElementor Addon Elementsにおいて、バージョン1.13.6以前に重大なアクセス制御の脆弱性が発見された。CVE-2024-47361として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度を持ち、攻撃の複雑さは低いとされている。既にバージョン1.13.7で修正が実施されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47361】WordPressプラグインElementor Addon E...

WPVibesが提供するWordPressプラグインElementor Addon Elementsにおいて、バージョン1.13.6以前に重大なアクセス制御の脆弱性が発見された。CVE-2024-47361として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度を持ち、攻撃の複雑さは低いとされている。既にバージョン1.13.7で修正が実施されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47314】WordPressのSunshine Photo Cart 3.2.8でアクセス制御の脆弱性が発見、早急な更新が必要に

【CVE-2024-47314】WordPressのSunshine Photo Cart 3...

WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。

【CVE-2024-47314】WordPressのSunshine Photo Cart 3...

WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。

【CVE-2024-47311】WordPressプラグインWheel of Life 1.1.8にアクセス制御の脆弱性、認証回避のリスクに注意

【CVE-2024-47311】WordPressプラグインWheel of Life 1.1...

Kraft PluginsのWordPressプラグインWheel of Lifeにおいて、認証回避による重大な脆弱性が発見された。CVE-2024-47311として識別されるこの問題は、CWE-862のMissing Authorizationに分類され、CVSSスコア5.3(MEDIUM)と評価されている。影響を受けるバージョンは1.1.8以前で、バージョン1.1.9で修正済み。早急なアップデートが推奨される。

【CVE-2024-47311】WordPressプラグインWheel of Life 1.1...

Kraft PluginsのWordPressプラグインWheel of Lifeにおいて、認証回避による重大な脆弱性が発見された。CVE-2024-47311として識別されるこの問題は、CWE-862のMissing Authorizationに分類され、CVSSスコア5.3(MEDIUM)と評価されている。影響を受けるバージョンは1.1.8以前で、バージョン1.1.9で修正済み。早急なアップデートが推奨される。

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユーザープロファイル間のデータアクセスに関する問題が発覚

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユー...

Samsung MobileのContactsアプリに深刻な脆弱性が発見された。SMR Nov-2024 Release 1以前のバージョンで、物理的な攻撃者によって異なるユーザープロファイル間のデータにアクセスされる可能性がある。CVSSスコアは4.6(MEDIUM)と評価され、Android 12、13、14の各バージョンに影響。SMR Nov-2024 Release 1で修正予定であり、早急なアップデートが推奨される。

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユー...

Samsung MobileのContactsアプリに深刻な脆弱性が発見された。SMR Nov-2024 Release 1以前のバージョンで、物理的な攻撃者によって異なるユーザープロファイル間のデータにアクセスされる可能性がある。CVSSスコアは4.6(MEDIUM)と評価され、Android 12、13、14の各バージョンに影響。SMR Nov-2024 Release 1で修正予定であり、早急なアップデートが推奨される。

【CVE-2024-47321】WordPress用プラグインWP Datepicker 2.1.1に権限管理の脆弱性、システムへの不正アクセスのリスクが発生

【CVE-2024-47321】WordPress用プラグインWP Datepicker 2....

WordPress用プラグインWP Datepickerにおいて、アクセス制御機能が適切に実装されていない脆弱性が発見された。CVE-2024-47321として識別されるこの脆弱性は、バージョン2.1.1以前に影響し、CVSS v3.1で6.5(Medium)と評価されている。特別な権限や利用者の操作なしにシステムにアクセス可能となる深刻な問題であり、開発元は修正版となるバージョン2.1.2をリリースしている。

【CVE-2024-47321】WordPress用プラグインWP Datepicker 2....

WordPress用プラグインWP Datepickerにおいて、アクセス制御機能が適切に実装されていない脆弱性が発見された。CVE-2024-47321として識別されるこの脆弱性は、バージョン2.1.1以前に影響し、CVSS v3.1で6.5(Medium)と評価されている。特別な権限や利用者の操作なしにシステムにアクセス可能となる深刻な問題であり、開発元は修正版となるバージョン2.1.2をリリースしている。

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発見、システム特権取得のリスクが明らかに

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発...

オープンソースのデータ可視化分析ツールDataEaseにおいて、PostgreSQLデータソースのJDBC接続パラメータに関する深刻な脆弱性が発見された。PgConfigurationクラスがパラメータをフィルタリングせずに直接結合する仕様により、攻撃者がシステム特権を取得できる状態にあった。CVSSスコア9.3の重大な脆弱性は、バージョン1.18.25で修正されている。

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発...

オープンソースのデータ可視化分析ツールDataEaseにおいて、PostgreSQLデータソースのJDBC接続パラメータに関する深刻な脆弱性が発見された。PgConfigurationクラスがパラメータをフィルタリングせずに直接結合する仕様により、攻撃者がシステム特権を取得できる状態にあった。CVSSスコア9.3の重大な脆弱性は、バージョン1.18.25で修正されている。

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失敗によるDoS攻撃のリスクが浮上

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失...

h2oサーバで重要な脆弱性【CVE-2024-45403】が発見された。リバースプロキシ構成時にHTTP/3リクエストがキャンセルされるとアサーション失敗によるクラッシュが発生し、DoS攻撃に悪用される可能性がある。h2oスタンドアロンサーバはデフォルトで自動再起動するが、並行処理中のリクエストは影響を受ける。commit 1ed32b2で修正済みだが、一時的な対策としてHTTP/3の無効化も可能。

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失...

h2oサーバで重要な脆弱性【CVE-2024-45403】が発見された。リバースプロキシ構成時にHTTP/3リクエストがキャンセルされるとアサーション失敗によるクラッシュが発生し、DoS攻撃に悪用される可能性がある。h2oスタンドアロンサーバはデフォルトで自動再起動するが、並行処理中のリクエストは影響を受ける。commit 1ed32b2で修正済みだが、一時的な対策としてHTTP/3の無効化も可能。

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可機能の脆弱性、アクセス制御の不備により権限管理に問題

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可...

WordPressプラグインDepicter Sliderにおいて、アクセス制御リストによって適切に制限されていない機能にアクセスできる脆弱性が発見された。バージョン3.2.2以前が影響を受け、CVSSスコアは5.3でミディアムレベルの深刻度とされている。この問題はCWE-862のMissing Authorizationに分類され、Patchstack社を通じて報告された。修正版のバージョン3.5.0が公開されており、ユーザーは早急なアップデートが推奨されている。

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可...

WordPressプラグインDepicter Sliderにおいて、アクセス制御リストによって適切に制限されていない機能にアクセスできる脆弱性が発見された。バージョン3.2.2以前が影響を受け、CVSSスコアは5.3でミディアムレベルの深刻度とされている。この問題はCWE-862のMissing Authorizationに分類され、Patchstack社を通じて報告された。修正版のバージョン3.5.0が公開されており、ユーザーは早急なアップデートが推奨されている。

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19.2で認証の脆弱性が発見、アクセス制御機能の不備により権限制御が不十分に

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...

Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト(ACL)による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...

Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト(ACL)による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱性、バージョン3.1.2以前のユーザーに影響

【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱...

WordPressのTemplatelyプラグインにおいて、バージョン3.1.2以前に重大な認証の脆弱性が発見された。Missing Authorization脆弱性として確認されたこの問題は、アクセスコントロールリスト(ACL)による適切な制御が不足しており、CVSSスコア6.5を記録。影響を受けるユーザーには、脆弱性が修正されたバージョン3.1.3へのアップデートが推奨される。

【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱...

WordPressのTemplatelyプラグインにおいて、バージョン3.1.2以前に重大な認証の脆弱性が発見された。Missing Authorization脆弱性として確認されたこの問題は、アクセスコントロールリスト(ACL)による適切な制御が不足しており、CVSSスコア6.5を記録。影響を受けるユーザーには、脆弱性が修正されたバージョン3.1.3へのアップデートが推奨される。

【CVE-2024-45396】QuiclyにDoS攻撃の脆弱性が発見、アサーション失敗でプロセスがクラッシュする危険性

【CVE-2024-45396】QuiclyにDoS攻撃の脆弱性が発見、アサーション失敗でプロ...

GitHubは2024年10月11日、IETF QUICプロトコル実装のQuiclyに重大な脆弱性を発見したと発表した。この脆弱性はCVE-2024-45396として識別され、リモートからの攻撃でアサーション失敗を引き起こしプロセスをクラッシュさせることが可能。CVSSスコアは7.5(HIGH)で、特権不要かつ攻撃条件も複雑ではないため、早急な対応が求められる。

【CVE-2024-45396】QuiclyにDoS攻撃の脆弱性が発見、アサーション失敗でプロ...

GitHubは2024年10月11日、IETF QUICプロトコル実装のQuiclyに重大な脆弱性を発見したと発表した。この脆弱性はCVE-2024-45396として識別され、リモートからの攻撃でアサーション失敗を引き起こしプロセスをクラッシュさせることが可能。CVSSスコアは7.5(HIGH)で、特権不要かつ攻撃条件も複雑ではないため、早急な対応が求められる。

【CVE-2024-43928】WordPressのJobSearch Plugin 2.5.4にアクセス制御の脆弱性が発見、早急な対応が必要に

【CVE-2024-43928】WordPressのJobSearch Plugin 2.5....

WordPressのJobSearch Plugin 2.5.4以前のバージョンにおいて、アクセス制御に関する重大な脆弱性が発見された。CVE-2024-43928として識別されたこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価され、認証機能の不備によりセキュリティレベルに問題が生じている。影響を受けるバージョンは2.5.4以前のすべてのバージョンであり、管理者は速やかなアップデートが推奨される。

【CVE-2024-43928】WordPressのJobSearch Plugin 2.5....

WordPressのJobSearch Plugin 2.5.4以前のバージョンにおいて、アクセス制御に関する重大な脆弱性が発見された。CVE-2024-43928として識別されたこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価され、認証機能の不備によりセキュリティレベルに問題が生じている。影響を受けるバージョンは2.5.4以前のすべてのバージョンであり、管理者は速やかなアップデートが推奨される。