Tech Insights

【CVE-2024-11208】Apereo CAS 6.6にセッション有効期限切れの脆弱性、セキュリティリスクの対応が急務に

【CVE-2024-11208】Apereo CAS 6.6にセッション有効期限切れの脆弱性、...

Apereo CAS 6.6において、ログインサービス機能のセッション有効期限切れに関する脆弱性が発見された。CVE-2024-11208として識別されるこの問題は、/login?serviceファイルの処理に影響を及ぼし、CVSSスコア6.3のMEDIUM評価となっている。攻撃の複雑性は高いものの、既に公開されており早急な対応が求められている。

【CVE-2024-11208】Apereo CAS 6.6にセッション有効期限切れの脆弱性、...

Apereo CAS 6.6において、ログインサービス機能のセッション有効期限切れに関する脆弱性が発見された。CVE-2024-11208として識別されるこの問題は、/login?serviceファイルの処理に影響を及ぼし、CVSSスコア6.3のMEDIUM評価となっている。攻撃の複雑性は高いものの、既に公開されており早急な対応が求められている。

【CVE-2024-11150】WordPress User Extra Fields 16.6の重大な脆弱性、未認証でのファイル削除が可能に

【CVE-2024-11150】WordPress User Extra Fields 16....

WordPress用プラグインのUser Extra Fields 16.6以前のバージョンにおいて、delete_tmp_uploaded_file()関数のファイルパス検証が不十分であることによる重大な脆弱性が発見された。未認証の攻撃者が任意のファイルを削除可能で、wp-config.phpなどの重要ファイル削除によりリモートコード実行のリスクがある。CVSSスコア9.8の重大度で早急な対応が必要。

【CVE-2024-11150】WordPress User Extra Fields 16....

WordPress用プラグインのUser Extra Fields 16.6以前のバージョンにおいて、delete_tmp_uploaded_file()関数のファイルパス検証が不十分であることによる重大な脆弱性が発見された。未認証の攻撃者が任意のファイルを削除可能で、wp-config.phpなどの重要ファイル削除によりリモートコード実行のリスクがある。CVSSスコア9.8の重大度で早急な対応が必要。

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医療情報システムのセキュリティに警鐘

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...

OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医...

OpenEMRのバージョン7.0.1において、セキュアメッセージング機能に重大な脆弱性が発見された。CVE-2024-0875として識別されたこの問題は、悪意のあるスクリプトを「inputBody」フィールドに注入することで他のユーザーアカウントを危険にさらす可能性がある。CVSSスコア8.1と高い深刻度を示しており、バージョン7.0.2.1で修正されたため、早急なアップデートが推奨される。

【CVE-2024-52292】Craft CMSにおけるシステムファイル読み取りの脆弱性、深刻度Highの対応が必要に

【CVE-2024-52292】Craft CMSにおけるシステムファイル読み取りの脆弱性、深...

Craft CMSのシステム通知テンプレートにおいて、dataUrl関数を悪用した任意のファイル読み取りが可能となる脆弱性が発見された。攻撃者は書き込み権限を利用してBase64エンコードされたファイル内容を外部に漏洩させることが可能で、CVSSスコア7.7のHigh評価となっている。影響を受けるバージョンは5.0.0-alpha.1から5.4.9未満および3.5.13から4.12.8未満で、早急なアップデートが推奨されている。

【CVE-2024-52292】Craft CMSにおけるシステムファイル読み取りの脆弱性、深...

Craft CMSのシステム通知テンプレートにおいて、dataUrl関数を悪用した任意のファイル読み取りが可能となる脆弱性が発見された。攻撃者は書き込み権限を利用してBase64エンコードされたファイル内容を外部に漏洩させることが可能で、CVSSスコア7.7のHigh評価となっている。影響を受けるバージョンは5.0.0-alpha.1から5.4.9未満および3.5.13から4.12.8未満で、早急なアップデートが推奨されている。

【CVE-2024-42383】Mongoose Web Server v7.14にポインタオフセットの脆弱性、ホスト名フィールドのメモリ領域外にNULL値書き込みが可能に

【CVE-2024-42383】Mongoose Web Server v7.14にポインタオ...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14における重要な脆弱性を報告した。CVE-2024-42383として識別されるこの脆弱性は、ホスト名フィールドのメモリ領域外にNULL値を書き込むことが可能なOut-of-range Pointer Offsetの問題だ。CVSSスコア4.2で中程度の深刻度と評価されており、特権は不要だがユーザーの操作と高度な技術知識が必要となる。

【CVE-2024-42383】Mongoose Web Server v7.14にポインタオ...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14における重要な脆弱性を報告した。CVE-2024-42383として識別されるこの脆弱性は、ホスト名フィールドのメモリ領域外にNULL値を書き込むことが可能なOut-of-range Pointer Offsetの問題だ。CVSSスコア4.2で中程度の深刻度と評価されており、特権は不要だがユーザーの操作と高度な技術知識が必要となる。

【CVE-2024-23715】AndroidのPMRWritePMPageListにバッファオーバーフロー脆弱性、カーネルでの特権昇格のリスクに警戒

【CVE-2024-23715】AndroidのPMRWritePMPageListにバッファ...

Androidのpmr.cファイルに存在するPMRWritePMPageList機能でバッファオーバーフローの脆弱性が発見された。CVE-2024-23715として識別されるこの脆弱性は、追加の実行権限なしでカーネルレベルでの特権昇格が可能となる。CVSSスコア7.8のハイリスク評価で、攻撃の複雑さは低く、ユーザー操作も不要。Googleは11月のセキュリティアップデートで対策パッチを提供している。

【CVE-2024-23715】AndroidのPMRWritePMPageListにバッファ...

Androidのpmr.cファイルに存在するPMRWritePMPageList機能でバッファオーバーフローの脆弱性が発見された。CVE-2024-23715として識別されるこの脆弱性は、追加の実行権限なしでカーネルレベルでの特権昇格が可能となる。CVSSスコア7.8のハイリスク評価で、攻撃の複雑さは低く、ユーザー操作も不要。Googleは11月のセキュリティアップデートで対策パッチを提供している。

【CVE-2024-9682】Royal Elementor Addons 1.7.1001にXSS脆弱性、Contributorレベル以上で任意スクリプト実行が可能に

【CVE-2024-9682】Royal Elementor Addons 1.7.1001に...

WordPressプラグインRoyal Elementor Addons and Templates 1.7.1001以前にStored XSSの脆弱性が発見された。Form Builder Widgetにおける不適切な入力処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスしたユーザーのブラウザ上でスクリプトが実行される可能性がある。

【CVE-2024-9682】Royal Elementor Addons 1.7.1001に...

WordPressプラグインRoyal Elementor Addons and Templates 1.7.1001以前にStored XSSの脆弱性が発見された。Form Builder Widgetにおける不適切な入力処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスしたユーザーのブラウザ上でスクリプトが実行される可能性がある。

【CVE-2024-43452】Windowsレジストリの権限昇格の脆弱性が発見、複数バージョンに影響

【CVE-2024-43452】Windowsレジストリの権限昇格の脆弱性が発見、複数バージョ...

Microsoftが公開したWindowsレジストリの権限昇格の脆弱性【CVE-2024-43452】は、CVSSスコア7.5の重大な脆弱性として評価された。Windows 10からWindows Server 2025まで広範なバージョンに影響を及ぼし、Time-of-check Time-of-useレースコンディションに分類される。攻撃の複雑さは高いものの特権は不要で、適切なパッチ適用による対策が必要となる。

【CVE-2024-43452】Windowsレジストリの権限昇格の脆弱性が発見、複数バージョ...

Microsoftが公開したWindowsレジストリの権限昇格の脆弱性【CVE-2024-43452】は、CVSSスコア7.5の重大な脆弱性として評価された。Windows 10からWindows Server 2025まで広範なバージョンに影響を及ぼし、Time-of-check Time-of-useレースコンディションに分類される。攻撃の複雑さは高いものの特権は不要で、適切なパッチ適用による対策が必要となる。

【CVE-2024-43602】Azure CycleCloudにリモートコード実行の脆弱性、クリティカルレベルで即時対応が必要に

【CVE-2024-43602】Azure CycleCloudにリモートコード実行の脆弱性、...

MicrosoftのAzure CycleCloudにおいて、バージョン8.0.0から8.6.4までの全バージョンに影響を与えるリモートコード実行の脆弱性が発見された。CVSSスコア9.9のクリティカルな評価を受けており、低い特権レベルでの攻撃が可能で、ユーザーの操作を必要としない点が特に危険視されている。Microsoftは緊急の対応としてバージョン8.6.5で修正パッチを提供している。

【CVE-2024-43602】Azure CycleCloudにリモートコード実行の脆弱性、...

MicrosoftのAzure CycleCloudにおいて、バージョン8.0.0から8.6.4までの全バージョンに影響を与えるリモートコード実行の脆弱性が発見された。CVSSスコア9.9のクリティカルな評価を受けており、低い特権レベルでの攻撃が可能で、ユーザーの操作を必要としない点が特に危険視されている。Microsoftは緊急の対応としてバージョン8.6.5で修正パッチを提供している。

【CVE-2024-43633】Windows Hyper-Vにサービス拒否脆弱性、ARM64とx64の両プラットフォームに影響

【CVE-2024-43633】Windows Hyper-Vにサービス拒否脆弱性、ARM64...

MicrosoftはWindows Hyper-Vにおけるサービス拒否の脆弱性を公開した。CVE-2024-43633として特定されたこの脆弱性は、Windows 11の複数バージョンのARM64およびx64ベースシステムに影響を与える。CVSS評価で中程度とされるものの、仮想化環境への影響が懸念される。適切なパッチ適用による対策が推奨される。

【CVE-2024-43633】Windows Hyper-Vにサービス拒否脆弱性、ARM64...

MicrosoftはWindows Hyper-Vにおけるサービス拒否の脆弱性を公開した。CVE-2024-43633として特定されたこの脆弱性は、Windows 11の複数バージョンのARM64およびx64ベースシステムに影響を与える。CVSS評価で中程度とされるものの、仮想化環境への影響が懸念される。適切なパッチ適用による対策が推奨される。

【CVE-2024-43645】Windows Defender Application Controlに深刻な脆弱性、複数のWindowsバージョンに影響

【CVE-2024-43645】Windows Defender Application Co...

Microsoftは2024年11月12日、Windows Defender Application Control(WDAC)におけるセキュリティ機能のバイパス脆弱性を公開した。この脆弱性はWindows 10の複数バージョンとWindows Server 2019に影響を与え、CVSSv3.1での評価では6.7のミディアムスコアを記録している。高い特権レベルを必要とするものの、ユーザーインターフェースを介さずに攻撃を実行できる可能性があるため、早急な対応が求められる。

【CVE-2024-43645】Windows Defender Application Co...

Microsoftは2024年11月12日、Windows Defender Application Control(WDAC)におけるセキュリティ機能のバイパス脆弱性を公開した。この脆弱性はWindows 10の複数バージョンとWindows Server 2019に影響を与え、CVSSv3.1での評価では6.7のミディアムスコアを記録している。高い特権レベルを必要とするものの、ユーザーインターフェースを介さずに攻撃を実行できる可能性があるため、早急な対応が求められる。

【CVE-2024-43640】Windows Kernel-Mode Driverで特権昇格の脆弱性が発見、複数バージョンに影響

【CVE-2024-43640】Windows Kernel-Mode Driverで特権昇格...

MicrosoftはWindows Kernel-Mode Driverに特権昇格の脆弱性【CVE-2024-43640】を発見し公開した。この脆弱性はCVSS 3.1で7.8のスコアを記録しており、CWE-415のDouble Free脆弱性として分類されている。Windows Server 2022やWindows 11など複数のバージョンに影響を与え、ローカルアクセス権限を持つ攻撃者が特権昇格を行える可能性がある重大な問題となっている。

【CVE-2024-43640】Windows Kernel-Mode Driverで特権昇格...

MicrosoftはWindows Kernel-Mode Driverに特権昇格の脆弱性【CVE-2024-43640】を発見し公開した。この脆弱性はCVSS 3.1で7.8のスコアを記録しており、CWE-415のDouble Free脆弱性として分類されている。Windows Server 2022やWindows 11など複数のバージョンに影響を与え、ローカルアクセス権限を持つ攻撃者が特権昇格を行える可能性がある重大な問題となっている。

【CVE-2024-43636】MicrosoftがWin32k権限昇格の脆弱性を公開、複数のWindowsバージョンに影響

【CVE-2024-43636】MicrosoftがWin32k権限昇格の脆弱性を公開、複数の...

MicrosoftはWindows系統のWin32k権限昇格の脆弱性【CVE-2024-43636】を公開した。この脆弱性はWindows 10やWindows 11、Windows Serverなど広範囲の製品に影響を与え、CVSSスコア7.8と高い深刻度を示している。CWE-822に分類される信頼されていないポインタの参照に関する問題であり、攻撃者による特権昇格のリスクがある。

【CVE-2024-43636】MicrosoftがWin32k権限昇格の脆弱性を公開、複数の...

MicrosoftはWindows系統のWin32k権限昇格の脆弱性【CVE-2024-43636】を公開した。この脆弱性はWindows 10やWindows 11、Windows Serverなど広範囲の製品に影響を与え、CVSSスコア7.8と高い深刻度を示している。CWE-822に分類される信頼されていないポインタの参照に関する問題であり、攻撃者による特権昇格のリスクがある。

【CVE-2024-43630】Windowsカーネルに特権昇格の脆弱性、複数バージョンで更新が必要に

【CVE-2024-43630】Windowsカーネルに特権昇格の脆弱性、複数バージョンで更新...

MicrosoftがWindowsカーネルにおける特権昇格の脆弱性CVE-2024-43630を公開した。この脆弱性はStack-based Buffer Overflowに分類され、Windows Server 2022やWindows 11 Version 24H2などの複数バージョンに影響を与える。CVSSスコア7.8と高い深刻度で評価されており、早急なセキュリティパッチの適用が必要とされている。

【CVE-2024-43630】Windowsカーネルに特権昇格の脆弱性、複数バージョンで更新...

MicrosoftがWindowsカーネルにおける特権昇格の脆弱性CVE-2024-43630を公開した。この脆弱性はStack-based Buffer Overflowに分類され、Windows Server 2022やWindows 11 Version 24H2などの複数バージョンに影響を与える。CVSSスコア7.8と高い深刻度で評価されており、早急なセキュリティパッチの適用が必要とされている。

【CVE-2024-43626】WindowsのTelephony Serviceに権限昇格の脆弱性が発見、複数バージョンに影響

【CVE-2024-43626】WindowsのTelephony Serviceに権限昇格の...

MicrosoftはWindows Telephony Serviceにおける権限昇格の脆弱性CVE-2024-43626を公開した。この脆弱性はCVSS v3.1で7.8のハイリスクと評価され、Windows 10からWindows 11、さらにWindows Server 2008から2025まで広範な影響を及ぼしている。特権を持つ攻撃者がユーザーの操作なしで権限を昇格できる深刻な問題となっている。

【CVE-2024-43626】WindowsのTelephony Serviceに権限昇格の...

MicrosoftはWindows Telephony Serviceにおける権限昇格の脆弱性CVE-2024-43626を公開した。この脆弱性はCVSS v3.1で7.8のハイリスクと評価され、Windows 10からWindows 11、さらにWindows Server 2008から2025まで広範な影響を及ぼしている。特権を持つ攻撃者がユーザーの操作なしで権限を昇格できる深刻な問題となっている。

【CVE-2024-43634】Windows USB Video Class System Driverに深刻な権限昇格の脆弱性が発見、広範なバージョンに影響

【CVE-2024-43634】Windows USB Video Class System ...

MicrosoftはWindows USB Video Class System Driverにおける重大な権限昇格の脆弱性を公開した。この脆弱性はWindows 10からWindows 11、さらにWindows Server 2008 SP2からWindows Server 2025まで広範なバージョンに影響を及ぼす。CVSS v3.1で中程度(6.8)と評価されているが、認証不要で物理アクセスによる攻撃が可能という特徴を持つ。

【CVE-2024-43634】Windows USB Video Class System ...

MicrosoftはWindows USB Video Class System Driverにおける重大な権限昇格の脆弱性を公開した。この脆弱性はWindows 10からWindows 11、さらにWindows Server 2008 SP2からWindows Server 2025まで広範なバージョンに影響を及ぼす。CVSS v3.1で中程度(6.8)と評価されているが、認証不要で物理アクセスによる攻撃が可能という特徴を持つ。

【CVE-2024-43637】WindowsのUSBビデオクラスシステムドライバに権限昇格の脆弱性、広範なバージョンに影響

【CVE-2024-43637】WindowsのUSBビデオクラスシステムドライバに権限昇格の...

MicrosoftがWindowsのUSBビデオクラスシステムドライバにおける権限昇格の脆弱性【CVE-2024-43637】を公開した。Windows 10/11およびWindows Server 2008から2025まで広範なバージョンが影響を受け、Out-of-bounds Read(CWE-125)として分類される深刻な脆弱性であることが判明。各バージョンの最新アップデートによる対応が推奨される状況だ。

【CVE-2024-43637】WindowsのUSBビデオクラスシステムドライバに権限昇格の...

MicrosoftがWindowsのUSBビデオクラスシステムドライバにおける権限昇格の脆弱性【CVE-2024-43637】を公開した。Windows 10/11およびWindows Server 2008から2025まで広範なバージョンが影響を受け、Out-of-bounds Read(CWE-125)として分類される深刻な脆弱性であることが判明。各バージョンの最新アップデートによる対応が推奨される状況だ。

【CVE-2024-43639】Windows KDC Proxyに重大な脆弱性、全バージョンのWindows Serverに影響

【CVE-2024-43639】Windows KDC Proxyに重大な脆弱性、全バージョン...

MicrosoftはWindows KDC Proxyにおける深刻なリモートコード実行の脆弱性を公開した。CVSSスコア9.8のCriticalと評価され、Windows Server 2012から2025まで広範なバージョンに影響。認証不要でリモートからの攻撃が可能であり、機密性・整合性・可用性のすべてにおいて高いリスクが存在するため、早急なパッチ適用が推奨される。

【CVE-2024-43639】Windows KDC Proxyに重大な脆弱性、全バージョン...

MicrosoftはWindows KDC Proxyにおける深刻なリモートコード実行の脆弱性を公開した。CVSSスコア9.8のCriticalと評価され、Windows Server 2012から2025まで広範なバージョンに影響。認証不要でリモートからの攻撃が可能であり、機密性・整合性・可用性のすべてにおいて高いリスクが存在するため、早急なパッチ適用が推奨される。

【CVE-2024-43643】WindowsのUSB Video Classドライバに権限昇格の脆弱性、複数バージョンで影響確認

【CVE-2024-43643】WindowsのUSB Video Classドライバに権限昇...

MicrosoftがWindowsのUSB Video Classシステムドライバに存在する権限昇格の脆弱性【CVE-2024-43643】を公開。CVSSv3.1で中程度(6.8)と評価され、物理的なアクセスで権限昇格が可能。Windows Server 2025からWindows Server 2008まで、また Windows 10、11の広範なバージョンに影響。32ビット、64ビット、ARM64ベースの各システムが対象となっている。

【CVE-2024-43643】WindowsのUSB Video Classドライバに権限昇...

MicrosoftがWindowsのUSB Video Classシステムドライバに存在する権限昇格の脆弱性【CVE-2024-43643】を公開。CVSSv3.1で中程度(6.8)と評価され、物理的なアクセスで権限昇格が可能。Windows Server 2025からWindows Server 2008まで、また Windows 10、11の広範なバージョンに影響。32ビット、64ビット、ARM64ベースの各システムが対象となっている。

【CVE-2024-43646】Windows Secure Kernel Modeに特権昇格の脆弱性、複数バージョンに影響

【CVE-2024-43646】Windows Secure Kernel Modeに特権昇格...

Microsoftは2024年11月12日、Windows Secure Kernel Modeにおける特権昇格の脆弱性【CVE-2024-43646】を公開した。この脆弱性は、Windows Server 2025やWindows 11 Version 24H2など複数のバージョンに影響を与え、CVSSv3.1で6.7の評価を受けている。攻撃者が管理者権限を持つローカルシステムで悪意のあるプログラムを実行することで、権限昇格が可能となる深刻な問題である。

【CVE-2024-43646】Windows Secure Kernel Modeに特権昇格...

Microsoftは2024年11月12日、Windows Secure Kernel Modeにおける特権昇格の脆弱性【CVE-2024-43646】を公開した。この脆弱性は、Windows Server 2025やWindows 11 Version 24H2など複数のバージョンに影響を与え、CVSSv3.1で6.7の評価を受けている。攻撃者が管理者権限を持つローカルシステムで悪意のあるプログラムを実行することで、権限昇格が可能となる深刻な問題である。

【CVE-2024-43641】WindowsのRegistryに特権昇格の脆弱性、複数のWindows製品のセキュリティに影響

【CVE-2024-43641】WindowsのRegistryに特権昇格の脆弱性、複数のWi...

MicrosoftがWindows Registryにおける特権昇格の脆弱性【CVE-2024-43641】を公開した。CVSSスコア7.8と高い深刻度を示すこの脆弱性は、Windows Server 2025やWindows 11など複数の製品に影響を与える。Integer Overflow or Wraparound(CWE-190)に分類されるこの問題は、ローカルからの攻撃が可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。

【CVE-2024-43641】WindowsのRegistryに特権昇格の脆弱性、複数のWi...

MicrosoftがWindows Registryにおける特権昇格の脆弱性【CVE-2024-43641】を公開した。CVSSスコア7.8と高い深刻度を示すこの脆弱性は、Windows Server 2025やWindows 11など複数の製品に影響を与える。Integer Overflow or Wraparound(CWE-190)に分類されるこの問題は、ローカルからの攻撃が可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。

【CVE-2024-48993】Microsoft SQL Server 2016-2019にリモートコード実行の脆弱性、複数バージョンのアップデートが必要に

【CVE-2024-48993】Microsoft SQL Server 2016-2019に...

MicrosoftはSQL Server Native Clientに存在するリモートコード実行の脆弱性を公開した。この脆弱性はCVE-2024-48993として識別され、CVSS v3.1で8.8(HIGH)の評価を受けている。影響を受けるバージョンはSQL Server 2016 Service Pack 3からSQL Server 2019まで広範囲に及び、各バージョンに対応したセキュリティパッチの適用が必要となる。

【CVE-2024-48993】Microsoft SQL Server 2016-2019に...

MicrosoftはSQL Server Native Clientに存在するリモートコード実行の脆弱性を公開した。この脆弱性はCVE-2024-48993として識別され、CVSS v3.1で8.8(HIGH)の評価を受けている。影響を受けるバージョンはSQL Server 2016 Service Pack 3からSQL Server 2019まで広範囲に及び、各バージョンに対応したセキュリティパッチの適用が必要となる。

【CVE-2024-49019】Windows Serverの複数バージョンに権限昇格の脆弱性、早急なパッチ適用が必要に

【CVE-2024-49019】Windows Serverの複数バージョンに権限昇格の脆弱性...

MicrosoftがActive Directory Certificate Servicesにおける権限昇格の脆弱性【CVE-2024-49019】を公開した。Windows Server 2008 SP2からWindows Server 2025まで広範なバージョンが影響を受け、CVSSスコア7.8の深刻度の高い脆弱性として評価される。攻撃者は低い権限でローカルからアクセスし、ユーザーの操作なしで権限昇格を実行可能である。

【CVE-2024-49019】Windows Serverの複数バージョンに権限昇格の脆弱性...

MicrosoftがActive Directory Certificate Servicesにおける権限昇格の脆弱性【CVE-2024-49019】を公開した。Windows Server 2008 SP2からWindows Server 2025まで広範なバージョンが影響を受け、CVSSスコア7.8の深刻度の高い脆弱性として評価される。攻撃者は低い権限でローカルからアクセスし、ユーザーの操作なしで権限昇格を実行可能である。

【CVE-2024-49050】Visual Studio Code Python拡張機能にリモートコード実行の脆弱性、早急な更新が必要に

【CVE-2024-49050】Visual Studio Code Python拡張機能にリ...

MicrosoftはVisual Studio Code Python拡張機能にリモートコード実行の脆弱性が存在することを公開した。この脆弱性は2020年から2024.18.2より前のバージョンに影響を与えており、CVSSv3.1で8.8の高スコアを記録。CWE-501のトラストバウンダリ違反に分類され、攻撃者による遠隔からのコード実行が可能となる深刻な問題である。

【CVE-2024-49050】Visual Studio Code Python拡張機能にリ...

MicrosoftはVisual Studio Code Python拡張機能にリモートコード実行の脆弱性が存在することを公開した。この脆弱性は2020年から2024.18.2より前のバージョンに影響を与えており、CVSSv3.1で8.8の高スコアを記録。CWE-501のトラストバウンダリ違反に分類され、攻撃者による遠隔からのコード実行が可能となる深刻な問題である。

【CVE-2024-43499】MicrosoftがVisual StudioとNET 9.0のDoS脆弱性を公開、深刻度7.5の対応が必要に

【CVE-2024-43499】MicrosoftがVisual StudioとNET 9.0...

Microsoftは2024年11月12日、Visual StudioとNET 9.0に影響を与えるサービス拒否(DoS)の脆弱性を公開した。CVSSスコア7.5の深刻な問題として識別され、高圧縮データの不適切な処理とループ条件の未チェック入力に関連している。Visual Studio 2022の複数バージョンとNET 9.0が影響を受け、攻撃の自動化も可能とされている。

【CVE-2024-43499】MicrosoftがVisual StudioとNET 9.0...

Microsoftは2024年11月12日、Visual StudioとNET 9.0に影響を与えるサービス拒否(DoS)の脆弱性を公開した。CVSSスコア7.5の深刻な問題として識別され、高圧縮データの不適切な処理とループ条件の未チェック入力に関連している。Visual Studio 2022の複数バージョンとNET 9.0が影響を受け、攻撃の自動化も可能とされている。

【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性、平文漏洩のリスクで即時アップデートを推奨

【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性...

Mozilla CorporationはThunderbirdのOpenPGP暗号化機能に重大な脆弱性【CVE-2024-11159】を発見したと発表した。この脆弱性は暗号化メッセージ内でリモートコンテンツを使用した際に平文が漏洩する可能性があり、Thunderbird 128.4.3未満および132.0.1未満のバージョンが影響を受ける。セキュリティアドバイザリMFSA2024-61およびMFSA2024-62を通じて詳細な情報が提供されている。

【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性...

Mozilla CorporationはThunderbirdのOpenPGP暗号化機能に重大な脆弱性【CVE-2024-11159】を発見したと発表した。この脆弱性は暗号化メッセージ内でリモートコンテンツを使用した際に平文が漏洩する可能性があり、Thunderbird 128.4.3未満および132.0.1未満のバージョンが影響を受ける。セキュリティアドバイザリMFSA2024-61およびMFSA2024-62を通じて詳細な情報が提供されている。

【CVE-2024-50210】Linuxカーネルのposix-clockにおけるunbalanced lockingの脆弱性が修正され、システムの安定性が向上

【CVE-2024-50210】Linuxカーネルのposix-clockにおけるunbala...

kernel.orgは2024年11月8日、Linuxカーネルのposix-clockコンポーネントにおける重要な脆弱性の修正を発表した。pc_clock_settime()関数でget_clock_desc()実行時のロック解放が適切に行われない問題が存在し、システムリソースの適切な解放が行われない状態であることが判明。複数のLinuxバージョンに影響を与える本脆弱性は、timespec64_valid_strict()チェックの追加により修正された。

【CVE-2024-50210】Linuxカーネルのposix-clockにおけるunbala...

kernel.orgは2024年11月8日、Linuxカーネルのposix-clockコンポーネントにおける重要な脆弱性の修正を発表した。pc_clock_settime()関数でget_clock_desc()実行時のロック解放が適切に行われない問題が存在し、システムリソースの適切な解放が行われない状態であることが判明。複数のLinuxバージョンに影響を与える本脆弱性は、timespec64_valid_strict()チェックの追加により修正された。

【CVE-2024-49536】Adobe Audition 23.6.9および24.4.6にOut-of-bounds読み取りの脆弱性、ASLRバイパスのリスクが発生

【CVE-2024-49536】Adobe Audition 23.6.9および24.4.6に...

Adobe AuditionのバージョンAedition 23.6.9および24.4.6以前に、Out-of-bounds読み取りの脆弱性が発見された。CVE-2024-49536として識別されるこの問題により、攻撃者がASLRをバイパスし機密メモリ情報を取得できる可能性がある。CISAの評価では攻撃の自動化は困難とされているものの、ユーザーの操作を介した攻撃シナリオが想定され、早急な対応が必要とされている。

【CVE-2024-49536】Adobe Audition 23.6.9および24.4.6に...

Adobe AuditionのバージョンAedition 23.6.9および24.4.6以前に、Out-of-bounds読み取りの脆弱性が発見された。CVE-2024-49536として識別されるこの問題により、攻撃者がASLRをバイパスし機密メモリ情報を取得できる可能性がある。CISAの評価では攻撃の自動化は困難とされているものの、ユーザーの操作を介した攻撃シナリオが想定され、早急な対応が必要とされている。

【CVE-2024-11245】code-projects Farmacia 1.0でSQL injection脆弱性が発見、リモートからの攻撃が可能に

【CVE-2024-11245】code-projects Farmacia 1.0でSQL ...

code-projects Farmacia 1.0のeditar-produto.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは5.3-6.5で中程度の評価となっているが、リモートからの攻撃が可能で、特別な権限を必要としない点が危険視されている。既に攻撃コードが公開されており、データベースへの不正アクセスのリスクが指摘されている。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-11245】code-projects Farmacia 1.0でSQL ...

code-projects Farmacia 1.0のeditar-produto.phpファイルにSQL injection脆弱性が発見された。CVSSスコアは5.3-6.5で中程度の評価となっているが、リモートからの攻撃が可能で、特別な権限を必要としない点が危険視されている。既に攻撃コードが公開されており、データベースへの不正アクセスのリスクが指摘されている。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-10897】Tutor LMS Elementor Addons 2.1.5に認証バイパスの脆弱性、WordfenceがSubscriber権限での不正なプラグインインストールの可

【CVE-2024-10897】Tutor LMS Elementor Addons 2.1....

WordPressプラグインTutor LMS Elementor Addonsにおいて、バージョン2.1.5以前に認証バイパスの脆弱性が発見された。install_etlms_dependency_plugin()関数の認証処理不備により、Subscriber以上の権限を持つユーザーが不正にプラグインをインストール可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、ElementorとTutor LMSプラグインのインストールに限定された影響範囲となっている。

【CVE-2024-10897】Tutor LMS Elementor Addons 2.1....

WordPressプラグインTutor LMS Elementor Addonsにおいて、バージョン2.1.5以前に認証バイパスの脆弱性が発見された。install_etlms_dependency_plugin()関数の認証処理不備により、Subscriber以上の権限を持つユーザーが不正にプラグインをインストール可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、ElementorとTutor LMSプラグインのインストールに限定された影響範囲となっている。

HOT TOPICS