Tech Insights

【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範囲外読み取りのリスクに対応

【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範...

LinuxカーネルチームはBPF_LINK_TYPEの欠落による範囲外読み取りの脆弱性を修正するアップデートを2024年11月5日に公開した。CVE-2024-50123として識別されるこの問題は、Linux 6.10から6.11.5までのバージョンに影響を与えており、bpf_link_show_fdinfo()関数におけるsockmapリンクfdの範囲外読み取りを引き起こす可能性があった。

【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範...

LinuxカーネルチームはBPF_LINK_TYPEの欠落による範囲外読み取りの脆弱性を修正するアップデートを2024年11月5日に公開した。CVE-2024-50123として識別されるこの問題は、Linux 6.10から6.11.5までのバージョンに影響を与えており、bpf_link_show_fdinfo()関数におけるsockmapリンクfdの範囲外読み取りを引き起こす可能性があった。

【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解放後使用の問題が発覚し修正へ

【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解...

Linuxカーネルのnetfilter bpfコンポーネントにおいて、ネットワークネームスペースの参照保持に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-50130】として識別され、bpf_nf_link_releaseでの__nf_unregister_net_hookの処理においてメモリの解放後使用の問題が発生する。影響を受けるバージョンは6.4から6.6.58、6.11.5まで、6.12-rc4以前となっている。

【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解...

Linuxカーネルのnetfilter bpfコンポーネントにおいて、ネットワークネームスペースの参照保持に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-50130】として識別され、bpf_nf_link_releaseでの__nf_unregister_net_hookの処理においてメモリの解放後使用の問題が発生する。影響を受けるバージョンは6.4から6.6.58、6.11.5まで、6.12-rc4以前となっている。

【CVE-2024-50108】Linux kernelでPSR-SU機能の不具合が発覚、一時的な機能無効化で対応へ

【CVE-2024-50108】Linux kernelでPSR-SU機能の不具合が発覚、一時...

Linux kernelにおいて、Parade 08-01 TCONデバイスでPSR-SU機能を使用した際に深刻な不具合が発見された。起動時やフルスクリーンのVA-API動画再生時に約1秒間の黒画面が発生し、dmub_psr_enable()呼び出し時にカーネルの警告が表示される問題が確認されている。開発チームは暫定対策としてPSR-SU機能を無効化し、DMUBトレースの分析による根本的な解決策の策定に取り組んでいる。

【CVE-2024-50108】Linux kernelでPSR-SU機能の不具合が発覚、一時...

Linux kernelにおいて、Parade 08-01 TCONデバイスでPSR-SU機能を使用した際に深刻な不具合が発見された。起動時やフルスクリーンのVA-API動画再生時に約1秒間の黒画面が発生し、dmub_psr_enable()呼び出し時にカーネルの警告が表示される問題が確認されている。開発チームは暫定対策としてPSR-SU機能を無効化し、DMUBトレースの分析による根本的な解決策の策定に取り組んでいる。

【CVE-2024-50110】Linuxカーネルのxfrmコンポーネントに情報漏洩の脆弱性、複数バージョンのセキュリティパッチを緊急リリース

【CVE-2024-50110】Linuxカーネルのxfrmコンポーネントに情報漏洩の脆弱性、...

LinuxカーネルのxfrmコンポーネントにおいてKMSANによるファジングテストにより重大な情報漏洩の脆弱性が発見された。この問題は未初期化メモリ領域の内容がユーザー空間に露出する可能性があり、セキュリティ上の深刻な懸念が示されている。Linux財団は複数のバージョンに対してセキュリティパッチを提供し、構造体のパディングを適切にクリアする修正を実施している。

【CVE-2024-50110】Linuxカーネルのxfrmコンポーネントに情報漏洩の脆弱性、...

LinuxカーネルのxfrmコンポーネントにおいてKMSANによるファジングテストにより重大な情報漏洩の脆弱性が発見された。この問題は未初期化メモリ領域の内容がユーザー空間に露出する可能性があり、セキュリティ上の深刻な懸念が示されている。Linux財団は複数のバージョンに対してセキュリティパッチを提供し、構造体のパディングを適切にクリアする修正を実施している。

【CVE-2024-50113】Linux kernelのFirewire脆弱性が発覚、general protection faultを引き起こす問題に対応

【CVE-2024-50113】Linux kernelのFirewire脆弱性が発覚、gen...

Linux kernelのFirewireコンポーネントに重要な脆弱性が発見された。この問題は3つ以上のポートを持つノードデバイスが1394 OHCIコントローラーに接続された際にgeneral protection faultを引き起こす可能性がある。Linux 6.11および6.12-rc5以降のバージョンで修正パッチが提供され、親デバイスのポートインデックスに正しい値を割り当てる実装の改善が行われている。

【CVE-2024-50113】Linux kernelのFirewire脆弱性が発覚、gen...

Linux kernelのFirewireコンポーネントに重要な脆弱性が発見された。この問題は3つ以上のポートを持つノードデバイスが1394 OHCIコントローラーに接続された際にgeneral protection faultを引き起こす可能性がある。Linux 6.11および6.12-rc5以降のバージョンで修正パッチが提供され、親デバイスのポートインデックスに正しい値を割り当てる実装の改善が行われている。

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、フリースペースツリーの処理に問題

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、...

Linuxカーネルの開発チームが、btrfsファイルシステムにおけるro->rw再構成時の重大な脆弱性を修正した。この脆弱性は、read-onlyからread-writeモードへの切り替え時にNULLポインタ参照を引き起こし、カーネルOopsを発生させる可能性がある。影響を受けるのはLinux 6.8未満のすべてのバージョンで、6.11.6以降および6.12-rc5以降で修正が適用されている。

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、...

Linuxカーネルの開発チームが、btrfsファイルシステムにおけるro->rw再構成時の重大な脆弱性を修正した。この脆弱性は、read-onlyからread-writeモードへの切り替え時にNULLポインタ参照を引き起こし、カーネルOopsを発生させる可能性がある。影響を受けるのはLinux 6.8未満のすべてのバージョンで、6.11.6以降および6.12-rc5以降で修正が適用されている。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザーによるサーバーサイド攻撃のリスクに

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-50136】Linuxカーネルのnet/mlx5モジュールにおける通知解除機能の実装、システムの安定性向上へ

【CVE-2024-50136】Linuxカーネルのnet/mlx5モジュールにおける通知解除...

Linuxカーネルコミュニティが、eswitch初期化失敗時の通知解除機能を実装したアップデートを公開。CVE-2024-50136として識別されるこの問題は、通知の重複登録によるシステムの不安定性を引き起こす可能性があったが、新機能の実装により解決された。影響を受けるLinux 6.6系を含む複数のバージョンに対してパッチが提供され、システムの安定性と信頼性が向上している。

【CVE-2024-50136】Linuxカーネルのnet/mlx5モジュールにおける通知解除...

Linuxカーネルコミュニティが、eswitch初期化失敗時の通知解除機能を実装したアップデートを公開。CVE-2024-50136として識別されるこの問題は、通知の重複登録によるシステムの不安定性を引き起こす可能性があったが、新機能の実装により解決された。影響を受けるLinux 6.6系を含む複数のバージョンに対してパッチが提供され、システムの安定性と信頼性が向上している。

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタクラッシュの脆弱性を修正、複数バージョンでアップデートが必要に

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタ...

LinuxカーネルのLoongArchアーキテクチャにおいて、vDSOがマッピングされていないタスクでstack_top()関数を呼び出した際にシステムがクラッシュする重大な脆弱性が発見された。この問題は特にkthreadなどで発生し、バージョン5.19から6.11の間で影響を受ける。開発チームは6.1.115以降などの複数バージョンで修正パッチをリリースしており、早急なアップデートが推奨される。

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタ...

LinuxカーネルのLoongArchアーキテクチャにおいて、vDSOがマッピングされていないタスクでstack_top()関数を呼び出した際にシステムがクラッシュする重大な脆弱性が発見された。この問題は特にkthreadなどで発生し、バージョン5.19から6.11の間で影響を受ける。開発チームは6.1.115以降などの複数バージョンで修正パッチをリリースしており、早急なアップデートが推奨される。

【CVE-2024-50129】Linuxカーネルにおける境界外アクセスの脆弱性、PSE-PDデバイスのループ処理に関する不具合を修正へ

【CVE-2024-50129】Linuxカーネルにおける境界外アクセスの脆弱性、PSE-PD...

Linuxカーネルの開発チームが、PSE-PDデバイスのループ処理における境界外アクセスの脆弱性を修正するパッチをリリースした。この脆弱性は【CVE-2024-50129】として識別され、Linux 6.10から6.11.5までのバージョンに影響を与える。修正パッチではpcdev->nr_lines変数を用いてループの上限を正確に設定することで、メモリの境界外アクセスによる問題を防止する。

【CVE-2024-50129】Linuxカーネルにおける境界外アクセスの脆弱性、PSE-PD...

Linuxカーネルの開発チームが、PSE-PDデバイスのループ処理における境界外アクセスの脆弱性を修正するパッチをリリースした。この脆弱性は【CVE-2024-50129】として識別され、Linux 6.10から6.11.5までのバージョンに影響を与える。修正パッチではpcdev->nr_lines変数を用いてループの上限を正確に設定することで、メモリの境界外アクセスによる問題を防止する。

【CVE-2024-50121】Linuxカーネルのnfsdモジュールに脆弱性、リソース解放の競合問題に対処完了

【CVE-2024-50121】Linuxカーネルのnfsdモジュールに脆弱性、リソース解放の...

Linuxカーネルにおいて、nfsdモジュールのリソース解放処理に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50121】として識別され、nfsd_client_shrinkerとnfs4_state_shutdown_netの同時実行時に競合状態が発生し、use-after-free errorを引き起こす可能性があった。Linux 6.2以降のバージョンに影響し、6.6.59、6.11.6、6.12-rc5で修正が適用されている。

【CVE-2024-50121】Linuxカーネルのnfsdモジュールに脆弱性、リソース解放の...

Linuxカーネルにおいて、nfsdモジュールのリソース解放処理に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50121】として識別され、nfsd_client_shrinkerとnfs4_state_shutdown_netの同時実行時に競合状態が発生し、use-after-free errorを引き起こす可能性があった。Linux 6.2以降のバージョンに影響し、6.6.59、6.11.6、6.12-rc5で修正が適用されている。

【CVE-2024-50109】Linuxカーネルのraid10に深刻な脆弱性、ヌルポインタ参照によるシステム異常終了の可能性

【CVE-2024-50109】Linuxカーネルのraid10に深刻な脆弱性、ヌルポインタ参...

Linuxカーネルのraid10実装において、raid10_run()関数内でraid10_set_queue_limits()が成功した後に後続の処理が失敗した場合、mddevのprivateメンバーがNULLのままraid10_size()関数が呼び出される脆弱性が発見された。この問題はCVE-2024-50109として識別され、Linux 6.9からLinux 6.11.6までのバージョンに影響を及ぼす。システムの安定性に関わる重要な問題として、早急な対応が求められている。

【CVE-2024-50109】Linuxカーネルのraid10に深刻な脆弱性、ヌルポインタ参...

Linuxカーネルのraid10実装において、raid10_run()関数内でraid10_set_queue_limits()が成功した後に後続の処理が失敗した場合、mddevのprivateメンバーがNULLのままraid10_size()関数が呼び出される脆弱性が発見された。この問題はCVE-2024-50109として識別され、Linux 6.9からLinux 6.11.6までのバージョンに影響を及ぼす。システムの安定性に関わる重要な問題として、早急な対応が求められている。

【CVE-2024-10715】MapPress Maps for WordPress 2.94.1に重大な脆弱性、XSS攻撃のリスクが浮上

【CVE-2024-10715】MapPress Maps for WordPress 2.9...

WordPressプラグイン「MapPress Maps for WordPress」のバージョン2.94.1以前において、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2024-10715として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態となっており、CVSSスコアは6.4(Medium)と評価されている。

【CVE-2024-10715】MapPress Maps for WordPress 2.9...

WordPressプラグイン「MapPress Maps for WordPress」のバージョン2.94.1以前において、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2024-10715として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態となっており、CVSSスコアは6.4(Medium)と評価されている。

【CVE-2024-10535】Video Gallery for WooCommerce 1.31に認証回避の脆弱性、サムネイル削除のリスクが発生

【CVE-2024-10535】Video Gallery for WooCommerce 1...

WordfenceはVideo Gallery for WooCommerceプラグインのバージョン1.31以下に深刻な脆弱性が存在することを報告した。remove_unused_thumbnails()関数に権限チェックが欠如しており、未認証の攻撃者がvideo-wc-gallery-thumbディレクトリ内のサムネイル画像を削除できる状態となっている。CVE-2024-10535として識別されたこの脆弱性は、CVSS基本値5.3のMEDIUMレベルと評価されている。

【CVE-2024-10535】Video Gallery for WooCommerce 1...

WordfenceはVideo Gallery for WooCommerceプラグインのバージョン1.31以下に深刻な脆弱性が存在することを報告した。remove_unused_thumbnails()関数に権限チェックが欠如しており、未認証の攻撃者がvideo-wc-gallery-thumbディレクトリ内のサムネイル画像を削除できる状態となっている。CVE-2024-10535として識別されたこの脆弱性は、CVSS基本値5.3のMEDIUMレベルと評価されている。

コンテナランタイムcontainerd 2.0が正式リリース、プラグイン統合とサンドボックス機能が大幅に強化

コンテナランタイムcontainerd 2.0が正式リリース、プラグイン統合とサンドボックス機...

コンテナランタイムの代表的な実装であるcontainerdの初のメジャーバージョンアップとなるcontainerd 2.0が正式リリースされた。プラグインセクションのマージ機能やサンドボックスコントローラーの更新API、OpenTelemetryの環境変数設定、CDIのデフォルト有効化など、多岐にわたる機能強化が実施されている。セキュリティ面でもio_uringシステムコールの制限が追加され、より安全なコンテナ実行環境を提供する。

コンテナランタイムcontainerd 2.0が正式リリース、プラグイン統合とサンドボックス機...

コンテナランタイムの代表的な実装であるcontainerdの初のメジャーバージョンアップとなるcontainerd 2.0が正式リリースされた。プラグインセクションのマージ機能やサンドボックスコントローラーの更新API、OpenTelemetryの環境変数設定、CDIのデフォルト有効化など、多岐にわたる機能強化が実施されている。セキュリティ面でもio_uringシステムコールの制限が追加され、より安全なコンテナ実行環境を提供する。

エフ・エム・アイとサルバトーレ・クォモシェフがひとり親家庭の子供向け料理教室を開催、食を通じた支援活動を強化

エフ・エム・アイとサルバトーレ・クォモシェフがひとり親家庭の子供向け料理教室を開催、食を通じた...

株式会社エフ・エム・アイが世界的シェフのサルバトーレ・クォモと協力し、ひとり親家庭の子供向け料理教室とランチ会を2024年11月17日に開催する。NPO法人しんぐるまざあず・ふぉーらむや一般社団法人シンママラボと連携し、ピッツアづくりの実演や最先端フードマシンの調理体験を通じて、食育支援と子供の貧困対策に取り組む。

エフ・エム・アイとサルバトーレ・クォモシェフがひとり親家庭の子供向け料理教室を開催、食を通じた...

株式会社エフ・エム・アイが世界的シェフのサルバトーレ・クォモと協力し、ひとり親家庭の子供向け料理教室とランチ会を2024年11月17日に開催する。NPO法人しんぐるまざあず・ふぉーらむや一般社団法人シンママラボと連携し、ピッツアづくりの実演や最先端フードマシンの調理体験を通じて、食育支援と子供の貧困対策に取り組む。

シンプルフォームCTO小間がStartup CTO of the Year 2024ファイナリストに選出、11月19日にピッチコンテスト開催へ

シンプルフォームCTO小間がStartup CTO of the Year 2024ファイナリ...

シンプルフォーム株式会社の取締役CTO小間洋和が、ユーザベース主催の「Startup CTO of the Year 2024」ファイナリスト7名に選出された。11月19日に開催されるピッチコンテストでは、経営インパクト、組織開発力、リーダーシップの3観点で評価が行われる。小間CTOは大阪大学修了後、NTTデータでの人工知能研究開発やフリーランス経験を経て、現職で技術戦略を牽引している。

シンプルフォームCTO小間がStartup CTO of the Year 2024ファイナリ...

シンプルフォーム株式会社の取締役CTO小間洋和が、ユーザベース主催の「Startup CTO of the Year 2024」ファイナリスト7名に選出された。11月19日に開催されるピッチコンテストでは、経営インパクト、組織開発力、リーダーシップの3観点で評価が行われる。小間CTOは大阪大学修了後、NTTデータでの人工知能研究開発やフリーランス経験を経て、現職で技術戦略を牽引している。

TASCAMが新製品Studio BridgeとModel 2400の体験イベントを開催、ひとりじめ体験で製品の理解促進へ

TASCAMが新製品Studio BridgeとModel 2400の体験イベントを開催、ひと...

TASCAMが2024年11月22日に新製品のオーディオインターフェース/マルチトラックレコーダー『Studio Bridge』およびレコーディングミキサー『Model 2400』の体験イベントを開催する。本社スタジオで実施されるこのイベントでは、参加者が周囲を気にせずじっくりと製品を試用できる環境が用意され、自身の機材持ち込みでの接続テストも可能だ。完全予約制で一人45分の体験時間を確保し、製品の詳細な機能確認ができる。

TASCAMが新製品Studio BridgeとModel 2400の体験イベントを開催、ひと...

TASCAMが2024年11月22日に新製品のオーディオインターフェース/マルチトラックレコーダー『Studio Bridge』およびレコーディングミキサー『Model 2400』の体験イベントを開催する。本社スタジオで実施されるこのイベントでは、参加者が周囲を気にせずじっくりと製品を試用できる環境が用意され、自身の機材持ち込みでの接続テストも可能だ。完全予約制で一人45分の体験時間を確保し、製品の詳細な機能確認ができる。

NEOWIZのマージサバイバルが1.5周年を迎え、公式Discordの開設とコミュニティイベントの大規模展開を実施

NEOWIZのマージサバイバルが1.5周年を迎え、公式Discordの開設とコミュニティイベン...

NEOWIZの子会社StickyHands Inc.が開発したカジュアルパズルゲーム「マージサバイバル」が1.5周年を迎え、新たに公式Discordをオープンした。記念イベントとして、AIファンアートコンテストや出席チェックイベント、SNSコメントイベントなどが開催され、参加者には豪華ゲーム内アイテムが配布される。グローバルユーザーとのコミュニケーション拡大を目指した施策となっている。

NEOWIZのマージサバイバルが1.5周年を迎え、公式Discordの開設とコミュニティイベン...

NEOWIZの子会社StickyHands Inc.が開発したカジュアルパズルゲーム「マージサバイバル」が1.5周年を迎え、新たに公式Discordをオープンした。記念イベントとして、AIファンアートコンテストや出席チェックイベント、SNSコメントイベントなどが開催され、参加者には豪華ゲーム内アイテムが配布される。グローバルユーザーとのコミュニケーション拡大を目指した施策となっている。

【CVE-2024-10916】D-Link NAS製品に情報漏洩の脆弱性、DNS-320など4機種で深刻な影響の可能性

【CVE-2024-10916】D-Link NAS製品に情報漏洩の脆弱性、DNS-320など...

D-LinkのNAS製品であるDNS-320、DNS-320LW、DNS-325、DNS-340Lに情報漏洩の脆弱性が発見された。この脆弱性は/xml/info.xmlコンポーネントのHTTP GETリクエストハンドラーに関連しており、認証不要でリモートから攻撃可能な状態となっている。CVSS 4.0で6.9のスコアが付けられ、既に攻撃手法が公開されていることから、早急な対応が必要とされている。

【CVE-2024-10916】D-Link NAS製品に情報漏洩の脆弱性、DNS-320など...

D-LinkのNAS製品であるDNS-320、DNS-320LW、DNS-325、DNS-340Lに情報漏洩の脆弱性が発見された。この脆弱性は/xml/info.xmlコンポーネントのHTTP GETリクエストハンドラーに関連しており、認証不要でリモートから攻撃可能な状態となっている。CVSS 4.0で6.9のスコアが付けられ、既に攻撃手法が公開されていることから、早急な対応が必要とされている。

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フォーム送信データの不正閲覧が可能に

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フ...

WordPressプラグインのEleForms 2.9.9.9以前のバージョンに、認証機能の欠如による重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がフォーム送信データを閲覧可能な状態となっている。CVE-2024-6626として識別され、CVSSスコアは5.3(Medium)と評価されている。影響を受けるバージョンを使用している場合は、速やかなアップデートが推奨される。

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フ...

WordPressプラグインのEleForms 2.9.9.9以前のバージョンに、認証機能の欠如による重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がフォーム送信データを閲覧可能な状態となっている。CVE-2024-6626として識別され、CVSSスコアは5.3(Medium)と評価されている。影響を受けるバージョンを使用している場合は、速やかなアップデートが推奨される。

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃者による情報漏洩のリスクが判明

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃...

Wave 2.0において、APIレスポンスの脆弱な暗号化を悪用できる重大な脆弱性が発見された。CVE-2024-51556として識別されるこの脆弱性は、認証済みの攻撃者がAPIリクエストURLのuser_idパラメータを操作することで、他のユーザーの機密情報に不正にアクセスできる問題がある。CVSSスコア7.1のHigh評価で、バージョン1.1.7未満が影響を受ける。

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃...

Wave 2.0において、APIレスポンスの脆弱な暗号化を悪用できる重大な脆弱性が発見された。CVE-2024-51556として識別されるこの脆弱性は、認証済みの攻撃者がAPIリクエストURLのuser_idパラメータを操作することで、他のユーザーの機密情報に不正にアクセスできる問題がある。CVSSスコア7.1のHigh評価で、バージョン1.1.7未満が影響を受ける。

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻撃者による機密情報漏洩のリスクに

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントでの不適切な例外処理に起因する重大な脆弱性が発見された。CVE-2024-51560として識別されるこの脆弱性は、認証済みの遠隔攻撃者がuserIdパラメータに不正な入力を行うことで、システム上の機密情報を含むエラーメッセージを取得可能。CVSS 4.0で7.1のHighスコアを記録し、早急な対応が必要とされている。

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントでの不適切な例外処理に起因する重大な脆弱性が発見された。CVE-2024-51560として識別されるこの脆弱性は、認証済みの遠隔攻撃者がuserIdパラメータに不正な入力を行うことで、システム上の機密情報を含むエラーメッセージを取得可能。CVSS 4.0で7.1のHighスコアを記録し、早急な対応が必要とされている。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御の脆弱性、バージョン1.0.10以前のユーザーに影響

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト(ACL)による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト(ACL)による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格の危険性に対処

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度(4.3)と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度(4.3)と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証の脆弱性、アクセス制御の設定ミスによるセキュリティリスクが発生

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10にアクセス制御の脆弱性、認可の欠如による影響に注意

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアクセス制御の脆弱性、情報漏洩のリスクに対応急ぐ

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-8934】BeckhoffのTwinCAT Package Managerにコマンドインジェクションの脆弱性、管理者権限で悪用の可能性

【CVE-2024-8934】BeckhoffのTwinCAT Package Manager...

BeckhoffのTwinCAT Package Managerにおいて、管理者権限を持つローカルユーザーがUIを通じて特別に細工された値を入力することで、任意のOSコマンドが実行可能となる脆弱性が発見された。CVE-2024-8934として識別されるこの脆弱性は、バージョン1.0.603.0未満のすべてのバージョンに影響を及ぼし、CVSSスコア6.5のミディアムレベルと評価されている。

【CVE-2024-8934】BeckhoffのTwinCAT Package Manager...

BeckhoffのTwinCAT Package Managerにおいて、管理者権限を持つローカルユーザーがUIを通じて特別に細工された値を入力することで、任意のOSコマンドが実行可能となる脆弱性が発見された。CVE-2024-8934として識別されるこの脆弱性は、バージョン1.0.603.0未満のすべてのバージョンに影響を及ぼし、CVSSスコア6.5のミディアムレベルと評価されている。

日本料飲外国人雇用協会が特定技能2号試験対策セミナーを開講、外食業と飲食料品製造業の2コースで受講者の合格をサポート

日本料飲外国人雇用協会が特定技能2号試験対策セミナーを開講、外食業と飲食料品製造業の2コースで...

日本料飲外国人雇用協会は2024年11月11日より特定技能2号試験対策セミナーの一般受付を開始した。8月に開講した外食業コースに加え、新たに飲食料品製造業コースも提供され、特定技能2号試験の合格を目指す外国人材の支援体制が強化される。講座はOTAFFの学習テキストを基に協会オリジナルのスライドを活用した解説と模擬テストを実施し、アーカイブ動画としても視聴可能だ。

日本料飲外国人雇用協会が特定技能2号試験対策セミナーを開講、外食業と飲食料品製造業の2コースで...

日本料飲外国人雇用協会は2024年11月11日より特定技能2号試験対策セミナーの一般受付を開始した。8月に開講した外食業コースに加え、新たに飲食料品製造業コースも提供され、特定技能2号試験の合格を目指す外国人材の支援体制が強化される。講座はOTAFFの学習テキストを基に協会オリジナルのスライドを活用した解説と模擬テストを実施し、アーカイブ動画としても視聴可能だ。