Tech Insights

【CVE-2024-43621】MicrosoftがWindows Telephony Ser...

2024年11月20日

MicrosoftはWindows Telephony Serviceにおけるリモートコード実行の脆弱性【CVE-2024-43621】を公開した。CVSSスコア8.8のハイリスクと評価されるこの脆弱性は、Windows Server 2025からWindows 10まで広範なバージョンに影響を与える。ヒープベースのバッファオーバーフローによる問題で、攻撃者がリモートからコードを実行できる可能性がある深刻な問題となっている。

【CVE-2024-43621】MicrosoftがWindows Telephony Ser...

2024年11月20日

MicrosoftはWindows Telephony Serviceにおけるリモートコード実行の脆弱性【CVE-2024-43621】を公開した。CVSSスコア8.8のハイリスクと評価されるこの脆弱性は、Windows Server 2025からWindows 10まで広範なバージョンに影響を与える。ヒープベースのバッファオーバーフローによる問題で、攻撃者がリモートからコードを実行できる可能性がある深刻な問題となっている。

【CVE-2024-43620】WindowsテレフォニーサービスにRCE脆弱性、複数バージョ...

2024年11月20日

MicrosoftはWindows製品群に影響を与えるテレフォニーサービスのリモートコード実行の脆弱性を公開した。この脆弱性はCVE-2024-43620として識別され、Windows 10からWindows 11、さらにはWindows Serverの複数バージョンに影響を与える。CVSSスコアは8.8と評価され、攻撃の複雑さは低いものの、ユーザーの関与が必要とされている。

【CVE-2024-43620】WindowsテレフォニーサービスにRCE脆弱性、複数バージョ...

2024年11月20日

MicrosoftはWindows製品群に影響を与えるテレフォニーサービスのリモートコード実行の脆弱性を公開した。この脆弱性はCVE-2024-43620として識別され、Windows 10からWindows 11、さらにはWindows Serverの複数バージョンに影響を与える。CVSSスコアは8.8と評価され、攻撃の複雑さは低いものの、ユーザーの関与が必要とされている。

【CVE-2024-43093】AndroidのExternalStorageProvider...

2024年11月20日

GoogleはAndroidのExternalStorageProviderに重大な脆弱性【CVE-2024-43093】を発見し公開した。この脆弱性はUnicode正規化処理の不備によりファイルパスフィルターをバイパス可能で、特権昇格のリスクがある。Android 12から15までの広範なバージョンに影響し、CVSS評価は7.8（High）となっている。2024年11月のセキュリティパッチで修正が提供されており、早急な対応が推奨される。

【CVE-2024-43093】AndroidのExternalStorageProvider...

2024年11月20日

GoogleはAndroidのExternalStorageProviderに重大な脆弱性【CVE-2024-43093】を発見し公開した。この脆弱性はUnicode正規化処理の不備によりファイルパスフィルターをバイパス可能で、特権昇格のリスクがある。Android 12から15までの広範なバージョンに影響し、CVSS評価は7.8（High）となっている。2024年11月のセキュリティパッチで修正が提供されており、早急な対応が推奨される。

【CVE-2024-37398】Ivanti Secure Access Clientに特権昇...

2024年11月20日

Ivantiは認証済みローカルユーザーによる特権昇格を可能にする脆弱性【CVE-2024-37398】を公開した。Ivanti Secure Access Clientのバージョン22.7R4より前のバージョンに影響を及ぼすこの脆弱性は、CVSSスコア7.8と高い深刻度を示している。攻撃の複雑さは低く、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-37398】Ivanti Secure Access Clientに特権昇...

2024年11月20日

Ivantiは認証済みローカルユーザーによる特権昇格を可能にする脆弱性【CVE-2024-37398】を公開した。Ivanti Secure Access Clientのバージョン22.7R4より前のバージョンに影響を及ぼすこの脆弱性は、CVSSスコア7.8と高い深刻度を示している。攻撃の複雑さは低く、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-21975】AMD Ryzen AI Softwareにおける重大な脆弱性...

2024年11月20日

AMDは2024年11月12日、AMD Ryzen AI Softwareにおける重大な脆弱性【CVE-2024-21975】を公開した。NPUドライバーにおける不適切な入力検証により、攻撃者が特別に細工されたポインタを供給することで任意のコード実行が可能になる脆弱性が発見されている。CVSSスコアは8.8（High）と評価されており、早急な対策が必要とされている。

【CVE-2024-21975】AMD Ryzen AI Softwareにおける重大な脆弱性...

2024年11月20日

AMDは2024年11月12日、AMD Ryzen AI Softwareにおける重大な脆弱性【CVE-2024-21975】を公開した。NPUドライバーにおける不適切な入力検証により、攻撃者が特別に細工されたポインタを供給することで任意のコード実行が可能になる脆弱性が発見されている。CVSSスコアは8.8（High）と評価されており、早急な対策が必要とされている。

【CVE-2024-21974】AMD Ryzen AI Softwareに深刻な脆弱性、任意...

2024年11月20日

AMDが公開したセキュリティ情報によると、AMD Ryzen AI Softwareのバージョン1.2未満に深刻な脆弱性が発見された。NPUドライバーの不適切な入力検証により、特別に細工されたポインタを使用することで任意のコード実行が可能となる。CVSSスコアは8.8と高く、早急な対応が必要。企業環境での標的型攻撃のリスクも懸念される。

【CVE-2024-21974】AMD Ryzen AI Softwareに深刻な脆弱性、任意...

2024年11月20日

AMDが公開したセキュリティ情報によると、AMD Ryzen AI Softwareのバージョン1.2未満に深刻な脆弱性が発見された。NPUドライバーの不適切な入力検証により、特別に細工されたポインタを使用することで任意のコード実行が可能となる。CVSSスコアは8.8と高く、早急な対応が必要。企業環境での標的型攻撃のリスクも懸念される。

【CVE-2024-21949】AMD Ryzen AI Softwareにバッファサイズ検証...

2024年11月20日

AMD Ryzen AI Softwareのバージョン1.2未満に影響を与える脆弱性が発見された。NPUドライバーにおけるユーザー入力の不適切な検証により、予期しないサイズのバッファを提供される可能性があり、システムクラッシュを引き起こすリスクがある。CVSSスコアは5.5でミディアムレベルに分類され、ローカルでの攻撃が可能だ。AMD Ryzen AI Softwareバージョン1.2で修正が実施されている。

【CVE-2024-21949】AMD Ryzen AI Softwareにバッファサイズ検証...

2024年11月20日

AMD Ryzen AI Softwareのバージョン1.2未満に影響を与える脆弱性が発見された。NPUドライバーにおけるユーザー入力の不適切な検証により、予期しないサイズのバッファを提供される可能性があり、システムクラッシュを引き起こすリスクがある。CVSSスコアは5.5でミディアムレベルに分類され、ローカルでの攻撃が可能だ。AMD Ryzen AI Softwareバージョン1.2で修正が実施されている。

【CVE-2024-11143】Kognetiks Chatbot for WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.8以前に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11143】として識別され、Cross-Site Request Forgeryに分類される。攻撃者がサイト管理者を騙してリンクをクリックさせることで、認証済みユーザーの権限でアシスタントの設定を変更できる危険性が指摘されている。

【CVE-2024-11143】Kognetiks Chatbot for WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.8以前に重大な脆弱性が発見された。この脆弱性は【CVE-2024-11143】として識別され、Cross-Site Request Forgeryに分類される。攻撃者がサイト管理者を騙してリンクをクリックさせることで、認証済みユーザーの権限でアシスタントの設定を変更できる危険性が指摘されている。

【CVE-2024-11124】TimGeyssens UIOMatic 5にSQLインジェク...

2024年11月20日

TimGeyssens UIOMatic 5のuioMaticObject.rファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVE-2024-11124として公開されたこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.1のスコアを記録。既に公開されており実際の攻撃に利用される可能性があるため、早急な対応が必要とされている。GitHubのプルリクエスト227番で対応が進められている。

【CVE-2024-11124】TimGeyssens UIOMatic 5にSQLインジェク...

2024年11月20日

TimGeyssens UIOMatic 5のuioMaticObject.rファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVE-2024-11124として公開されたこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.1のスコアを記録。既に公開されており実際の攻撃に利用される可能性があるため、早急な対応が必要とされている。GitHubのプルリクエスト227番で対応が進められている。

【CVE-2024-11102】Hospital Management System 1.0に...

2024年11月20日

SourceCodester Hospital Management System 1.0において、/vm/doctor/edit-doc.phpファイルに存在するクロスサイトスクリプティングの脆弱性が発見された。name引数の操作により遠隔からの攻撃が可能で、CVSSスコアは5.3（MEDIUM）と評価されている。すでに攻撃コードが公開されており、医療データのセキュリティリスクが深刻化している状況だ。

【CVE-2024-11102】Hospital Management System 1.0に...

2024年11月20日

SourceCodester Hospital Management System 1.0において、/vm/doctor/edit-doc.phpファイルに存在するクロスサイトスクリプティングの脆弱性が発見された。name引数の操作により遠隔からの攻撃が可能で、CVSSスコアは5.3（MEDIUM）と評価されている。すでに攻撃コードが公開されており、医療データのセキュリティリスクが深刻化している状況だ。

【CVE-2024-11101】Beauty Parlour Management Syste...

2024年11月20日

1000 Projects社のBeauty Parlour Management System 1.0において、search-invoices.phpファイルのsearchdataパラメータ処理に深刻な脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、SQLインジェクション攻撃を可能にし、リモートからの実行も可能な状態となっている。既に攻撃コードが公開されており、早急な対応が求められる事態となっている。

【CVE-2024-11101】Beauty Parlour Management Syste...

2024年11月20日

1000 Projects社のBeauty Parlour Management System 1.0において、search-invoices.phpファイルのsearchdataパラメータ処理に深刻な脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、SQLインジェクション攻撃を可能にし、リモートからの実行も可能な状態となっている。既に攻撃コードが公開されており、早急な対応が求められる事態となっている。

【CVE-2024-11100】Beauty Parlour Management Syste...

2024年11月20日

1000 ProjectsのBeauty Parlour Management System 1.0において重大なSQLインジェクション脆弱性が発見された。index.phpファイルのname引数を操作することで遠隔から攻撃が可能であり、CVSSスコアは最新のバージョン4.0で6.9（MEDIUM）、バージョン3.1および3.0で7.3（HIGH）と評価されている。この脆弱性は一般に公開されており、攻撃コードも入手可能な状態となっているため、早急な対応が必要だ。

【CVE-2024-11100】Beauty Parlour Management Syste...

2024年11月20日

1000 ProjectsのBeauty Parlour Management System 1.0において重大なSQLインジェクション脆弱性が発見された。index.phpファイルのname引数を操作することで遠隔から攻撃が可能であり、CVSSスコアは最新のバージョン4.0で6.9（MEDIUM）、バージョン3.1および3.0で7.3（HIGH）と評価されている。この脆弱性は一般に公開されており、攻撃コードも入手可能な状態となっているため、早急な対応が必要だ。

【CVE-2024-11073】SourceCodester Hospital Managem...

2024年11月20日

医療システムベンダーSourceCodesterのHospital Management System 1.0において、delete-account.phpファイルに関する重大な認可の脆弱性が発見された。CVE-2024-11073として識別されたこの脆弱性により、攻撃者は任意の患者アカウントを不正に削除することが可能となる。CVSS 4.0スコアは5.3（MEDIUM）で、リモートからの攻撃が可能な点が特に懸念される。

【CVE-2024-11073】SourceCodester Hospital Managem...

2024年11月20日

医療システムベンダーSourceCodesterのHospital Management System 1.0において、delete-account.phpファイルに関する重大な認可の脆弱性が発見された。CVE-2024-11073として識別されたこの脆弱性により、攻撃者は任意の患者アカウントを不正に削除することが可能となる。CVSS 4.0スコアは5.3（MEDIUM）で、リモートからの攻撃が可能な点が特に懸念される。

【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バ...

2024年11月20日

D-Link DSL6740Cモデムにおいて、特権APIの不適切な使用による重大な脆弱性が発見された。認証されていないリモート攻撃者が任意のユーザーのパスワードを変更可能で、Web管理画面やSSH、Telnetサービスへのアクセスが可能となる。CVSS v3.1で9.8のクリティカルスコアを記録し、攻撃の自動化も可能であることから、早急な対策が求められている。

【CVE-2024-11068】D-Link DSL6740Cモデムに特権API脆弱性、認証バ...

2024年11月20日

D-Link DSL6740Cモデムにおいて、特権APIの不適切な使用による重大な脆弱性が発見された。認証されていないリモート攻撃者が任意のユーザーのパスワードを変更可能で、Web管理画面やSSH、Telnetサービスへのアクセスが可能となる。CVSS v3.1で9.8のクリティカルスコアを記録し、攻撃の自動化も可能であることから、早急な対策が求められている。

【CVE-2024-11067】D-Link DSL6740Cにパストラバーサル脆弱性、認証バ...

2024年11月20日

D-Link DSL6740Cモデムにパストラバーサル脆弱性が発見され、認証されていないリモート攻撃者がシステムファイルを任意に読み取ることが可能となっている。さらに、デバイスのデフォルトパスワードがMACアドレスから生成される仕様であるため、攻撃者がMACアドレスを取得してデバイスへの不正アクセスを試みる可能性が指摘されている。CVSSスコアは7.5と高い深刻度を示しており、早急な対策が求められる。

【CVE-2024-11067】D-Link DSL6740Cにパストラバーサル脆弱性、認証バ...

2024年11月20日

D-Link DSL6740Cモデムにパストラバーサル脆弱性が発見され、認証されていないリモート攻撃者がシステムファイルを任意に読み取ることが可能となっている。さらに、デバイスのデフォルトパスワードがMACアドレスから生成される仕様であるため、攻撃者がMACアドレスを取得してデバイスへの不正アクセスを試みる可能性が指摘されている。CVSSスコアは7.5と高い深刻度を示しており、早急な対策が求められる。

【CVE-2024-11066】D-Link DSL6740Cモデムに深刻な脆弱性、OSコマン...

2024年11月20日

D-Link DSL6740Cモデムにおいて、管理者権限を持つ攻撃者が任意のOSコマンドを実行できる深刻な脆弱性が発見された。CVSSスコア7.2のハイリスクに分類され、特定のWebページを介した攻撃により、システム全体の制御権が奪取される可能性がある。TWCERTは早急な対策の必要性を指摘している。

【CVE-2024-11066】D-Link DSL6740Cモデムに深刻な脆弱性、OSコマン...

2024年11月20日

D-Link DSL6740Cモデムにおいて、管理者権限を持つ攻撃者が任意のOSコマンドを実行できる深刻な脆弱性が発見された。CVSSスコア7.2のハイリスクに分類され、特定のWebページを介した攻撃により、システム全体の制御権が奪取される可能性がある。TWCERTは早急な対策の必要性を指摘している。

【CVE-2024-11064】D-Link DSL6740Cモデムに深刻なOS Comman...

2024年11月20日

台湾のセキュリティ機関TWCERT/CCがD-Link DSL6740Cモデムの重大な脆弱性を報告した。CVSSスコア7.2（High）と評価される本脆弱性は、管理者権限を持つ攻撃者がSSHやTelnet経由で任意のシステムコマンドを実行可能。システムの機密性、整合性、可用性のすべてに高い影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2024-11064】D-Link DSL6740Cモデムに深刻なOS Comman...

2024年11月20日

台湾のセキュリティ機関TWCERT/CCがD-Link DSL6740Cモデムの重大な脆弱性を報告した。CVSSスコア7.2（High）と評価される本脆弱性は、管理者権限を持つ攻撃者がSSHやTelnet経由で任意のシステムコマンドを実行可能。システムの機密性、整合性、可用性のすべてに高い影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

2024年11月20日

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting（XSS）の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4（Medium）で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

2024年11月20日

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting（XSS）の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4（Medium）で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11020】Grand Vice InfoのWebopac7にSQLインジ...

2024年11月20日

TWCERT/CCはGrand Vice InfoのWebopac7にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコアは9.8（Critical）で、認証なしでデータベースの読み取り・変更・削除が可能な状態である。影響を受けるバージョンはWebopac6の6.0.0から6.5.1未満、およびWebopac7の7.0.0から7.2.3未満となっており、早急な対策版へのアップデートが推奨される。

【CVE-2024-11020】Grand Vice InfoのWebopac7にSQLインジ...

2024年11月20日

TWCERT/CCはGrand Vice InfoのWebopac7にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコアは9.8（Critical）で、認証なしでデータベースの読み取り・変更・削除が可能な状態である。影響を受けるバージョンはWebopac6の6.0.0から6.5.1未満、およびWebopac7の7.0.0から7.2.3未満となっており、早急な対策版へのアップデートが推奨される。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

2024年11月20日

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1（MEDIUM）と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-11019】Grand Vice info Webopac7にXSS脆弱性...

2024年11月20日

TWCERT/CCはGrand Vice infoのWebopac7にReflected Cross-site Scriptingの脆弱性が存在することを公開した。この脆弱性により、未認証のリモート攻撃者がフィッシング手法を用いて任意のJavaScriptコードをユーザーのブラウザで実行できる問題が明らかになった。CVSSスコアは6.1（MEDIUM）と評価されており、Webopac 6.5.1未満と7.2.3未満のバージョンが影響を受ける。

【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの...

2024年11月20日

Grand Vice InfoのWebopacに深刻な脆弱性が発見され、認証されていないリモートの攻撃者がWebシェルをアップロードして実行し、サーバー上で任意のコードを実行できる状態にある。CVSSスコア9.8の極めて深刻な評価を受けており、影響を受けるバージョンはWebopac 6.0から6.5.0までと7.0から7.2.2まで。対策版として6.5.1および7.2.3がリリースされている。

【CVE-2024-11018】Grand Vice InfoのWebopacに認証バイパスの...

2024年11月20日

Grand Vice InfoのWebopacに深刻な脆弱性が発見され、認証されていないリモートの攻撃者がWebシェルをアップロードして実行し、サーバー上で任意のコードを実行できる状態にある。CVSSスコア9.8の極めて深刻な評価を受けており、影響を受けるバージョンはWebopac 6.0から6.5.0までと7.0から7.2.2まで。対策版として6.5.1および7.2.3がリリースされている。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

2024年11月20日

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8（High）と評価されており、早急な対応が求められている。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

2024年11月20日

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8（High）と評価されており、早急な対応が求められている。

【CVE-2024-11007】IvantiのConnect SecureとPolicy Se...

2024年11月20日

IvantiのConnect SecureとPolicy Secureに重大な脆弱性【CVE-2024-11007】が発見された。CVSSスコア9.1のこの脆弱性は、管理者権限を持つ遠隔の攻撃者がリモートコード実行を可能にするもので、Connect Secure version 22.7R2.1未満とPolicy Secure version 22.7R1.1未満が影響を受ける。早急なアップデートによる対策が必要とされている。

【CVE-2024-11007】IvantiのConnect SecureとPolicy Se...

2024年11月20日

IvantiのConnect SecureとPolicy Secureに重大な脆弱性【CVE-2024-11007】が発見された。CVSSスコア9.1のこの脆弱性は、管理者権限を持つ遠隔の攻撃者がリモートコード実行を可能にするもので、Connect Secure version 22.7R2.1未満とPolicy Secure version 22.7R1.1未満が影響を受ける。早急なアップデートによる対策が必要とされている。

【CVE-2024-10994】Codezips Online Institute Manag...

2024年11月20日

VulDBが2024年11月8日、Codezips Online Institute Management System 1.0のedit_user.phpファイルに無制限アップロードの脆弱性が存在することを公開した。CVSSスコアは4.0で5.3（MEDIUM）、3.1で6.3（MEDIUM）と評価され、リモートからの攻撃が可能で既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-10994】Codezips Online Institute Manag...

2024年11月20日

VulDBが2024年11月8日、Codezips Online Institute Management System 1.0のedit_user.phpファイルに無制限アップロードの脆弱性が存在することを公開した。CVSSスコアは4.0で5.3（MEDIUM）、3.1で6.3（MEDIUM）と評価され、リモートからの攻撃が可能で既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-10993】Codezips Online Institute Manag...

2024年11月20日

Codezips Online Institute Management System 1.0のmanage_website.phpファイルに重大な脆弱性が発見された。website_imageパラメータを介した制限のないアップロードが可能となっており、遠隔からの攻撃実行のリスクが指摘されている。CVSSスコアは最大6.3を記録し、すでに攻撃コードが公開された状態となっている。教育機関のデータセキュリティに関わる重大な問題として注目される。

【CVE-2024-10993】Codezips Online Institute Manag...

2024年11月20日

Codezips Online Institute Management System 1.0のmanage_website.phpファイルに重大な脆弱性が発見された。website_imageパラメータを介した制限のないアップロードが可能となっており、遠隔からの攻撃実行のリスクが指摘されている。CVSSスコアは最大6.3を記録し、すでに攻撃コードが公開された状態となっている。教育機関のデータセキュリティに関わる重大な問題として注目される。

【CVE-2024-10991】Codezips Hospital Appointment S...

2024年11月20日

VulDBは2024年11月8日、Codezips Hospital Appointment System 1.0のeditBranchResult.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVSS 3.1でHigh(7.3)と評価され、認証なしでリモートから攻撃可能で、患者の個人情報や診療記録などの機密データが漏洩するリスクがある。早急な対応が必要とされている。

【CVE-2024-10991】Codezips Hospital Appointment S...

2024年11月20日

VulDBは2024年11月8日、Codezips Hospital Appointment System 1.0のeditBranchResult.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVSS 3.1でHigh(7.3)と評価され、認証なしでリモートから攻撃可能で、患者の個人情報や診療記録などの機密データが漏洩するリスクがある。早急な対応が必要とされている。

【CVE-2024-10990】Online Veterinary Appointment S...

2024年11月20日

VulDBは、SourceCodester社が開発したOnline Veterinary Appointment System 1.0のview_service.phpファイルにSQLインジェクションの脆弱性が存在することを報告した。CVSSスコアは中程度と評価されているものの、医療情報を扱うシステムであることから、データの改ざんや漏洩のリスクが特に深刻な問題となる可能性がある。早急なセキュリティ対策の実施が求められる。

【CVE-2024-10990】Online Veterinary Appointment S...

2024年11月20日

VulDBは、SourceCodester社が開発したOnline Veterinary Appointment System 1.0のview_service.phpファイルにSQLインジェクションの脆弱性が存在することを報告した。CVSSスコアは中程度と評価されているものの、医療情報を扱うシステムであることから、データの改ざんや漏洩のリスクが特に深刻な問題となる可能性がある。早急なセキュリティ対策の実施が求められる。

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

【CVE-2024-10684】Kognetiks Chatbot For WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot For WordPress 2.1.7以前のバージョンに、Reflected XSSの脆弱性が発見された。CVE-2024-10684として識別されるこの脆弱性は、dirパラメータにおける入力値の検証が不十分であることに起因する。未認証の攻撃者がユーザーを細工されたリンクに誘導することで、任意のスクリプトを実行できる可能性があり、CVSSスコアは6.1でミディアムレベルの深刻度とされている。

【CVE-2024-10531】Kognetiks Chatbot for WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-10531】Kognetiks Chatbot for WordPress...

2024年11月20日

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-10530】Kognetiks Chatbot for WordPress...

2024年11月20日

Kognetiks Chatbot for WordPressのバージョン2.1.7以前に認証に関する重大な脆弱性が発見された。add_new_assistant()関数に機能チェックが欠如しており、購読者以上の権限を持つ認証済みユーザーが新しいGPTアシスタントを無断で作成できる状態となっている。CVE-2024-10530として識別されたこの脆弱性は、CVSSスコア4.3でMediumレベルの深刻度と評価されている。

【CVE-2024-10530】Kognetiks Chatbot for WordPress...

2024年11月20日

Kognetiks Chatbot for WordPressのバージョン2.1.7以前に認証に関する重大な脆弱性が発見された。add_new_assistant()関数に機能チェックが欠如しており、購読者以上の権限を持つ認証済みユーザーが新しいGPTアシスタントを無断で作成できる状態となっている。CVE-2024-10530として識別されたこの脆弱性は、CVSSスコア4.3でMediumレベルの深刻度と評価されている。