Tech Insights
【CVE-2024-51511】HarmonyOS 5.0.0のWantAgentモジュールに...
Huawei Technologies社がHarmonyOS 5.0.0のWantAgentモジュールにおける脆弱性【CVE-2024-51511】を公開した。パラメータタイプの検証に関する問題で、CVSSスコア6.2を記録。攻撃条件の複雑さは低く、特権は不要だがローカル環境からの攻撃が必要とされる。この脆弱性の悪用によってシステムの可用性に影響を与える可能性があり、早急な対応が推奨される。
【CVE-2024-51511】HarmonyOS 5.0.0のWantAgentモジュールに...
Huawei Technologies社がHarmonyOS 5.0.0のWantAgentモジュールにおける脆弱性【CVE-2024-51511】を公開した。パラメータタイプの検証に関する問題で、CVSSスコア6.2を記録。攻撃条件の複雑さは低く、特権は不要だがローカル環境からの攻撃が必要とされる。この脆弱性の悪用によってシステムの可用性に影響を与える可能性があり、早急な対応が推奨される。
【CVE-2024-51510】HarmonyOSとEMUIのロゴモジュールに脆弱性、機密性へ...
HuaweiのHarmonyOSとEMUIのロゴモジュールにおいてOut-of-bounds access脆弱性が発見された。HarmonyOSの5.0.0、4.2.0、4.0.0およびEMUI 14.0.0が影響を受け、CVSSスコアは7.6(High)と評価されている。物理的なアクセスは必要だが特権は不要で、機密性に重大な影響を与える可能性がある深刻な脆弱性となっている。
【CVE-2024-51510】HarmonyOSとEMUIのロゴモジュールに脆弱性、機密性へ...
HuaweiのHarmonyOSとEMUIのロゴモジュールにおいてOut-of-bounds access脆弱性が発見された。HarmonyOSの5.0.0、4.2.0、4.0.0およびEMUI 14.0.0が影響を受け、CVSSスコアは7.6(High)と評価されている。物理的なアクセスは必要だが特権は不要で、機密性に重大な影響を与える可能性がある深刻な脆弱性となっている。
【CVE-2024-49642】WordPress用プラグインTodo Custom Fiel...
WordPress用プラグインTodo Custom Field 3.0.4以前のバージョンにXSS脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価されており、Webページ生成時の入力の不適切な無害化処理に起因する問題が存在する。攻撃者による悪用の可能性があり、ユーザー情報が危険にさらされる可能性があるため、早急なアップデートが推奨される。
【CVE-2024-49642】WordPress用プラグインTodo Custom Fiel...
WordPress用プラグインTodo Custom Field 3.0.4以前のバージョンにXSS脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価されており、Webページ生成時の入力の不適切な無害化処理に起因する問題が存在する。攻撃者による悪用の可能性があり、ユーザー情報が危険にさらされる可能性があるため、早急なアップデートが推奨される。
【CVE-2024-49370】Pimcore Portal Engineにパスワード平文保存...
オープンソースのデータ管理プラットフォームPimcoreのPortal Engineにおいて、PortalUserObjectとPimcoreUserの連携時にパスワードが平文で保存される重大な脆弱性が発見された。CVSSスコア8.7と高い深刻度を示すこの問題は、バージョン4.1.7と3.1.16で修正され、最新版へのアップデートで対策が可能となっている。
【CVE-2024-49370】Pimcore Portal Engineにパスワード平文保存...
オープンソースのデータ管理プラットフォームPimcoreのPortal Engineにおいて、PortalUserObjectとPimcoreUserの連携時にパスワードが平文で保存される重大な脆弱性が発見された。CVSSスコア8.7と高い深刻度を示すこの問題は、バージョン4.1.7と3.1.16で修正され、最新版へのアップデートで対策が可能となっている。
【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサ...
GitHubは2024年10月21日、Nginx用WebインターフェースNginx UI v2.0.0-beta.35以前にパストラバーサルの脆弱性が存在することを公開した。この脆弱性はCVE-2024-49366として識別され、CVSSスコア7.7(HIGH)と評価されている。jsonフィールドの値検証が不十分なため、攻撃者によるサーバー上の任意のファイル書き込みが可能となる深刻な問題だ。
【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサ...
GitHubは2024年10月21日、Nginx用WebインターフェースNginx UI v2.0.0-beta.35以前にパストラバーサルの脆弱性が存在することを公開した。この脆弱性はCVE-2024-49366として識別され、CVSSスコア7.7(HIGH)と評価されている。jsonフィールドの値検証が不十分なため、攻撃者によるサーバー上の任意のファイル書き込みが可能となる深刻な問題だ。
【CVE-2024-38407】QualcommのSnapdragonデバイスでTOCTOU脆...
QualcommはSnapdragonデバイスのJPEG Encoderドライバに存在するTime-Of-Check Time-Of-Use(TOCTOU)脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、FastConnect、QCAシリーズ、Snapdragon Compute、Industrial IoT、Wearablesなど44製品に影響。入力パラメータ処理時のメモリ破損により、権限昇格などの深刻な影響を引き起こす可能性がある。
【CVE-2024-38407】QualcommのSnapdragonデバイスでTOCTOU脆...
QualcommはSnapdragonデバイスのJPEG Encoderドライバに存在するTime-Of-Check Time-Of-Use(TOCTOU)脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、FastConnect、QCAシリーズ、Snapdragon Compute、Industrial IoT、Wearablesなど44製品に影響。入力パラメータ処理時のメモリ破損により、権限昇格などの深刻な影響を引き起こす可能性がある。
【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、Fast...
Qualcommは2024年11月4日、WLANホストにおけるバッファオーバーリードの脆弱性【CVE-2024-38405】を公開した。この脆弱性はCVSSスコア7.5と評価され、FastConnect 6700/6900/7800やSnapdragon 8 Gen 2/Gen 3など多数の製品に影響を及ぼす。特権やユーザーの操作を必要とせず、ネットワーク経由で攻撃が可能なため、早急な対応が必要とされている。
【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、Fast...
Qualcommは2024年11月4日、WLANホストにおけるバッファオーバーリードの脆弱性【CVE-2024-38405】を公開した。この脆弱性はCVSSスコア7.5と評価され、FastConnect 6700/6900/7800やSnapdragon 8 Gen 2/Gen 3など多数の製品に影響を及ぼす。特権やユーザーの操作を必要とせず、ネットワーク経由で攻撃が可能なため、早急な対応が必要とされている。
【CVE-2024-38403】QualcommのWLANファームウェアにバッファオーバーリー...
QualcommがWLANファームウェアにおける重大な脆弱性【CVE-2024-38403】を公開。BTM ML IEのパース処理における一時的なサービス拒否の可能性が判明し、CVSSスコア7.5(High)と評価された。FastConnect 6900やFastConnect 7800など、78のバージョンで影響が確認され、Snapdragon AutoやCompute、Mobileなど幅広いプラットフォームに影響を及ぼすことが明らかになっている。
【CVE-2024-38403】QualcommのWLANファームウェアにバッファオーバーリー...
QualcommがWLANファームウェアにおける重大な脆弱性【CVE-2024-38403】を公開。BTM ML IEのパース処理における一時的なサービス拒否の可能性が判明し、CVSSスコア7.5(High)と評価された。FastConnect 6900やFastConnect 7800など、78のバージョンで影響が確認され、Snapdragon AutoやCompute、Mobileなど幅広いプラットフォームに影響を及ぼすことが明らかになっている。
【CVE-2024-33033】Qualcommが複数のSnapdragon製品に影響する脆弱...
QualcommはSnapdragonプラットフォームにおいて、ComputerVisionのIOCTL処理に関連する深刻な脆弱性【CVE-2024-33033】を公開した。FastConnect 6900/7800、Snapdragon 8 Gen 2/8+ Gen 2など複数の製品でバッファのアンマップ処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7(Medium)と評価されている。高い特権レベルが必要だが、攻撃成功時の影響が大きいため、早急な対応が推奨される。
【CVE-2024-33033】Qualcommが複数のSnapdragon製品に影響する脆弱...
QualcommはSnapdragonプラットフォームにおいて、ComputerVisionのIOCTL処理に関連する深刻な脆弱性【CVE-2024-33033】を公開した。FastConnect 6900/7800、Snapdragon 8 Gen 2/8+ Gen 2など複数の製品でバッファのアンマップ処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7(Medium)と評価されている。高い特権レベルが必要だが、攻撃成功時の影響が大きいため、早急な対応が推奨される。
【CVE-2024-33030】QualcommのSnapdragonプラットフォームでバッフ...
QualcommはSnapdragonプラットフォームにおける重大な脆弱性【CVE-2024-33030】を公開した。この脆弱性はLPLHのIPC周波数テーブルパラメータを解析する際のバッファオーバーフローに関するもので、CVSSスコア6.7(Medium)と評価されている。Snapdragon 8 Gen 1 Mobile PlatformやFastConnect 6900/7800など、複数の製品に影響を与える可能性がある重要な問題だ。
【CVE-2024-33030】QualcommのSnapdragonプラットフォームでバッフ...
QualcommはSnapdragonプラットフォームにおける重大な脆弱性【CVE-2024-33030】を公開した。この脆弱性はLPLHのIPC周波数テーブルパラメータを解析する際のバッファオーバーフローに関するもので、CVSSスコア6.7(Medium)と評価されている。Snapdragon 8 Gen 1 Mobile PlatformやFastConnect 6900/7800など、複数の製品に影響を与える可能性がある重要な問題だ。
【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQL...
romadebrian WEB-Sekolah 1.0のMail Handlerコンポーネントに重大な脆弱性が発見された。/Proses_Kirim.phpファイルのName引数操作によるSQLインジェクションが可能で、CVSSスコアは中程度だが遠隔から攻撃実行が可能な状態となっている。既にエクスプロイトコードが公開されており、早急な対策が必要とされる。
【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQL...
romadebrian WEB-Sekolah 1.0のMail Handlerコンポーネントに重大な脆弱性が発見された。/Proses_Kirim.phpファイルのName引数操作によるSQLインジェクションが可能で、CVSSスコアは中程度だが遠隔から攻撃実行が可能な状態となっている。既にエクスプロイトコードが公開されており、早急な対策が必要とされる。
【CVE-2024-10750】Tenda i22にnull pointer derefere...
Tenda i22 1.0.0.3(4687)のwebsReadEvent機能において、Content-Length引数の操作によるnull pointer dereferenceの脆弱性が発見された。この脆弱性はリモートから攻撃可能で、CVSS v4.0で7.1(HIGH)のスコアが付けられている。攻撃の難易度は低く、認証情報があれば容易に実行可能であり、システムの可用性に重大な影響を及ぼす可能性が高い。
【CVE-2024-10750】Tenda i22にnull pointer derefere...
Tenda i22 1.0.0.3(4687)のwebsReadEvent機能において、Content-Length引数の操作によるnull pointer dereferenceの脆弱性が発見された。この脆弱性はリモートから攻撃可能で、CVSS v4.0で7.1(HIGH)のスコアが付けられている。攻撃の難易度は低く、認証情報があれば容易に実行可能であり、システムの可用性に重大な影響を及ぼす可能性が高い。
【CVE-2024-10711】WooCommerce Report 1.5.1以前のバージョ...
WordfenceはWooCommerce Report 1.5.1以前のバージョンにおいて、設定更新機能に関するCross-Site Request Forgery脆弱性を発見した。CVSSスコア8.8のHigh評価で、攻撃者は管理者を騙して任意のオプション設定を更新できる可能性がある。これにより特権昇格のリスクが指摘されており、早急なアップデートが推奨されている。
【CVE-2024-10711】WooCommerce Report 1.5.1以前のバージョ...
WordfenceはWooCommerce Report 1.5.1以前のバージョンにおいて、設定更新機能に関するCross-Site Request Forgery脆弱性を発見した。CVSSスコア8.8のHigh評価で、攻撃者は管理者を騙して任意のオプション設定を更新できる可能性がある。これにより特権昇格のリスクが指摘されており、早急なアップデートが推奨されている。
【CVE-2024-10503】Klokan MapTiler tileserver-gl 2...
Klokan MapTiler tileserver-gl 2.3.1においてクロスサイトスクリプティング(XSS)の脆弱性が発見された。URLハンドラーコンポーネントの処理に関連する脆弱性で、リモートからの攻撃が可能となっている。CVSS 4.0で中程度の深刻度5.3を記録し、既に一般に公開されているため、早急な対策が求められる状況だ。
【CVE-2024-10503】Klokan MapTiler tileserver-gl 2...
Klokan MapTiler tileserver-gl 2.3.1においてクロスサイトスクリプティング(XSS)の脆弱性が発見された。URLハンドラーコンポーネントの処理に関連する脆弱性で、リモートからの攻撃が可能となっている。CVSS 4.0で中程度の深刻度5.3を記録し、既に一般に公開されているため、早急な対策が求められる状況だ。
【CVE-2024-10491】Expressのresponse.links関数に重大な脆弱性...
HeroDevsがExpressのresponse.links関数における重大な脆弱性【CVE-2024-10491】を公開した。Express 3.0.0-alpha1から3.21.2に影響を与えるこの脆弱性は、Link headerの値における特殊文字の不適切な処理が原因で、悪意のあるリソースの挿入を可能にする。CVSSスコアは4.0(MEDIUM)と評価され、特権レベルは不要だが攻撃条件の複雑さは高いとされている。
【CVE-2024-10491】Expressのresponse.links関数に重大な脆弱性...
HeroDevsがExpressのresponse.links関数における重大な脆弱性【CVE-2024-10491】を公開した。Express 3.0.0-alpha1から3.21.2に影響を与えるこの脆弱性は、Link headerの値における特殊文字の不適切な処理が原因で、悪意のあるリソースの挿入を可能にする。CVSSスコアは4.0(MEDIUM)と評価され、特権レベルは不要だが攻撃条件の複雑さは高いとされている。
【CVE-2024-10122】Topdata Inner Rep Plus WebServe...
Topdata社のInner Rep Plus WebServer 2.01において、InnerRepPlus.htmlファイルのOperator Details Formコンポーネントにパスワードフィールドマスキングが実装されていない脆弱性が発見された。この脆弱性はCVE-2024-10122として識別され、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能であり、高度な権限を持つ攻撃者による悪用のリスクが存在する。
【CVE-2024-10122】Topdata Inner Rep Plus WebServe...
Topdata社のInner Rep Plus WebServer 2.01において、InnerRepPlus.htmlファイルのOperator Details Formコンポーネントにパスワードフィールドマスキングが実装されていない脆弱性が発見された。この脆弱性はCVE-2024-10122として識別され、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能であり、高度な権限を持つ攻撃者による悪用のリスクが存在する。
エプソンダイレクトがEndeavor DS60を発売、Ubuntu対応のOSなしミニPCで組み...
エプソンダイレクトが第13世代Core搭載のミニPC「Endeavor DS60」の受注を開始。約33×150×150mmのコンパクトボディにUSB 3.2やHDMI、DisplayPortなどを搭載し、Ubuntu Desktop 22.04 LTSでの動作検証も実施。既存のOSライセンスを活用できるOSなしモデルとして、組み込み制御端末やシンクライアント端末向けに提供される。
エプソンダイレクトがEndeavor DS60を発売、Ubuntu対応のOSなしミニPCで組み...
エプソンダイレクトが第13世代Core搭載のミニPC「Endeavor DS60」の受注を開始。約33×150×150mmのコンパクトボディにUSB 3.2やHDMI、DisplayPortなどを搭載し、Ubuntu Desktop 22.04 LTSでの動作検証も実施。既存のOSライセンスを活用できるOSなしモデルとして、組み込み制御端末やシンクライアント端末向けに提供される。
フォルスタージャパンが大容量ワインセラーFJP-421GSを発表、最大171本収納可能な新モデ...
フィラディスは、ワインセラーブランド「フォルスタージャパン」の新モデル「FJP-421GS(BK)」を11月29日より全国で発売する。最大171本収納可能な大容量設計で、前面排気による省スペース設置やLow-E複層ガラスによる高い断熱性能を特徴とする。使用環境38℃での耐久性テストをクリアし、1温度タイプによる安定した温度管理を実現した高性能ワインセラーだ。
フォルスタージャパンが大容量ワインセラーFJP-421GSを発表、最大171本収納可能な新モデ...
フィラディスは、ワインセラーブランド「フォルスタージャパン」の新モデル「FJP-421GS(BK)」を11月29日より全国で発売する。最大171本収納可能な大容量設計で、前面排気による省スペース設置やLow-E複層ガラスによる高い断熱性能を特徴とする。使用環境38℃での耐久性テストをクリアし、1温度タイプによる安定した温度管理を実現した高性能ワインセラーだ。
DJIとSkyPixelが第10回フォト&ビデオコンテストを開催、賞金総額170,000米ドル...
DJIとSkyPixelは2024年11月7日から2025年2月10日まで第10回SkyPixelフォト&ビデオコンテストを開催する。空撮写真、空撮動画、ハンドヘルド動画の3カテゴリーで作品を募集し、グランドウィナーにはHasselblad X2D 100CカメラやDJI Inspire 3ドローンなど豪華賞品を用意。今回は初めてハンドヘルドカテゴリーを追加し、より多くのクリエイターに作品発表の機会を提供する。
DJIとSkyPixelが第10回フォト&ビデオコンテストを開催、賞金総額170,000米ドル...
DJIとSkyPixelは2024年11月7日から2025年2月10日まで第10回SkyPixelフォト&ビデオコンテストを開催する。空撮写真、空撮動画、ハンドヘルド動画の3カテゴリーで作品を募集し、グランドウィナーにはHasselblad X2D 100CカメラやDJI Inspire 3ドローンなど豪華賞品を用意。今回は初めてハンドヘルドカテゴリーを追加し、より多くのクリエイターに作品発表の機会を提供する。
日本ロレアルがノートルダム大聖堂展を開催、最新テクノロジーで850年の歴史を体験可能に
日本ロレアル株式会社は特別展「パリ・ノートルダム大聖堂展」を日本科学未来館で開催。Histovery社の拡張現実技術を活用し、850年の歴史と2019年の火災からの修復過程をデジタルで体験できる。東京展では尖塔の耐久性テストや測量技術に焦点を当てた新コンテンツも追加され、2024年11月6日から2025年2月24日まで開催される。
日本ロレアルがノートルダム大聖堂展を開催、最新テクノロジーで850年の歴史を体験可能に
日本ロレアル株式会社は特別展「パリ・ノートルダム大聖堂展」を日本科学未来館で開催。Histovery社の拡張現実技術を活用し、850年の歴史と2019年の火災からの修復過程をデジタルで体験できる。東京展では尖塔の耐久性テストや測量技術に焦点を当てた新コンテンツも追加され、2024年11月6日から2025年2月24日まで開催される。
Hyundai NがRN24を発表、WRCインスパイアの次世代高性能EVコンセプトが登場
Hyundai Motor Companyの高性能ブランドNが、N Day 2024で次世代Rolling LabのRN24を発表した。IONIQ 5 N搭載の650 PSデュアルモーター・パワー・エレクトロニクスシステムとWRCにインスパイアされたシャーシを組み合わせ、軽量・コンパクトな次世代高性能EVの開発を目指している。84kWhバッテリーパックの小型化とWRCパワートレイン・ドライブ・コントロール・ロジックの採用で、高い運動性能を実現した。
Hyundai NがRN24を発表、WRCインスパイアの次世代高性能EVコンセプトが登場
Hyundai Motor Companyの高性能ブランドNが、N Day 2024で次世代Rolling LabのRN24を発表した。IONIQ 5 N搭載の650 PSデュアルモーター・パワー・エレクトロニクスシステムとWRCにインスパイアされたシャーシを組み合わせ、軽量・コンパクトな次世代高性能EVの開発を目指している。84kWhバッテリーパックの小型化とWRCパワートレイン・ドライブ・コントロール・ロジックの採用で、高い運動性能を実現した。
【CVE-2024-9883】WordPressプラグインPods 3.2.7.1未満にXSS...
WPScanがWordPressプラグインPodsのバージョン3.2.7.1未満において、Stored XSS脆弱性を発見した。この脆弱性は設定項目の不適切なサニタイズとエスケープに起因し、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.8でMedium(中程度)に分類され、マルチサイト環境でも攻撃が成立する可能性がある。
【CVE-2024-9883】WordPressプラグインPods 3.2.7.1未満にXSS...
WPScanがWordPressプラグインPodsのバージョン3.2.7.1未満において、Stored XSS脆弱性を発見した。この脆弱性は設定項目の不適切なサニタイズとエスケープに起因し、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.8でMedium(中程度)に分類され、マルチサイト環境でも攻撃が成立する可能性がある。
【CVE-2024-9686】Order Notification for Telegram ...
WordPressプラグインのOrder Notification for Telegramにおいて、バージョン1.0.1以前に重大な認証機能の不備が発見された。CVE-2024-9686として識別されたこの脆弱性により、未認証の攻撃者がTelegram Bot APIを介してテストメッセージを送信可能な状態となっている。CVSSスコアは5.3で中程度の深刻度とされ、早急な対応が推奨される。
【CVE-2024-9686】Order Notification for Telegram ...
WordPressプラグインのOrder Notification for Telegramにおいて、バージョン1.0.1以前に重大な認証機能の不備が発見された。CVE-2024-9686として識別されたこの脆弱性により、未認証の攻撃者がTelegram Bot APIを介してテストメッセージを送信可能な状態となっている。CVSSスコアは5.3で中程度の深刻度とされ、早急な対応が推奨される。
【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...
WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。
【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...
WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。
【CVE-2024-9459】ManageEngine Exchange Reporter P...
ManageEngine Exchange Reporter Plusのバージョン5718以前に、認証済みSQL Injectionの脆弱性が発見された。CVSSスコア8.3の高リスク脆弱性として報告されており、攻撃の難易度は低く評価されている。機密性と完全性への高い影響が指摘されており、早急なバージョン5719へのアップデートが推奨される。レポートモジュールを介した攻撃により、データベースの改ざんや情報漏洩のリスクがある。
【CVE-2024-9459】ManageEngine Exchange Reporter P...
ManageEngine Exchange Reporter Plusのバージョン5718以前に、認証済みSQL Injectionの脆弱性が発見された。CVSSスコア8.3の高リスク脆弱性として報告されており、攻撃の難易度は低く評価されている。機密性と完全性への高い影響が指摘されており、早急なバージョン5719へのアップデートが推奨される。レポートモジュールを介した攻撃により、データベースの改ざんや情報漏洩のリスクがある。
【CVE-2024-9147】Bna InformaticsのPosPratikにXSS脆弱性...
TR-CERTは2024年11月4日、Bna InformaticsのPosPratikにHTMLインジェクションの脆弱性【CVE-2024-9147】が発見されたことを公開した。v3.2.1未満のバージョンでは、HTTPクエリ文字列を介してXSS攻撃が可能となる脆弱性が確認されており、CVSSスコアは6.9(Medium)と評価されている。この脆弱性はCWE-80に分類され、既存の技術での悪用は困難だが、自動化された攻撃が可能とされている。
【CVE-2024-9147】Bna InformaticsのPosPratikにXSS脆弱性...
TR-CERTは2024年11月4日、Bna InformaticsのPosPratikにHTMLインジェクションの脆弱性【CVE-2024-9147】が発見されたことを公開した。v3.2.1未満のバージョンでは、HTTPクエリ文字列を介してXSS攻撃が可能となる脆弱性が確認されており、CVSSスコアは6.9(Medium)と評価されている。この脆弱性はCWE-80に分類され、既存の技術での悪用は困難だが、自動化された攻撃が可能とされている。
【CVE-2024-8792】Subscribe to Comments 2.3に反射型XSS...
WordPressプラグインのSubscribe to Comments 2.3以前のバージョンにおいて、反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコアは6.1のMedium評価で、認証不要でURLパラメータを介した攻撃が可能となっている。ユーザーインタラクションは必要だが、攻撃成功時には重大な影響を及ぼす可能性があるため、早急な対策が必要だ。
【CVE-2024-8792】Subscribe to Comments 2.3に反射型XSS...
WordPressプラグインのSubscribe to Comments 2.3以前のバージョンにおいて、反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコアは6.1のMedium評価で、認証不要でURLパラメータを介した攻撃が可能となっている。ユーザーインタラクションは必要だが、攻撃成功時には重大な影響を及ぼす可能性があるため、早急な対策が必要だ。
【CVE-2024-7877】Appointment Booking Calendarプラグイ...
WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に重大な脆弱性が発見された。通知設定の不適切なサニタイズとエスケープにより、管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行可能な状態となっている。CVSSスコアは4.8でMedium評価、早急なアップデートが推奨される。
【CVE-2024-7877】Appointment Booking Calendarプラグイ...
WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に重大な脆弱性が発見された。通知設定の不適切なサニタイズとエスケープにより、管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行可能な状態となっている。CVSSスコアは4.8でMedium評価、早急なアップデートが推奨される。
【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...
lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。
【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...
lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。
【CVE-2024-51685】WordPressプラグインAccordion title f...
WordPressプラグインAccordion title for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51685として識別されるこの脆弱性は、バージョン1.2.1以下に影響を与え、CVSSスコア5.9(Medium)と評価された。対策としてバージョン1.2.2がリリースされ、開発者は影響を受けるユーザーに対して最新バージョンへのアップデートを推奨している。
【CVE-2024-51685】WordPressプラグインAccordion title f...
WordPressプラグインAccordion title for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51685として識別されるこの脆弱性は、バージョン1.2.1以下に影響を与え、CVSSスコア5.9(Medium)と評価された。対策としてバージョン1.2.2がリリースされ、開発者は影響を受けるユーザーに対して最新バージョンへのアップデートを推奨している。