Tech Insights

【CVE-2024-51327】Travel Management System v1.0に認証バイパスの脆弱性、CVSSスコア9.8の緊急事態に

【CVE-2024-51327】Travel Management System v1.0に認...

ProjectWorldsのTravel Management System v1.0において、loginform.phpのユーザー名とパスワードフィールドにSQLインジェクションの脆弱性が発見された。CVSSスコア9.8を記録する重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。CISAの評価では攻撃の自動化も可能とされ、早急な対策が必要な状況だ。

【CVE-2024-51327】Travel Management System v1.0に認...

ProjectWorldsのTravel Management System v1.0において、loginform.phpのユーザー名とパスワードフィールドにSQLインジェクションの脆弱性が発見された。CVSSスコア9.8を記録する重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。CISAの評価では攻撃の自動化も可能とされ、早急な対策が必要な状況だ。

【CVE-2024-51326】Travel management System v.1.0にSQLインジェクション脆弱性、リモートからの攻撃が可能に

【CVE-2024-51326】Travel management System v.1.0に...

projectworlds社のTravel management System v.1.0において、deletesubcategory.phpのt2パラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.5(High)と評価されており、リモートからの攻撃が可能で、特権やユーザー介入も不要。CWE-89に分類されるこの脆弱性により、攻撃者による任意のコード実行が可能となっている。

【CVE-2024-51326】Travel management System v.1.0に...

projectworlds社のTravel management System v.1.0において、deletesubcategory.phpのt2パラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.5(High)と評価されており、リモートからの攻撃が可能で、特権やユーザー介入も不要。CWE-89に分類されるこの脆弱性により、攻撃者による任意のコード実行が可能となっている。

【CVE-2024-49358】ZimaOS 1.2.4にユーザー名列挙の脆弱性、クレデンシャルスタッフィング攻撃のリスクが浮上

【CVE-2024-49358】ZimaOS 1.2.4にユーザー名列挙の脆弱性、クレデンシャ...

IceWhaleTech社のZimaOS 1.2.4およびそれ以前のバージョンにおいて、ユーザー名列挙を可能にする脆弱性が発見された。この脆弱性は【CVE-2024-49358】として識別され、CVSSスコア5.3(MEDIUM)に分類されている。攻撃者はAPIエンドポイントのレスポンスの違いを利用してユーザー名を特定し、二次攻撃に悪用する可能性がある。現時点でパッチ適用済みバージョンは未リリースだ。

【CVE-2024-49358】ZimaOS 1.2.4にユーザー名列挙の脆弱性、クレデンシャ...

IceWhaleTech社のZimaOS 1.2.4およびそれ以前のバージョンにおいて、ユーザー名列挙を可能にする脆弱性が発見された。この脆弱性は【CVE-2024-49358】として識別され、CVSSスコア5.3(MEDIUM)に分類されている。攻撃者はAPIエンドポイントのレスポンスの違いを利用してユーザー名を特定し、二次攻撃に悪用する可能性がある。現時点でパッチ適用済みバージョンは未リリースだ。

【CVE-2024-49357】ZimaOS 1.2.4以前のバージョンで認証なし情報漏洩の脆弱性が発見、システムセキュリティに深刻な影響

【CVE-2024-49357】ZimaOS 1.2.4以前のバージョンで認証なし情報漏洩の脆...

ZimaOSのAPIエンドポイントにおいて、認証や承認なしで機密情報にアクセスできる重大な脆弱性が発見された。バージョン1.2.4以前の全バージョンが影響を受け、インストール済みアプリケーションやシステム情報が露出する可能性がある。CVSS v3.1で深刻度7.5(High)と評価されており、早急な対応が求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-49357】ZimaOS 1.2.4以前のバージョンで認証なし情報漏洩の脆...

ZimaOSのAPIエンドポイントにおいて、認証や承認なしで機密情報にアクセスできる重大な脆弱性が発見された。バージョン1.2.4以前の全バージョンが影響を受け、インストール済みアプリケーションやシステム情報が露出する可能性がある。CVSS v3.1で深刻度7.5(High)と評価されており、早急な対応が求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-49256】WordPress用Htaccess File Editor 1.0.18に認可の問題による脆弱性が発見、アップデートで対応へ

【CVE-2024-49256】WordPress用Htaccess File Editor ...

WPChillが開発するWordPress用プラグインHtaccess File Editorにおいて、バージョン1.0.18以前に認可の問題による脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価されたこの脆弱性は、アクセス制御リストによる適切な制約が不十分であることが原因とされている。WPChillはセキュリティアップデートとしてバージョン1.0.19を提供しており、早急な対応が推奨される。

【CVE-2024-49256】WordPress用Htaccess File Editor ...

WPChillが開発するWordPress用プラグインHtaccess File Editorにおいて、バージョン1.0.18以前に認可の問題による脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価されたこの脆弱性は、アクセス制御リストによる適切な制約が不十分であることが原因とされている。WPChillはセキュリティアップデートとしてバージョン1.0.19を提供しており、早急な対応が推奨される。

【CVE-2024-49237】WordPressプラグインAhmeti Wp Timeline 5.1にCSRFからStoredXSSの脆弱性が発見、深刻度は高レベルに

【CVE-2024-49237】WordPressプラグインAhmeti Wp Timelin...

Patchstack OÜがWordPress用プラグインAhmeti Wp Timeline 5.1以前のバージョンに存在するCSRFからStoredXSSへの攻撃が可能な脆弱性を報告した。CVE-2024-49237として識別されるこの脆弱性は、CVSSスコア7.1(High)と評価され、攻撃者が認証なしで遠隔から攻撃を実行できる可能性がある。影響範囲は機密性、整合性、可用性のすべてに及ぶ。

【CVE-2024-49237】WordPressプラグインAhmeti Wp Timelin...

Patchstack OÜがWordPress用プラグインAhmeti Wp Timeline 5.1以前のバージョンに存在するCSRFからStoredXSSへの攻撃が可能な脆弱性を報告した。CVE-2024-49237として識別されるこの脆弱性は、CVSSスコア7.1(High)と評価され、攻撃者が認証なしで遠隔から攻撃を実行できる可能性がある。影響範囲は機密性、整合性、可用性のすべてに及ぶ。

【CVE-2024-49229】WordPress用プラグインBetter Author Bio 2.7.10.11以前にCSRF to XSS脆弱性が発見、早急な対応が必要に

【CVE-2024-49229】WordPress用プラグインBetter Author Bi...

Patchstack OÜは2024年10月17日、WordPress用プラグインBetter Author Bio 2.7.10.11以前にCSRF to XSS脆弱性が存在することを公開した。この脆弱性はCVE-2024-49229として識別され、CVSSスコアは7.1とHIGHの深刻度に分類されている。攻撃者は悪意のあるスクリプトを実行できる可能性があり、早急な対応が求められる。

【CVE-2024-49229】WordPress用プラグインBetter Author Bi...

Patchstack OÜは2024年10月17日、WordPress用プラグインBetter Author Bio 2.7.10.11以前にCSRF to XSS脆弱性が存在することを公開した。この脆弱性はCVE-2024-49229として識別され、CVSSスコアは7.1とHIGHの深刻度に分類されている。攻撃者は悪意のあるスクリプトを実行できる可能性があり、早急な対応が求められる。

【CVE-2024-49220】WordPress Cookie Scanner Plugin 1.1にCSRFとXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-49220】WordPress Cookie Scanner Plugin...

PatchstackがWordPress用プラグインCookie Scannerにおいて、CSRFを介したStored XSSの脆弱性を発見した。CVSSスコア7.1の高深刻度で、バージョン1.1以前が影響を受ける。攻撃者は特権不要でリモートから攻撃可能で、技術的影響は部分的だが、ユーザーの関与があれば攻撃が成立する可能性がある。

【CVE-2024-49220】WordPress Cookie Scanner Plugin...

PatchstackがWordPress用プラグインCookie Scannerにおいて、CSRFを介したStored XSSの脆弱性を発見した。CVSSスコア7.1の高深刻度で、バージョン1.1以前が影響を受ける。攻撃者は特権不要でリモートから攻撃可能で、技術的影響は部分的だが、ユーザーの関与があれば攻撃が成立する可能性がある。

ペイトナー請求書がfreee会計とAPI連携を開始、経理業務の自動化による効率化を実現

ペイトナー請求書がfreee会計とAPI連携を開始、経理業務の自動化による効率化を実現

ペイトナー株式会社は法人向け支払いサービス「ペイトナー請求書」においてfreee会計とのAPI連携を開始した。請求書から得られた取引データをワンクリックでfreee会計に同期可能となり、CSVを介した連携作業が不要に。自動経理機能との連携で仕訳作成も自動化され、経理業務の効率化を実現。契約プランに関係なく利用可能で、多くの企業での活用が期待される。

ペイトナー請求書がfreee会計とAPI連携を開始、経理業務の自動化による効率化を実現

ペイトナー株式会社は法人向け支払いサービス「ペイトナー請求書」においてfreee会計とのAPI連携を開始した。請求書から得られた取引データをワンクリックでfreee会計に同期可能となり、CSVを介した連携作業が不要に。自動経理機能との連携で仕訳作成も自動化され、経理業務の効率化を実現。契約プランに関係なく利用可能で、多くの企業での活用が期待される。

プレミアムウォーターのfamfitがトモニテ子育て大賞2024で最優秀賞、ボトル下置き型の使いやすさが高評価

プレミアムウォーターのfamfitがトモニテ子育て大賞2024で最優秀賞、ボトル下置き型の使い...

プレミアムウォーター株式会社のウォーターサーバーfamfitが、トモニテ子育て大賞2024のウォーターサーバー部門で最優秀賞を受賞。非加熱処理による天然水のおいしさとボトル下置き型の使いやすさが評価された。妊娠中や未就学児のいる家庭向けに特別プランPREMIUM WATER MOM CLUBを提供し、子育て世帯の支援を強化している。

プレミアムウォーターのfamfitがトモニテ子育て大賞2024で最優秀賞、ボトル下置き型の使い...

プレミアムウォーター株式会社のウォーターサーバーfamfitが、トモニテ子育て大賞2024のウォーターサーバー部門で最優秀賞を受賞。非加熱処理による天然水のおいしさとボトル下置き型の使いやすさが評価された。妊娠中や未就学児のいる家庭向けに特別プランPREMIUM WATER MOM CLUBを提供し、子育て世帯の支援を強化している。

FormlabsのForm 4LがMicrosoftの製品開発を変革、24時間以内の試作提供体制を実現

FormlabsのForm 4LがMicrosoftの製品開発を変革、24時間以内の試作提供体...

株式会社システムクリエイトが、FormlabsのForm 4LとFuseシリーズをMicrosoftの開発部門に導入。Advanced Prototyping Center(APC)で80以上の製品カテゴリのプロトタイピングを支援し、24時間以内の試作提供を実現。SLA方式とSLS方式の組み合わせにより、高精度で耐久性のある試作品の製作が可能になり、製品開発の効率化に貢献している。

FormlabsのForm 4LがMicrosoftの製品開発を変革、24時間以内の試作提供体...

株式会社システムクリエイトが、FormlabsのForm 4LとFuseシリーズをMicrosoftの開発部門に導入。Advanced Prototyping Center(APC)で80以上の製品カテゴリのプロトタイピングを支援し、24時間以内の試作提供を実現。SLA方式とSLS方式の組み合わせにより、高精度で耐久性のある試作品の製作が可能になり、製品開発の効率化に貢献している。

【CVE-2024-49217】WordPress用プラグインAdding drop down roles in registrationに権限昇格の脆弱性、深刻度9.8の緊急対応が必要に

【CVE-2024-49217】WordPress用プラグインAdding drop down...

WordPressプラグインのAdding drop down roles in registrationにおいて、バージョン1.1以前に影響を与える重大な権限昇格の脆弱性が発見された。CVE-2024-49217として識別されるこの脆弱性は、CVSSスコア9.8と極めて高い深刻度を示しており、特別な権限を必要とせずにリモートから攻撃可能である点が特徴だ。影響を受けるすべてのユーザーに早急な対応が求められる。

【CVE-2024-49217】WordPress用プラグインAdding drop down...

WordPressプラグインのAdding drop down roles in registrationにおいて、バージョン1.1以前に影響を与える重大な権限昇格の脆弱性が発見された。CVE-2024-49217として識別されるこの脆弱性は、CVSSスコア9.8と極めて高い深刻度を示しており、特別な権限を必要とせずにリモートから攻撃可能である点が特徴だ。影響を受けるすべてのユーザーに早急な対応が求められる。

【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報の漏洩リスクが判明

【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報...

IceWhaleTech社のZimaOSにおいて、バージョン1.2.4以前に重大な認証バイパスの脆弱性が発見された。APIエンドポイントにおいて認証なしでユーザー名情報にアクセス可能な状態となっており、CVE-2024-48932として識別されている。CVSSスコアは5.3(Medium)と評価され、この脆弱性を悪用されるとブルートフォース攻撃やフィッシングの足がかりとされる可能性がある。現時点でパッチ適用版は未リリース。

【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報...

IceWhaleTech社のZimaOSにおいて、バージョン1.2.4以前に重大な認証バイパスの脆弱性が発見された。APIエンドポイントにおいて認証なしでユーザー名情報にアクセス可能な状態となっており、CVE-2024-48932として識別されている。CVSSスコアは5.3(Medium)と評価され、この脆弱性を悪用されるとブルートフォース攻撃やフィッシングの足がかりとされる可能性がある。現時点でパッチ適用版は未リリース。

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密ファイルの読み取りが可能に

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...

IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5(High)と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...

IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5(High)と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエストによる機密データ露出の脆弱性、早急な対応が必要に

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...

Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...

Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-47404】OpenHarmony v4.1.0でDouble Free脆弱性を発見、root権限昇格と機密情報漏洩のリスクに警戒

【CVE-2024-47404】OpenHarmony v4.1.0でDouble Free脆...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Double Free脆弱性【CVE-2024-47404】が発見された。この脆弱性により、ローカル攻撃者が通常権限をroot権限に昇格させ、機密情報を漏洩させる可能性がある。CVSSスコアは8.4(High)を記録しており、早急なアップデートが推奨されている。影響を受けるバージョンはv4.0.0からv4.1.0まで。

【CVE-2024-47404】OpenHarmony v4.1.0でDouble Free脆...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Double Free脆弱性【CVE-2024-47404】が発見された。この脆弱性により、ローカル攻撃者が通常権限をroot権限に昇格させ、機密情報を漏洩させる可能性がある。CVSSスコアは8.4(High)を記録しており、早急なアップデートが推奨されている。影響を受けるバージョンはv4.0.0からv4.1.0まで。

【CVE-2024-47402】OpenHarmony v4.0.0のLiteos_aにバッファオーバーリード脆弱性、サービス拒否攻撃のリスクが判明

【CVE-2024-47402】OpenHarmony v4.0.0のLiteos_aにバッフ...

OpenHarmonyのv4.0.0およびそれ以前のバージョンにおいて、Liteos_aにバッファオーバーリード脆弱性が発見された。CVE-2024-47402として識別されるこの脆弱性は、ローカル攻撃者によるサービス拒否攻撃を引き起こす可能性がある。CVSS v3.1で3.3(Low)と評価され、影響を受けるバージョンはv4.0.0から4.1.0までとされている。

【CVE-2024-47402】OpenHarmony v4.0.0のLiteos_aにバッフ...

OpenHarmonyのv4.0.0およびそれ以前のバージョンにおいて、Liteos_aにバッファオーバーリード脆弱性が発見された。CVE-2024-47402として識別されるこの脆弱性は、ローカル攻撃者によるサービス拒否攻撃を引き起こす可能性がある。CVSS v3.1で3.3(Low)と評価され、影響を受けるバージョンはv4.0.0から4.1.0までとされている。

【CVE-2024-47137】OpenHarmony v4.1.0のLiteos_aに重大な脆弱性、権限昇格とデータ漏洩のリスクが発生

【CVE-2024-47137】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47137として識別されるこの脆弱性は、CVSSスコア8.4の高リスクに分類され、ローカル攻撃者による管理者権限への昇格や機密情報の漏洩を引き起こす可能性がある。影響を受けるバージョンはv4.0.0からv4.1.0までで、早急な対策が求められている。

【CVE-2024-47137】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47137として識別されるこの脆弱性は、CVSSスコア8.4の高リスクに分類され、ローカル攻撃者による管理者権限への昇格や機密情報の漏洩を引き起こす可能性がある。影響を受けるバージョンはv4.0.0からv4.1.0までで、早急な対策が求められている。

【CVE-2024-43924】WordPressのResponsive Lightbox 2.4.7で認証の脆弱性が発覚、アクセス制御の不備により早急な対応が必要に

【CVE-2024-43924】WordPressのResponsive Lightbox 2...

WordPressプラグインのResponsive Lightboxにおいて、バージョン2.4.7以前に重大な認証の脆弱性が発見された。CVE-2024-43924として識別されたこの問題は、アクセス制御リストによる適切な制限がない状態でシステム機能にアクセスできる脆弱性である。CVSSスコア5.3の中程度の深刻度と評価され、特権レベルや利用者の関与を必要としない点が特徴的だ。

【CVE-2024-43924】WordPressのResponsive Lightbox 2...

WordPressプラグインのResponsive Lightboxにおいて、バージョン2.4.7以前に重大な認証の脆弱性が発見された。CVE-2024-43924として識別されたこの問題は、アクセス制御リストによる適切な制限がない状態でシステム機能にアクセスできる脆弱性である。CVSSスコア5.3の中程度の深刻度と評価され、特権レベルや利用者の関与を必要としない点が特徴的だ。

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性、早急なアップデートが必要に

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性...

Webベースのサービス管理ツールCombodo iTopにおいて、CSVインポートのシミュレーション機能にCSRF脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、バージョン3.1.2および3.2.0で修正が実施された。現時点で回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性...

Webベースのサービス管理ツールCombodo iTopにおいて、CSVインポートのシミュレーション機能にCSRF脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、バージョン3.1.2および3.2.0で修正が実施された。現時点で回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-50529】WordPress Training Coursesプラグインに深刻な脆弱性、Webシェル攻撃のリスクで早急な対応が必要

【CVE-2024-50529】WordPress Training Coursesプラグイン...

WordPressプラグインTraining Courses 2.0.1以前のバージョンに危険なファイルアップロードの脆弱性が発見された。CVE-2024-50529として識別されるこの脆弱性は、攻撃者によるWebシェルのアップロードを可能にし、サーバーの遠隔操作やデータの改ざんのリスクがある。CVSSスコア9.9のクリティカルな脆弱性として評価され、早急なアップデートが推奨されている。

【CVE-2024-50529】WordPress Training Coursesプラグイン...

WordPressプラグインTraining Courses 2.0.1以前のバージョンに危険なファイルアップロードの脆弱性が発見された。CVE-2024-50529として識別されるこの脆弱性は、攻撃者によるWebシェルのアップロードを可能にし、サーバーの遠隔操作やデータの改ざんのリスクがある。CVSSスコア9.9のクリティカルな脆弱性として評価され、早急なアップデートが推奨されている。

【CVE-2024-50527】WordPress用Stacks Mobile App Builder 5.2.3に深刻な脆弱性、Webシェルのアップロードが可能に

【CVE-2024-50527】WordPress用Stacks Mobile App Bui...

WordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに危険なファイルのアップロードを許可する脆弱性が発見された。CVE-2024-50527として識別されるこの脆弱性は、CVSSスコア10.0の最も深刻なレベルで、攻撃者が認証なしでWebシェルをサーバーにアップロードすることが可能となる。早急なバージョンアップデートによる対策が必要だ。

【CVE-2024-50527】WordPress用Stacks Mobile App Bui...

WordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに危険なファイルのアップロードを許可する脆弱性が発見された。CVE-2024-50527として識別されるこの脆弱性は、CVSSスコア10.0の最も深刻なレベルで、攻撃者が認証なしでWebシェルをサーバーにアップロードすることが可能となる。早急なバージョンアップデートによる対策が必要だ。

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱性、Webシェルによる無制限な攻撃が可能に

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱...

PatchstackはWordPress用プラグインHelloprintにおいて、危険な任意のファイルアップロードを可能にする脆弱性【CVE-2024-50525】を報告した。バージョン2.0.2以前のすべてのバージョンが影響を受け、攻撃者によるWebシェルのアップロードを許可する可能性がある。CVSSスコア10.0の最も深刻なレベルとされ、早急な対応が必要である。

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱...

PatchstackはWordPress用プラグインHelloprintにおいて、危険な任意のファイルアップロードを可能にする脆弱性【CVE-2024-50525】を報告した。バージョン2.0.2以前のすべてのバージョンが影響を受け、攻撃者によるWebシェルのアップロードを許可する可能性がある。CVSSスコア10.0の最も深刻なレベルとされ、早急な対応が必要である。

【CVE-2024-50523】WordPress All Post Contact Form 1.7.3に致命的な脆弱性、Webシェルアップロードによる重大な影響の恐れ

【CVE-2024-50523】WordPress All Post Contact Form...

RainbowLink社のWordPressプラグインAll Post Contact Form 1.7.3以前のバージョンに、危険なファイルタイプのアップロードを制限できない重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルと評価され、Webシェルのアップロードによってサーバーが危険にさらされる可能性がある。特権やユーザー操作を必要としない点から、早急な対策が求められている。

【CVE-2024-50523】WordPress All Post Contact Form...

RainbowLink社のWordPressプラグインAll Post Contact Form 1.7.3以前のバージョンに、危険なファイルタイプのアップロードを制限できない重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルと評価され、Webシェルのアップロードによってサーバーが危険にさらされる可能性がある。特権やユーザー操作を必要としない点から、早急な対策が求められている。

【CVE-2024-49750】Snowflake Connector for Python 3.12.3未満で機密情報がログに漏洩する脆弱性を修正

【CVE-2024-49750】Snowflake Connector for Python ...

Snowflake Connector for Pythonにおいて、バージョン3.12.3未満でDuoパスコードやAzure SASトークンなどの機密情報がログに漏洩する脆弱性が発見された。SecretDetectorログフォーマッターの不具合によりJWTトークンと特定の秘密鍵フォーマットの保護が不完全となっており、CVSS v3.1で5.5(MEDIUM)と評価されている。

【CVE-2024-49750】Snowflake Connector for Python ...

Snowflake Connector for Pythonにおいて、バージョン3.12.3未満でDuoパスコードやAzure SASトークンなどの機密情報がログに漏洩する脆弱性が発見された。SecretDetectorログフォーマッターの不具合によりJWTトークンと特定の秘密鍵フォーマットの保護が不完全となっており、CVSS v3.1で5.5(MEDIUM)と評価されている。

【CVE-2024-10806】PHPGurukul Hospital Management System 4.0にXSS脆弱性が発見、医療データのセキュリティに懸念

【CVE-2024-10806】PHPGurukul Hospital Management ...

PHPGurukul Hospital Management System 4.0のbetweendates-detailsreports.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、fromdateとtodateパラメータの不適切な処理に起因し、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、医療機関のデータセキュリティに対する早急な対応が必要となっている。

【CVE-2024-10806】PHPGurukul Hospital Management ...

PHPGurukul Hospital Management System 4.0のbetweendates-detailsreports.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、fromdateとtodateパラメータの不適切な処理に起因し、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、医療機関のデータセキュリティに対する早急な対応が必要となっている。

【CVE-2024-10791】Hospital Appointment System 1.0にSQL injection脆弱性、医療システムのセキュリティに警鐘

【CVE-2024-10791】Hospital Appointment System 1.0...

CodezipsのHospital Appointment System 1.0においてSQL injectionの重大な脆弱性が発見された。doctorAction.phpファイルのName引数に対する入力値の無効化が不十分であり、リモートからの攻撃が可能な状態となっている。CVSSスコアは最大7.3を記録しており、早急な対応が必要とされている。医療システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2024-10791】Hospital Appointment System 1.0...

CodezipsのHospital Appointment System 1.0においてSQL injectionの重大な脆弱性が発見された。doctorAction.phpファイルのName引数に対する入力値の無効化が不十分であり、リモートからの攻撃が可能な状態となっている。CVSSスコアは最大7.3を記録しており、早急な対応が必要とされている。医療システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2024-10768】PHPGurukul Online Shopping Portal 2.0にXSS脆弱性、リモート攻撃のリスクが深刻化

【CVE-2024-10768】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理画面に存在するtwo_tables.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性は、リモートからの攻撃が可能で既に公開されている。スクリプト引数の操作により、攻撃者は任意のスクリプトを実行可能な状態となっている。

【CVE-2024-10768】PHPGurukul Online Shopping Port...

PHPGurukul Online Shopping Portal 2.0の管理画面に存在するtwo_tables.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されたこの脆弱性は、リモートからの攻撃が可能で既に公開されている。スクリプト引数の操作により、攻撃者は任意のスクリプトを実行可能な状態となっている。

【CVE-2024-10751】Codezips ISP Management System 1.0にSQL injection脆弱性、認証済みユーザーによる遠隔攻撃が可能な状態に

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。

【CVE-2024-10751】Codezips ISP Management System ...

Codezips ISP Management System 1.0のpay.phpファイルにSQL injection脆弱性が発見された。CVE-2024-10751として識別されるこの脆弱性は、customer引数の不適切な処理に起因する。CVSSスコア6.3のMedium評価で、認証済みユーザーによるリモート攻撃が可能な状態となっており、機密性・完全性・可用性への影響が想定される。攻撃コードも公開されているため、早急な対応が必要だ。

【CVE-2024-10597】ESAFENET CDG 5にSQL injection脆弱性が発見、リモートからの攻撃が可能に

【CVE-2024-10597】ESAFENET CDG 5にSQL injection脆弱性...

VulDBはESAFENET CDG 5のdelPolicyAction機能に重大な脆弱性を発見し、2024年10月31日に公開した。この脆弱性はSQL injectionを可能とし、リモートからの攻撃が可能。CVSSスコアは3.1と3.0で6.3(Medium)、4.0で5.3(Medium)と評価されており、confidentiality、integrity、availabilityへの影響は全てLowとされている。ベンダーからの応答はなく、早急な対応が必要な状況となっている。

【CVE-2024-10597】ESAFENET CDG 5にSQL injection脆弱性...

VulDBはESAFENET CDG 5のdelPolicyAction機能に重大な脆弱性を発見し、2024年10月31日に公開した。この脆弱性はSQL injectionを可能とし、リモートからの攻撃が可能。CVSSスコアは3.1と3.0で6.3(Medium)、4.0で5.3(Medium)と評価されており、confidentiality、integrity、availabilityへの影響は全てLowとされている。ベンダーからの応答はなく、早急な対応が必要な状況となっている。