Tech Insights
【CVE-2024-9486】Kubernetes Image Builder v0.1.37...
Kubernetes Image Builder v0.1.37以前のバージョンで、Proxmoxプロバイダーを使用したVMイメージにデフォルト認証情報が残存する重大な脆弱性が発見された。CVSSスコア9.8のCRITICALレベルで、root権限でのアクセスが可能となるリスクがある。v0.1.38で修正されており、影響を受けるシステムの緊急アップデートが推奨される。
【CVE-2024-9486】Kubernetes Image Builder v0.1.37...
Kubernetes Image Builder v0.1.37以前のバージョンで、Proxmoxプロバイダーを使用したVMイメージにデフォルト認証情報が残存する重大な脆弱性が発見された。CVSSスコア9.8のCRITICALレベルで、root権限でのアクセスが可能となるリスクがある。v0.1.38で修正されており、影響を受けるシステムの緊急アップデートが推奨される。
【CVE-2024-45085】IBM WebSphere Application Serve...
IBMは2024年10月15日、WebSphere Application Server 8.5において特定の設定下でサービス拒否攻撃が可能となる脆弱性を公開した。CVSSスコア5.9の中程度の深刻度と評価され、リモートからの攻撃により予期せぬエラーを引き起こしサービスの停止につながる可能性がある。既知の攻撃は確認されていないものの、システム管理者は適切なパッチ適用などの対策が必要となる。
【CVE-2024-45085】IBM WebSphere Application Serve...
IBMは2024年10月15日、WebSphere Application Server 8.5において特定の設定下でサービス拒否攻撃が可能となる脆弱性を公開した。CVSSスコア5.9の中程度の深刻度と評価され、リモートからの攻撃により予期せぬエラーを引き起こしサービスの停止につながる可能性がある。既知の攻撃は確認されていないものの、システム管理者は適切なパッチ適用などの対策が必要となる。
【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...
MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。
【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...
MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。
【CVE-2024-38204】Microsoft Azure FunctionsでImagi...
MicrosoftはImagine Cup Siteにおいて深刻な情報漏洩の脆弱性を発見した。CVE-2024-38204として識別されたこの脆弱性は、認可された攻撃者がネットワーク経由で権限を昇格させることを可能にする。CVSSスコア7.5を記録し、攻撃の自動化も可能なため、早急な対策が求められている。
【CVE-2024-38204】Microsoft Azure FunctionsでImagi...
MicrosoftはImagine Cup Siteにおいて深刻な情報漏洩の脆弱性を発見した。CVE-2024-38204として識別されたこの脆弱性は、認可された攻撃者がネットワーク経由で権限を昇格させることを可能にする。CVSSスコア7.5を記録し、攻撃の自動化も可能なため、早急な対策が求められている。
【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻...
WordPress用プラグインMega Elementsの1.2.6以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、攻撃の難易度は低いとされている。Kraftplugins社は迅速に対応し、バージョン1.2.7で修正を完了。ユーザーには最新バージョンへのアップデートが推奨される。
【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻...
WordPress用プラグインMega Elementsの1.2.6以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、攻撃の難易度は低いとされている。Kraftplugins社は迅速に対応し、バージョン1.2.7で修正を完了。ユーザーには最新バージョンへのアップデートが推奨される。
INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万...
INSTANTROOM株式会社が運営するフリーランスボードが2024年11月の市場動向を発表。17万件以上の案件を分析した結果、フリーランスエンジニアの月額平均単価は72.1万円で、最高単価は320万円を記録。開発言語別ではRustが82.9万円で最高額となり、フレームワークではRSpecが86.4万円を記録。リモートワーク比率は87.3%に達し、柔軟な働き方が浸透している。
INSTANTROOM株式会社がフリーランスエンジニアの市場動向を発表、月額平均単価72.1万...
INSTANTROOM株式会社が運営するフリーランスボードが2024年11月の市場動向を発表。17万件以上の案件を分析した結果、フリーランスエンジニアの月額平均単価は72.1万円で、最高単価は320万円を記録。開発言語別ではRustが82.9万円で最高額となり、フレームワークではRSpecが86.4万円を記録。リモートワーク比率は87.3%に達し、柔軟な働き方が浸透している。
【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...
Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。
【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...
Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。
【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...
WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。
【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...
WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。
【CVE-2024-50440】WordPress用プラグインCodePen Embedded...
Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明した。CVSSスコアは6.5(中)で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。
【CVE-2024-50440】WordPress用プラグインCodePen Embedded...
Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明した。CVSSスコアは6.5(中)で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。
【CVE-2024-50448】YITH WooCommerce Product Add-On...
YITH WooCommerce Product Add-Onsのバージョン4.14.1以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1の高リスクと評価されており、攻撃者はネットワークを介して特権なしで攻撃を実行可能。YITHは修正パッチを含むバージョン4.14.2をリリースしており、影響を受ける可能性のあるユーザーには直ちにアップデートが推奨される。
【CVE-2024-50448】YITH WooCommerce Product Add-On...
YITH WooCommerce Product Add-Onsのバージョン4.14.1以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1の高リスクと評価されており、攻撃者はネットワークを介して特権なしで攻撃を実行可能。YITHは修正パッチを含むバージョン4.14.2をリリースしており、影響を受ける可能性のあるユーザーには直ちにアップデートが推奨される。
【CVE-2024-50445】WordPress Selection Lite 1.13にX...
WordPress用プラグインSelection Liteにおいて、バージョン1.13以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、特権ユーザーによる攻撃が可能な状態。開発元のMerkulove社はバージョン1.14で修正を実施しており、影響を受けるユーザーには速やかなアップデートを推奨している。
【CVE-2024-50445】WordPress Selection Lite 1.13にX...
WordPress用プラグインSelection Liteにおいて、バージョン1.13以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、特権ユーザーによる攻撃が可能な状態。開発元のMerkulove社はバージョン1.14で修正を実施しており、影響を受けるユーザーには速やかなアップデートを推奨している。
【CVE-2024-50446】WordPressプラグインFuturio Extraにストア...
WordPressプラグインFuturio Extraにおいて、Webページ生成時の入力の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-50446】として識別され、CVSS v3.1で深刻度6.5(中程度)と評価されている。バージョン2.0.11以前のユーザーには、修正版となる2.0.12へのアップデートが推奨される。
【CVE-2024-50446】WordPressプラグインFuturio Extraにストア...
WordPressプラグインFuturio Extraにおいて、Webページ生成時の入力の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-50446】として識別され、CVSS v3.1で深刻度6.5(中程度)と評価されている。バージョン2.0.11以前のユーザーには、修正版となる2.0.12へのアップデートが推奨される。
【CVE-2024-50334】Scooldに認証バイパスの脆弱性、設定データへの不正アクセス...
Q&Aプラットフォームのscooldにおいて、/api;/configエンドポイントでセミコロンパス注入の脆弱性が発見された。URLにセミコロンを追加することで認証をバイパスし、HOCONファイルインクルージョンを介して設定ファイルなどの機密情報を取得可能。Scoold 1.64.0で修正済みだが、それ以前のバージョンではAPIの無効化による対応が必要となる。
【CVE-2024-50334】Scooldに認証バイパスの脆弱性、設定データへの不正アクセス...
Q&Aプラットフォームのscooldにおいて、/api;/configエンドポイントでセミコロンパス注入の脆弱性が発見された。URLにセミコロンを追加することで認証をバイパスし、HOCONファイルインクルージョンを介して設定ファイルなどの機密情報を取得可能。Scoold 1.64.0で修正済みだが、それ以前のバージョンではAPIの無効化による対応が必要となる。
【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロー...
WordPressプラグインFileOrganizerの1.0.9以前のバージョンにおいて、認証済みユーザー(Subscriber以上)が悪用可能な任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVSS基本スコア7.5と評価される重要な問題であり、リモートコード実行の可能性を含む。FileOrganizer Proプラグインがインストールされアクティブな状態である必要があるものの、早急な対応が求められる。
【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロー...
WordPressプラグインFileOrganizerの1.0.9以前のバージョンにおいて、認証済みユーザー(Subscriber以上)が悪用可能な任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVSS基本スコア7.5と評価される重要な問題であり、リモートコード実行の可能性を含む。FileOrganizer Proプラグインがインストールされアクティブな状態である必要があるものの、早急な対応が求められる。
【CVE-2024-49679】WPKoi Templates for Elementorにク...
WordPressのプラグインWPKoi Templates for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-49679として識別されるこの脆弱性は、バージョン3.1.0以前に影響を与え、CVSSスコア5.9と評価される。高い権限を持つユーザーのみが影響を受けるが、攻撃が成功すると重大な被害につながる可能性があるため、バージョン3.1.1への早急なアップデートが推奨される。
【CVE-2024-49679】WPKoi Templates for Elementorにク...
WordPressのプラグインWPKoi Templates for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-49679として識別されるこの脆弱性は、バージョン3.1.0以前に影響を与え、CVSSスコア5.9と評価される。高い権限を持つユーザーのみが影響を受けるが、攻撃が成功すると重大な被害につながる可能性があるため、バージョン3.1.1への早急なアップデートが推奨される。
【CVE-2024-49672】WordPress Google Docs RSVPプラグイン...
WordPress用プラグイン「Google Docs RSVP」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン2.0.1以前が影響を受け、CVSSスコアは7.1(High)と評価されている。この脆弱性は悪用されるとストアドXSSにつながる可能性があり、早急なアップデートが推奨される。Patchstack Allianceに所属するSOPROBROによって発見され、対策として最新版への更新が必要とされている。
【CVE-2024-49672】WordPress Google Docs RSVPプラグイン...
WordPress用プラグイン「Google Docs RSVP」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン2.0.1以前が影響を受け、CVSSスコアは7.1(High)と評価されている。この脆弱性は悪用されるとストアドXSSにつながる可能性があり、早急なアップデートが推奨される。Patchstack Allianceに所属するSOPROBROによって発見され、対策として最新版への更新が必要とされている。
【CVE-2024-46872】Mattermostの複数バージョンにCSRF脆弱性、Play...
Mattermost社が複数バージョンに影響を与えるセキュリティ脆弱性を公開した。Playbooks機能においてフロントエンドでのユーザー入力の検証が不適切であり、クライアントサイドパストラバーサルによってCSRFを引き起こす可能性が判明。影響を受けるバージョンは9.10.x、9.11.x、9.5.x系列の特定バージョンで、CVSSスコアは4.6(MEDIUM)と評価されている。早急なアップデートが推奨される。
【CVE-2024-46872】Mattermostの複数バージョンにCSRF脆弱性、Play...
Mattermost社が複数バージョンに影響を与えるセキュリティ脆弱性を公開した。Playbooks機能においてフロントエンドでのユーザー入力の検証が不適切であり、クライアントサイドパストラバーサルによってCSRFを引き起こす可能性が判明。影響を受けるバージョンは9.10.x、9.11.x、9.5.x系列の特定バージョンで、CVSSスコアは4.6(MEDIUM)と評価されている。早急なアップデートが推奨される。
【CVE-2024-44038】WordPress用Sunshine Photo Cart 3...
Patchstack OÜはWordPress用プラグインSunshine Photo Cartのバージョン3.2.9以前に存在するアクセス制御の脆弱性を報告した。CVE-2024-44038として識別されるこの脆弱性は、認証機能の不備により保護されたリソースへの不正アクセスを許してしまう可能性がある。CVSSスコアは5.3(MEDIUM)と評価され、バージョン3.2.10への更新で修正されている。
【CVE-2024-44038】WordPress用Sunshine Photo Cart 3...
Patchstack OÜはWordPress用プラグインSunshine Photo Cartのバージョン3.2.9以前に存在するアクセス制御の脆弱性を報告した。CVE-2024-44038として識別されるこの脆弱性は、認証機能の不備により保護されたリソースへの不正アクセスを許してしまう可能性がある。CVSSスコアは5.3(MEDIUM)と評価され、バージョン3.2.10への更新で修正されている。
【CVE-2024-43974】WordPressテーマReviveNews 1.0.2に認可...
WordPressテーマReviveNewsにおいて重大な認可制御の脆弱性が発見された。CVE-2024-43974として識別されるこの脆弱性は、バージョン1.0.2以前のすべてのバージョンに影響を与え、CVSS v3.1で6.5(中程度)と評価されている。攻撃者は認証なしでシステムに対して攻撃を実行できる可能性があり、早急なアップデートが推奨される。
【CVE-2024-43974】WordPressテーマReviveNews 1.0.2に認可...
WordPressテーマReviveNewsにおいて重大な認可制御の脆弱性が発見された。CVE-2024-43974として識別されるこの脆弱性は、バージョン1.0.2以前のすべてのバージョンに影響を与え、CVSS v3.1で6.5(中程度)と評価されている。攻撃者は認証なしでシステムに対して攻撃を実行できる可能性があり、早急なアップデートが推奨される。
【CVE-2024-43956】WordPressプラグインMemberPress 1.11....
Patchstack OÜがWordPressプラグインMemberPress 1.11.34以前のバージョンに認証の脆弱性を発見。CVSSスコア6.5のミディアム評価で、特別な権限なしでネットワーク経由の攻撃が可能。アクセス制御機能の不備により、本来制限すべき機能への不正アクセスのリスクが指摘されている。Caseproof, LLCはバージョン1.11.35で修正を実施。
【CVE-2024-43956】WordPressプラグインMemberPress 1.11....
Patchstack OÜがWordPressプラグインMemberPress 1.11.34以前のバージョンに認証の脆弱性を発見。CVSSスコア6.5のミディアム評価で、特別な権限なしでネットワーク経由の攻撃が可能。アクセス制御機能の不備により、本来制限すべき機能への不正アクセスのリスクが指摘されている。Caseproof, LLCはバージョン1.11.35で修正を実施。
【CVE-2024-44006】WooCommerce Multilingual & Mult...
OnTheGoSystemsが開発するWooCommerce Multilingual & Multicurrencyプラグインにおいて、認証に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-44006】として識別され、CVSSスコア4.3のミディアムレベルと評価されている。バージョン5.3.7で修正パッチが適用され、全てのユーザーに対して最新バージョンへのアップデートが推奨される。
【CVE-2024-44006】WooCommerce Multilingual & Mult...
OnTheGoSystemsが開発するWooCommerce Multilingual & Multicurrencyプラグインにおいて、認証に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-44006】として識別され、CVSSスコア4.3のミディアムレベルと評価されている。バージョン5.3.7で修正パッチが適用され、全てのユーザーに対して最新バージョンへのアップデートが推奨される。
【CVE-2024-43982】WordPress用プラグインLogin As Usersにア...
Geek Code LabのWordPress用プラグインLogin As Usersにおいて、バージョン1.4.3以前に深刻な脆弱性が発見された。CVE-2024-43982として識別されるこの問題は、アクセス制御の設定が不適切であることによってアカウント乗っ取りの可能性があり、CVSSスコア8.8と高い深刻度を示している。対策としてバージョン1.4.4へのアップデートが提供されている。
【CVE-2024-43982】WordPress用プラグインLogin As Usersにア...
Geek Code LabのWordPress用プラグインLogin As Usersにおいて、バージョン1.4.3以前に深刻な脆弱性が発見された。CVE-2024-43982として識別されるこの問題は、アクセス制御の設定が不適切であることによってアカウント乗っ取りの可能性があり、CVSSスコア8.8と高い深刻度を示している。対策としてバージョン1.4.4へのアップデートが提供されている。
【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆...
CozyThemes社のWordPressテーマFotaWP 1.4.1以前のバージョンにおいて権限管理の脆弱性が発見された。CVE-2024-43980として識別されたこの問題は、アクセス制御の設定が不適切であり、CVSSスコア6.5(MEDIUM)と評価されている。Patchstack Allianceのメンバーによって発見され、バージョン1.4.2で修正された本脆弱性は、不正アクセスのリスクを抱えている。
【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆...
CozyThemes社のWordPressテーマFotaWP 1.4.1以前のバージョンにおいて権限管理の脆弱性が発見された。CVE-2024-43980として識別されたこの問題は、アクセス制御の設定が不適切であり、CVSSスコア6.5(MEDIUM)と評価されている。Patchstack Allianceのメンバーによって発見され、バージョン1.4.2で修正された本脆弱性は、不正アクセスのリスクを抱えている。
【CVE-2024-10761】Umbraco CMS 12.3.6にクロスサイトスクリプティ...
VulDBは2024年11月4日、Umbraco CMS 12.3.6のダッシュボードにクロスサイトスクリプティングの脆弱性が存在することを公開した。脆弱性は/Umbraco/preview/frameのidパラメータに関連し、culture引数の操作により攻撃が可能となる。CVSSスコアは5.3(中程度)で、リモートからの攻撃が可能であり、既に詳細が公開されているため早急な対応が求められる。
【CVE-2024-10761】Umbraco CMS 12.3.6にクロスサイトスクリプティ...
VulDBは2024年11月4日、Umbraco CMS 12.3.6のダッシュボードにクロスサイトスクリプティングの脆弱性が存在することを公開した。脆弱性は/Umbraco/preview/frameのidパラメータに関連し、culture引数の操作により攻撃が可能となる。CVSSスコアは5.3(中程度)で、リモートからの攻撃が可能であり、既に詳細が公開されているため早急な対応が求められる。
【CVE-2024-51661】WordPressプラグインMedia Library Ass...
WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。
【CVE-2024-51661】WordPressプラグインMedia Library Ass...
WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。
【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...
Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。
【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...
Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。
【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...
Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。
【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...
Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。
【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...
kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。
【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...
kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。
【CVE-2024-9579】Poly Video Conference Devicesにリモ...
HPは特定のPoly Video Conference Devicesにおいて、ユーザー入力の不適切な処理に起因する脆弱性【CVE-2024-9579】を報告した。この脆弱性はCWE-77(コマンドインジェクション)に分類され、CVSSスコア7.5の高リスクと評価されている。複数の攻撃を組み合わせることでリモートコード実行が可能となり、システムの機密性・整合性・可用性に重大な影響を及ぼす可能性がある。
【CVE-2024-9579】Poly Video Conference Devicesにリモ...
HPは特定のPoly Video Conference Devicesにおいて、ユーザー入力の不適切な処理に起因する脆弱性【CVE-2024-9579】を報告した。この脆弱性はCWE-77(コマンドインジェクション)に分類され、CVSSスコア7.5の高リスクと評価されている。複数の攻撃を組み合わせることでリモートコード実行が可能となり、システムの機密性・整合性・可用性に重大な影響を及ぼす可能性がある。
【CVE-2024-50114】Linuxカーネルarm64 KVMの脆弱性、メモリ管理の問題...
Linuxカーネルのarm64向けKVMにおいて、vCPU作成失敗時のメモリ管理に関する重大な脆弱性が発見された。syzkallerによって検出されたこの問題は、vCPUの破棄処理における二段階の実装において、失敗ケースの考慮が不十分だったことが原因である。この脆弱性により、システムのクラッシュや任意のコード実行の可能性が指摘されており、迅速な対応が必要となっている。
【CVE-2024-50114】Linuxカーネルarm64 KVMの脆弱性、メモリ管理の問題...
Linuxカーネルのarm64向けKVMにおいて、vCPU作成失敗時のメモリ管理に関する重大な脆弱性が発見された。syzkallerによって検出されたこの問題は、vCPUの破棄処理における二段階の実装において、失敗ケースの考慮が不十分だったことが原因である。この脆弱性により、システムのクラッシュや任意のコード実行の可能性が指摘されており、迅速な対応が必要となっている。