Tech Insights

【CVE-2024-9867】Element Pack Elementor Addonsに深刻な脆弱性、Contributor権限での任意スクリプト実行が可能に

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な更新が必要

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な...

SuiteCRMのプロフィール編集ページのPublish Keyフィールドに認証済みXSS脆弱性が発見された。この脆弱性により、攻撃者はCSRFトークンを窃取し管理者アカウントを不正に作成可能となる。影響を受けるバージョン7.14.6未満および8.0.0から8.7.1未満のユーザーは、セキュリティパッチの適用が推奨される。既知の回避策は存在せず、早急なアップデートが必要だ。

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な...

SuiteCRMのプロフィール編集ページのPublish Keyフィールドに認証済みXSS脆弱性が発見された。この脆弱性により、攻撃者はCSRFトークンを窃取し管理者アカウントを不正に作成可能となる。影響を受けるバージョン7.14.6未満および8.0.0から8.7.1未満のユーザーは、セキュリティパッチの適用が推奨される。既知の回避策は存在せず、早急なアップデートが必要だ。

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未認証での任意のショートコード実行が可能に

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未...

WordPressのイベントチケッティングプラグインTickeraにおいて、バージョン3.5.4.4以前に重大な脆弱性が発見された。CVE-2024-10263として識別されたこの脆弱性は、未認証の攻撃者が任意のショートコードを実行できる問題であり、CVSSスコア7.3の高い深刻度を記録。do_shortcode関数の実行前に適切な値の検証が行われていないことが原因で、早急なアップデートが推奨される。

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未...

WordPressのイベントチケッティングプラグインTickeraにおいて、バージョン3.5.4.4以前に重大な脆弱性が発見された。CVE-2024-10263として識別されたこの脆弱性は、未認証の攻撃者が任意のショートコードを実行できる問題であり、CVSSスコア7.3の高い深刻度を記録。do_shortcode関数の実行前に適切な値の検証が行われていないことが原因で、早急なアップデートが推奨される。

【CVE-2024-9657】Element Pack Elementor Addons 5.10.2以前に認証済みXSS脆弱性が発見、深刻度は中程度と評価

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-9667】Seriously Simple Podcasting 3.5.0以前にXSS脆弱性、未認証攻撃者によるスクリプト実行の可能性

【CVE-2024-9667】Seriously Simple Podcasting 3.5....

WordPressプラグインSeriously Simple Podcasting 3.5.0以前のバージョンにReflected XSSの脆弱性が発見された。CVE-2024-9667として追跡されるこの脆弱性は、add_query_argパラメータの不適切なエスケープ処理に起因し、未認証の攻撃者が任意のWebスクリプトを実行可能。CVSS評価は6.1でMEDIUMレベルとされ、早急な対策が求められる。

【CVE-2024-9667】Seriously Simple Podcasting 3.5....

WordPressプラグインSeriously Simple Podcasting 3.5.0以前のバージョンにReflected XSSの脆弱性が発見された。CVE-2024-9667として追跡されるこの脆弱性は、add_query_argパラメータの不適切なエスケープ処理に起因し、未認証の攻撃者が任意のWebスクリプトを実行可能。CVSS評価は6.1でMEDIUMレベルとされ、早急な対策が求められる。

【CVE-2024-33700】LevelOne WBR-6012の脆弱性が発見、FTP機能の入力検証に深刻な問題

【CVE-2024-33700】LevelOne WBR-6012の脆弱性が発見、FTP機能の...

Cisco Talosは2024年10月30日、LevelOne WBR-6012ルーターのファームウェアR0.40e6におけるFTP機能の入力検証の脆弱性を公開した。CVSS3.1で深刻度7.5のHIGHと評価されており、攻撃者による悪意のあるFTPコマンドの送信でサービス拒否攻撃が可能となる。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-33700】LevelOne WBR-6012の脆弱性が発見、FTP機能の...

Cisco Talosは2024年10月30日、LevelOne WBR-6012ルーターのファームウェアR0.40e6におけるFTP機能の入力検証の脆弱性を公開した。CVSS3.1で深刻度7.5のHIGHと評価されており、攻撃者による悪意のあるFTPコマンドの送信でサービス拒否攻撃が可能となる。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正アクセスのリスクが浮上

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正...

Cisco TalosがLevelOne WBR-6012 R0.40e6のWebアプリケーション機能においてCSRF脆弱性を発見。CVSSスコア8.8のHIGH評価で、特別に細工されたHTTPリクエストによる不正アクセスが可能となる。攻撃者が悪意のあるWebページを通じて攻撃を仕掛けることができ、システムの機密性と完全性に重大な影響を及ぼす可能性がある。

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正...

Cisco TalosがLevelOne WBR-6012 R0.40e6のWebアプリケーション機能においてCSRF脆弱性を発見。CVSSスコア8.8のHIGH評価で、特別に細工されたHTTPリクエストによる不正アクセスが可能となる。攻撃者が悪意のあるWebページを通じて攻撃を仕掛けることができ、システムの機密性と完全性に重大な影響を及ぼす可能性がある。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃のリスクに警戒

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

【CVE-2024-8541】Discount Rules for WooCommerceに脆弱性、レビュー機能でXSS攻撃のリスクが判明

【CVE-2024-8541】Discount Rules for WooCommerceに脆...

WordfenceはWPプラグインDiscount Rules for WooCommerceにReflected XSS脆弱性が存在することを公開した。CVE-2024-8541として識別されたこの脆弱性は、バージョン2.6.5以前の全バージョンに影響を及ぼし、100件以上の注文後に表示されるレビュー通知でURLのadd_query_argが適切にエスケープされていないことが原因となっている。CVSSスコアは4.7で中程度の深刻度と評価されている。

【CVE-2024-8541】Discount Rules for WooCommerceに脆...

WordfenceはWPプラグインDiscount Rules for WooCommerceにReflected XSS脆弱性が存在することを公開した。CVE-2024-8541として識別されたこの脆弱性は、バージョン2.6.5以前の全バージョンに影響を及ぼし、100件以上の注文後に表示されるレビュー通知でURLのadd_query_argが適切にエスケープされていないことが原因となっている。CVSSスコアは4.7で中程度の深刻度と評価されている。

【CVE-2024-35517】Netgear XR1000にコマンドインジェクションの脆弱性、システムの整合性に重大な影響

【CVE-2024-35517】Netgear XR1000にコマンドインジェクションの脆弱性...

Netgear XR1000 v1.0.0.64のusb_remote_smb_conf.cgiにおいて、share_nameパラメータを介したコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4と高い深刻度を示しており、ネットワークを介した攻撃が可能。高い権限を持つ攻撃者によって、システムの機密性、整合性、可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-35517】Netgear XR1000にコマンドインジェクションの脆弱性...

Netgear XR1000 v1.0.0.64のusb_remote_smb_conf.cgiにおいて、share_nameパラメータを介したコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4と高い深刻度を示しており、ネットワークを介した攻撃が可能。高い権限を持つ攻撃者によって、システムの機密性、整合性、可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9にXSS脆弱性、アップデートによる対応が必要に

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9に...

Patchstack OÜは2024年10月29日、WordPressプラグインAffiliateXにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。CVE-2024-49692として識別されるこの脆弱性は、バージョン1.2.9以前に影響し、CVSSスコア6.5の中程度の危険性を有している。セキュリティパッチを含むバージョン1.2.9.1への更新が推奨される。

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9に...

Patchstack OÜは2024年10月29日、WordPressプラグインAffiliateXにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。CVE-2024-49692として識別されるこの脆弱性は、バージョン1.2.9以前に影響し、CVSSスコア6.5の中程度の危険性を有している。セキュリティパッチを含むバージョン1.2.9.1への更新が推奨される。

【CVE-2024-50438】WordPress用プラグインChurch Adminに深刻なXSS脆弱性、バージョン5.0.0未満のユーザーに影響

【CVE-2024-50438】WordPress用プラグインChurch Adminに深刻な...

WordPress用プラグインChurch Adminにおいて、バージョン5.0.0未満に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-50438として識別されるこの脆弱性は、CVSS 3.1で7.1(重要度:高)と評価されている。攻撃には利用者の操作が必要だが、攻撃の難易度は低く、任意のスクリプト実行によって情報漏洩などのリスクがある。早急なバージョン5.0.0へのアップデートが推奨される。

【CVE-2024-50438】WordPress用プラグインChurch Adminに深刻な...

WordPress用プラグインChurch Adminにおいて、バージョン5.0.0未満に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-50438として識別されるこの脆弱性は、CVSS 3.1で7.1(重要度:高)と評価されている。攻撃には利用者の操作が必要だが、攻撃の難易度は低く、任意のスクリプト実行によって情報漏洩などのリスクがある。早急なバージョン5.0.0へのアップデートが推奨される。

【CVE-2024-50449】PDF Generator Addon for Elementor Page Builderに深刻な脆弱性、バージョン1.7.5で修正完了

【CVE-2024-50449】PDF Generator Addon for Element...

WordPress用プラグインPDF Generator Addon for Elementor Page Builderにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-50449】として識別され、CVSSスコア6.5(MEDIUM)と評価されている。バージョン1.7.4以前に影響があり、バージョン1.7.5で修正された。攻撃には特権レベルと利用者の関与が必要だが、早急なアップデートが推奨される。

【CVE-2024-50449】PDF Generator Addon for Element...

WordPress用プラグインPDF Generator Addon for Elementor Page Builderにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-50449】として識別され、CVSSスコア6.5(MEDIUM)と評価されている。バージョン1.7.4以前に影響があり、バージョン1.7.5で修正された。攻撃には特権レベルと利用者の関与が必要だが、早急なアップデートが推奨される。

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアップロードの脆弱性が発見、早急な対応が必要に

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアッ...

WordPressプラグインPlugin Propagatorにおいて、Webシェルをサーバーにアップロードできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-50495】として識別され、CVSS v3.1で最高レベルの10.0(CRITICAL)と評価されている。バージョン0.1以前に影響があり、攻撃者は特別な権限なく遠隔から攻撃可能なため、早急な対応が必要となる。

【CVE-2024-50495】Plugin Propagator 0.1に危険なファイルアッ...

WordPressプラグインPlugin Propagatorにおいて、Webシェルをサーバーにアップロードできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-50495】として識別され、CVSS v3.1で最高レベルの10.0(CRITICAL)と評価されている。バージョン0.1以前に影響があり、攻撃者は特別な権限なく遠隔から攻撃可能なため、早急な対応が必要となる。

【CVE-2024-50441】WordPress用プラグインCozy Blocksにクロスサイトスクリプティングの脆弱性が発見、早急なアップデートを推奨

【CVE-2024-50441】WordPress用プラグインCozy Blocksにクロスサ...

WordPressプラグインのCozy Blocksにおいて、深刻なクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.4のHIGHレベルで、バージョン2.0.15以前が影響を受ける。攻撃者が悪意のあるスクリプトを埋め込み可能で、情報漏洩やセッションハイジャックのリスクがある。ユーザーには直ちにバージョン2.0.16へのアップデートが推奨される。

【CVE-2024-50441】WordPress用プラグインCozy Blocksにクロスサ...

WordPressプラグインのCozy Blocksにおいて、深刻なクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.4のHIGHレベルで、バージョン2.0.15以前が影響を受ける。攻撃者が悪意のあるスクリプトを埋め込み可能で、情報漏洩やセッションハイジャックのリスクがある。ユーザーには直ちにバージョン2.0.16へのアップデートが推奨される。

【CVE-2024-49696】WordPress用プラグインRobo Gallery 3.2.21にXSS脆弱性が発見、アップデートで対応が必要に

【CVE-2024-49696】WordPress用プラグインRobo Gallery 3.2...

PatchstackはWordPress用プラグインRobo Galleryのバージョン3.2.21以前に存在するクロスサイトスクリプティング(XSS)の脆弱性を公開した。CVSSスコア5.9のミディアムレベルの深刻度で、入力値の不適切な無害化処理に起因する。バージョン3.2.22以降で修正済みのため、ユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-49696】WordPress用プラグインRobo Gallery 3.2...

PatchstackはWordPress用プラグインRobo Galleryのバージョン3.2.21以前に存在するクロスサイトスクリプティング(XSS)の脆弱性を公開した。CVSSスコア5.9のミディアムレベルの深刻度で、入力値の不適切な無害化処理に起因する。バージョン3.2.22以降で修正済みのため、ユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-9483】AVG/Avast Antivirusの署名検証機能に脆弱性、MacOSでアプリケーションクラッシュの危険性

【CVE-2024-9483】AVG/Avast Antivirusの署名検証機能に脆弱性、M...

AVG/Avast Antivirusの署名検証モジュールにヌルポインタ参照の脆弱性が発見された。この問題は【CVE-2024-9483】として識別され、特にMacOS環境において不正なxarファイルによってアプリケーションがクラッシュする可能性がある。CVSSスコアは5.1(MEDIUM)で、署名24092400以降のバージョンで修正が行われている。影響範囲はMacOS、Windows、Linuxプラットフォームに及んでおり、システムの可用性に影響を与える可能性がある。

【CVE-2024-9483】AVG/Avast Antivirusの署名検証機能に脆弱性、M...

AVG/Avast Antivirusの署名検証モジュールにヌルポインタ参照の脆弱性が発見された。この問題は【CVE-2024-9483】として識別され、特にMacOS環境において不正なxarファイルによってアプリケーションがクラッシュする可能性がある。CVSSスコアは5.1(MEDIUM)で、署名24092400以降のバージョンで修正が行われている。影響範囲はMacOS、Windows、Linuxプラットフォームに及んでおり、システムの可用性に影響を与える可能性がある。

【CVE-2024-9482】AVG/Avast Antivirusにおける重大な脆弱性、Mach-Oファイル処理時のクラッシュが発生する可能性

【CVE-2024-9482】AVG/Avast Antivirusにおける重大な脆弱性、Ma...

AVG/Avast Antivirusのエンジンモジュールで重大な脆弱性【CVE-2024-9482】が発見された。この脆弱性はOut Of Bounds Writeに分類され、MacOS環境で不正なMach-Oファイルを処理する際にアプリケーションがクラッシュする可能性がある。CVSSスコアは5.1(MEDIUM)と評価され、シグネチャ24092400で修正された。Windows、Linuxプラットフォームにも影響を及ぼす可能性があり、早急な対応が推奨される。

【CVE-2024-9482】AVG/Avast Antivirusにおける重大な脆弱性、Ma...

AVG/Avast Antivirusのエンジンモジュールで重大な脆弱性【CVE-2024-9482】が発見された。この脆弱性はOut Of Bounds Writeに分類され、MacOS環境で不正なMach-Oファイルを処理する際にアプリケーションがクラッシュする可能性がある。CVSSスコアは5.1(MEDIUM)と評価され、シグネチャ24092400で修正された。Windows、Linuxプラットフォームにも影響を及ぼす可能性があり、早急な対応が推奨される。

UPDATE EARTHが異彩共創アイデアソン2024を開催、全220団体とのマッチングでビジネス創出を促進

UPDATE EARTHが異彩共創アイデアソン2024を開催、全220団体とのマッチングでビジ...

11月に神戸と大阪で開催される異彩共創アイデアソン2024は、異能vationプログラムと連携した新規ビジネス創出支援イベントだ。2021年からの実績で8000件以上のアイデア応募と6名の受賞者を輩出している。220の協力企業とのマッチング機会やUPDATE EARTHとの連携により、スタートアップの事業化や海外展開まで見据えた成長支援を提供する。

UPDATE EARTHが異彩共創アイデアソン2024を開催、全220団体とのマッチングでビジ...

11月に神戸と大阪で開催される異彩共創アイデアソン2024は、異能vationプログラムと連携した新規ビジネス創出支援イベントだ。2021年からの実績で8000件以上のアイデア応募と6名の受賞者を輩出している。220の協力企業とのマッチング機会やUPDATE EARTHとの連携により、スタートアップの事業化や海外展開まで見据えた成長支援を提供する。

ユニファーストが社会貢献とモノづくりを融合した取り組みを展開、シブヤフォント新作発表会で3年連続審査員に

ユニファーストが社会貢献とモノづくりを融合した取り組みを展開、シブヤフォント新作発表会で3年連...

ユニファースト株式会社がシブヤフォント新作発表会で3年連続で審査員を務め、障がい者支援と多様性を重視した取り組みを展開している。社内では「UFエジソン」というオリジナルグッズ開発コンテストを実施しており、2024年のグランプリ作品『ポーチにもなる応援フラッグ』の製品化も進められている。「五方よし」の経営方針のもと、社会的価値の創出と経済的価値の両立を目指す。

ユニファーストが社会貢献とモノづくりを融合した取り組みを展開、シブヤフォント新作発表会で3年連...

ユニファースト株式会社がシブヤフォント新作発表会で3年連続で審査員を務め、障がい者支援と多様性を重視した取り組みを展開している。社内では「UFエジソン」というオリジナルグッズ開発コンテストを実施しており、2024年のグランプリ作品『ポーチにもなる応援フラッグ』の製品化も進められている。「五方よし」の経営方針のもと、社会的価値の創出と経済的価値の両立を目指す。

阪急阪神不動産が第5回事業共創AWARDを開催、スタートアップとのDX推進による未来のまちづくりを加速

阪急阪神不動産が第5回事業共創AWARDを開催、スタートアップとのDX推進による未来のまちづく...

阪急阪神不動産とスタートアップ支援協会が共同で開催する第5回事業共創AWARDが11月7日より募集開始。UNIDGEが支援パートナーとして運営をサポートし、トイレ環境やテナントリーシングなど10の個別テーマで事業提案を募集。入賞企業には協業機会と最大1000万円の出資権利を提供し、DXによる未来のまちづくりを目指す。

阪急阪神不動産が第5回事業共創AWARDを開催、スタートアップとのDX推進による未来のまちづく...

阪急阪神不動産とスタートアップ支援協会が共同で開催する第5回事業共創AWARDが11月7日より募集開始。UNIDGEが支援パートナーとして運営をサポートし、トイレ環境やテナントリーシングなど10の個別テーマで事業提案を募集。入賞企業には協業機会と最大1000万円の出資権利を提供し、DXによる未来のまちづくりを目指す。

トヨタ・モビリティ基金がMobility for ALLプロジェクトの実証実験を富士スピードウェイで開始、障がい者の移動支援技術の実用化へ前進

トヨタ・モビリティ基金がMobility for ALLプロジェクトの実証実験を富士スピードウ...

トヨタ・モビリティ基金は「Make a Move PROJECT」のMobility for ALL部門で、17チームによる実証実験を11月16日から富士スピードウェイで実施する。視覚障がい者向けスマートグラスや車いす利用者向けバリアフリーマップなど、革新的な移動支援技術の実用化を目指す。採択チームには最大2,000万円の活動支援金が提供され、12月の最終選考会で更なる支援が決定される。

トヨタ・モビリティ基金がMobility for ALLプロジェクトの実証実験を富士スピードウ...

トヨタ・モビリティ基金は「Make a Move PROJECT」のMobility for ALL部門で、17チームによる実証実験を11月16日から富士スピードウェイで実施する。視覚障がい者向けスマートグラスや車いす利用者向けバリアフリーマップなど、革新的な移動支援技術の実用化を目指す。採択チームには最大2,000万円の活動支援金が提供され、12月の最終選考会で更なる支援が決定される。

【CVE-2024-9989】WordPressプラグインCrypto 2.15に認証バイパスの脆弱性、管理者権限の奪取が可能に

【CVE-2024-9989】WordPressプラグインCrypto 2.15に認証バイパス...

WordPressプラグインCryptoのバージョン2.15以前に、認証バイパスの重大な脆弱性が発見された。crypto_connect_ajax_process::log_in関数の呼び出し制限が不十分なため、攻撃者はユーザー名を把握するだけで管理者権限を奪取できる可能性がある。CVSSスコア9.8と極めて深刻度が高く、早急な対応が必要とされている。

【CVE-2024-9989】WordPressプラグインCrypto 2.15に認証バイパス...

WordPressプラグインCryptoのバージョン2.15以前に、認証バイパスの重大な脆弱性が発見された。crypto_connect_ajax_process::log_in関数の呼び出し制限が不十分なため、攻撃者はユーザー名を把握するだけで管理者権限を奪取できる可能性がある。CVSSスコア9.8と極めて深刻度が高く、早急な対応が必要とされている。

【CVE-2024-9988】WordPress用プラグインCrypto 2.15に認証バイパスの脆弱性が発見、管理者権限の不正取得が可能に

【CVE-2024-9988】WordPress用プラグインCrypto 2.15に認証バイパ...

WordPressプラグインCryptoのバージョン2.15以前に重大な認証バイパスの脆弱性が発見された。'crypto_connect_ajax_process::register'関数におけるユーザー検証の不備により、攻撃者はユーザー名を把握するだけで管理者を含む任意のアカウントに不正アクセスが可能となる。CVSSスコア9.8の最重要度と評価されており、早急な対応が必要。

【CVE-2024-9988】WordPress用プラグインCrypto 2.15に認証バイパ...

WordPressプラグインCryptoのバージョン2.15以前に重大な認証バイパスの脆弱性が発見された。'crypto_connect_ajax_process::register'関数におけるユーザー検証の不備により、攻撃者はユーザー名を把握するだけで管理者を含む任意のアカウントに不正アクセスが可能となる。CVSSスコア9.8の最重要度と評価されており、早急な対応が必要。

【CVE-2024-8924】ServiceNow Now PlatformにブラインドSQL注入の脆弱性、認証不要で不正アクセスの危険性

【CVE-2024-8924】ServiceNow Now PlatformにブラインドSQL...

ServiceNowは2024年10月29日、Now PlatformにおけるブラインドSQL注入の脆弱性【CVE-2024-8924】を公開した。この脆弱性は認証されていないユーザーが不正な情報を抽出できる状態であり、CVSS v4.0で8.7(High)のスコアが付けられている。Utah、Vancouver、Washington DC、Xanaduの各バージョンが影響を受け、早急なパッチ適用が推奨される。

【CVE-2024-8924】ServiceNow Now PlatformにブラインドSQL...

ServiceNowは2024年10月29日、Now PlatformにおけるブラインドSQL注入の脆弱性【CVE-2024-8924】を公開した。この脆弱性は認証されていないユーザーが不正な情報を抽出できる状態であり、CVSS v4.0で8.7(High)のスコアが付けられている。Utah、Vancouver、Washington DC、Xanaduの各バージョンが影響を受け、早急なパッチ適用が推奨される。

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱性を確認、サービスの機密性への影響に懸念

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱...

HuaweiはHarmonyOS 5.0.0のクリップボードモジュールにおける権限制御の脆弱性【CVE-2024-51525】を公開した。CVSSスコア6.2(Medium)で評価され、特にサービスの機密性への影響が懸念される。CWE-264として分類されるこの脆弱性は、適切な権限管理とアクセス制御の実装が求められる重要な問題である。

【CVE-2024-51525】HarmonyOS 5.0.0でクリップボードモジュールの脆弱...

HuaweiはHarmonyOS 5.0.0のクリップボードモジュールにおける権限制御の脆弱性【CVE-2024-51525】を公開した。CVSSスコア6.2(Medium)で評価され、特にサービスの機密性への影響が懸念される。CWE-264として分類されるこの脆弱性は、適切な権限管理とアクセス制御の実装が求められる重要な問題である。

【CVE-2024-51523】HarmonyOS 5.0.0のGalleryモジュールに情報管理の脆弱性、サービスの機密性に影響のおそれ

【CVE-2024-51523】HarmonyOS 5.0.0のGalleryモジュールに情報...

Huawei TechnologiesはHarmonyOS 5.0.0のGalleryモジュールにおける情報管理の脆弱性を公開した。CVE-2024-51523として識別されるこの脆弱性は、CWE-840のビジネスロジックエラーに分類され、CVSSスコア7.1のHigh評価となっている。攻撃には特権レベルは不要だがユーザーの関与が必要で、サービスの機密性と完全性に影響を及ぼす可能性があるため、ユーザーには迅速な対応が求められている。

【CVE-2024-51523】HarmonyOS 5.0.0のGalleryモジュールに情報...

Huawei TechnologiesはHarmonyOS 5.0.0のGalleryモジュールにおける情報管理の脆弱性を公開した。CVE-2024-51523として識別されるこの脆弱性は、CWE-840のビジネスロジックエラーに分類され、CVSSスコア7.1のHigh評価となっている。攻撃には特権レベルは不要だがユーザーの関与が必要で、サービスの機密性と完全性に影響を及ぼす可能性があるため、ユーザーには迅速な対応が求められている。

【CVE-2024-51408】AppSmith Community 1.8.3でSSRF脆弱性が発見、AWSメタデータの認証情報漏洩のリスクが明らかに

【CVE-2024-51408】AppSmith Community 1.8.3でSSRF脆弱...

MITREが2024年11月4日にAppSmith Community 1.8.3においてSSRF脆弱性を確認し、CVE-2024-51408として公開した。この脆弱性により、攻撃者は特権レベルが低い状態でもAWSメタデータの認証情報を不正に取得することが可能になる。CVSS 3.1で8.5(High)と評価された深刻な脆弱性であり、AppSmith Community 1.46でようやく修正された。CISAは自動化された攻撃の可能性も指摘しており、早急な対応が求められている。

【CVE-2024-51408】AppSmith Community 1.8.3でSSRF脆弱...

MITREが2024年11月4日にAppSmith Community 1.8.3においてSSRF脆弱性を確認し、CVE-2024-51408として公開した。この脆弱性により、攻撃者は特権レベルが低い状態でもAWSメタデータの認証情報を不正に取得することが可能になる。CVSS 3.1で8.5(High)と評価された深刻な脆弱性であり、AppSmith Community 1.46でようやく修正された。CISAは自動化された攻撃の可能性も指摘しており、早急な対応が求められている。

【CVE-2024-50466】WordPressプラグインDarkMySiteにCSRF脆弱性、バージョン1.2.8以前のユーザーに影響

【CVE-2024-50466】WordPressプラグインDarkMySiteにCSRF脆弱...

WordPressプラグインDarkMySite - Advanced Dark Mode Plugin for WordPressのバージョン1.2.8以前にCross-Site Request Forgery(CSRF)の脆弱性が発見された。CVSSv3.1での評価は4.3でMedium、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低いとされている。特権レベルは不要だがユーザーの関与が必須であり、影響範囲は限定的。早急なバージョンアップデートが推奨される。

【CVE-2024-50466】WordPressプラグインDarkMySiteにCSRF脆弱...

WordPressプラグインDarkMySite - Advanced Dark Mode Plugin for WordPressのバージョン1.2.8以前にCross-Site Request Forgery(CSRF)の脆弱性が発見された。CVSSv3.1での評価は4.3でMedium、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低いとされている。特権レベルは不要だがユーザーの関与が必須であり、影響範囲は限定的。早急なバージョンアップデートが推奨される。

【CVE-2024-50459】WordPress Stripe Donation and Payment Pluginの脆弱性が発見、アクセス制御の不備により情報漏洩のリスクが浮上

【CVE-2024-50459】WordPress Stripe Donation and P...

WordPress用プラグインWordPress Stripe Donation and Payment Pluginのバージョン3.2.3以前において、重大なアクセス制御の脆弱性が発見された。CVE-2024-50459として識別されたこの問題は、CVSS 3.1で5.3のミディアムレベルと評価され、認証なしでのネットワーク経由攻撃が可能な状態にある。開発元のHM Pluginは対策版となるバージョン3.2.4を提供している。

【CVE-2024-50459】WordPress Stripe Donation and P...

WordPress用プラグインWordPress Stripe Donation and Payment Pluginのバージョン3.2.3以前において、重大なアクセス制御の脆弱性が発見された。CVE-2024-50459として識別されたこの問題は、CVSS 3.1で5.3のミディアムレベルと評価され、認証なしでのネットワーク経由攻撃が可能な状態にある。開発元のHM Pluginは対策版となるバージョン3.2.4を提供している。