Tech Insights

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限の不正取得が可能に

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深...

Artifex Ghostscriptの10.04.0より前のバージョンにおいて、psi/zfile.cのfilenameforall機能に重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、攻撃者による任意のコード実行が可能となる。特別な権限は不要だがユーザーの関与が必要となる点が特徴的だ。CISAの分析では自動化可能な攻撃への脆弱性も指摘されており、早急な対応が求められる。

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深...

Artifex Ghostscriptの10.04.0より前のバージョンにおいて、psi/zfile.cのfilenameforall機能に重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、攻撃者による任意のコード実行が可能となる。特別な権限は不要だがユーザーの関与が必要となる点が特徴的だ。CISAの分析では自動化可能な攻撃への脆弱性も指摘されており、早急な対応が求められる。

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Content Security Policyの脆弱性に対処

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Co...

Appleは2024年10月28日、iOS 18.1、iPadOS 18.1、tvOS 18.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1など主要OSのセキュリティアップデートを実施した。このアップデートではContent Security Policyの実装における脆弱性【CVE-2024-44296】が修正され、悪意のあるWebコンテンツによるセキュリティポリシーの回避リスクが軽減された。NVDによる評価では、この脆弱性の深刻度はCVSS v3.1でミディアム(5.4)に分類されている。

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Co...

Appleは2024年10月28日、iOS 18.1、iPadOS 18.1、tvOS 18.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1など主要OSのセキュリティアップデートを実施した。このアップデートではContent Security Policyの実装における脆弱性【CVE-2024-44296】が修正され、悪意のあるWebコンテンツによるセキュリティポリシーの回避リスクが軽減された。NVDによる評価では、この脆弱性の深刻度はCVSS v3.1でミディアム(5.4)に分類されている。

【CVE-2024-47443】Adobe After Effects 24.6.2以前に境界外書き込みの脆弱性が発見、任意コード実行のリスクに警戒

【CVE-2024-47443】Adobe After Effects 24.6.2以前に境界...

Adobe After Effectsのバージョン23.6.9および24.6.2以前に、境界外書き込みの脆弱性が発見された。CVE-2024-47443として識別されるこの脆弱性は、攻撃者が悪意のあるファイルを用意し、ユーザーにそれを開かせることで任意のコードを実行できる可能性がある。CVSSスコアは7.8と高く、早急な対応が求められる状況だ。

【CVE-2024-47443】Adobe After Effects 24.6.2以前に境界...

Adobe After Effectsのバージョン23.6.9および24.6.2以前に、境界外書き込みの脆弱性が発見された。CVE-2024-47443として識別されるこの脆弱性は、攻撃者が悪意のあるファイルを用意し、ユーザーにそれを開かせることで任意のコードを実行できる可能性がある。CVSSスコアは7.8と高く、早急な対応が求められる状況だ。

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの脆弱性、情報漏洩とASLR回避のリスクに警戒

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの...

Adobeは2024年11月12日、After Effects 23.6.9および24.6.2以前のバージョンに影響を与えるメモリ読み取りの脆弱性を公開した。CVE-2024-47446として識別されるこの脆弱性は、攻撃者が機密メモリの内容を読み取ることでASLRなどの保護機能を回避する可能性がある。CVSSスコアは5.5と中程度だが、機密性への影響は高く評価されており、早急な対応が推奨される。

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの...

Adobeは2024年11月12日、After Effects 23.6.9および24.6.2以前のバージョンに影響を与えるメモリ読み取りの脆弱性を公開した。CVE-2024-47446として識別されるこの脆弱性は、攻撃者が機密メモリの内容を読み取ることでASLRなどの保護機能を回避する可能性がある。CVSSスコアは5.5と中程度だが、機密性への影響は高く評価されており、早急な対応が推奨される。

【CVE-2024-36507】FortiClientWindowsにDLLハイジャックの脆弱性、複数バージョンで任意コード実行のリスク

【CVE-2024-36507】FortiClientWindowsにDLLハイジャックの脆弱...

FortiClientWindowsの複数バージョンで信頼されていない検索パスの脆弱性が発見された。影響を受けるバージョンは7.4.0、7.2.0から7.2.4、7.0.0から7.0.12で、CVSSスコアは6.7(Medium)と評価されている。DLLハイジャックとソーシャルエンジニアリングを介して攻撃者が任意のコードを実行できる危険性があり、早急な対応が推奨される。

【CVE-2024-36507】FortiClientWindowsにDLLハイジャックの脆弱...

FortiClientWindowsの複数バージョンで信頼されていない検索パスの脆弱性が発見された。影響を受けるバージョンは7.4.0、7.2.0から7.2.4、7.0.0から7.0.12で、CVSSスコアは6.7(Medium)と評価されている。DLLハイジャックとソーシャルエンジニアリングを介して攻撃者が任意のコードを実行できる危険性があり、早急な対応が推奨される。

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ参照の脆弱性、ランタイムサスペンド時の深刻な問題に対処

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ...

Linuxカーネル開発チームは、qmp-usbcドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50238】を修正するアップデートを公開した。この問題は、プラットフォームデバイスドライバデータの初期化処理が誤って削除されたことに起因しており、ランタイムサスペンド時にNULLポインタ参照が発生する可能性がある。影響を受けるのはLinux 6.9から6.11系列の一部のバージョンとなっている。

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ...

Linuxカーネル開発チームは、qmp-usbcドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50238】を修正するアップデートを公開した。この問題は、プラットフォームデバイスドライバデータの初期化処理が誤って削除されたことに起因しており、ランタイムサスペンド時にNULLポインタ参照が発生する可能性がある。影響を受けるのはLinux 6.9から6.11系列の一部のバージョンとなっている。

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシステムのセキュリティが向上へ

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシ...

Linux kernelにおいて、ntfs3ファイルシステムのntfs_file_release機能に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50242】として識別され、Linux version 6.6.60、6.11.7、6.12-rc3で修正が実装された。kernel.orgを通じて提供される修正パッチにより、NTFSファイルシステムの安全性が大幅に向上することが期待される。

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシ...

Linux kernelにおいて、ntfs3ファイルシステムのntfs_file_release機能に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50242】として識別され、Linux version 6.6.60、6.11.7、6.12-rc3で修正が実装された。kernel.orgを通じて提供される修正パッチにより、NTFSファイルシステムの安全性が大幅に向上することが期待される。

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ整合性とセキュリティに影響

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ...

Linuxカーネルのfsdaxモジュールにおいて、dax_unshare_iterがブロック全体をコピーしない重大な脆弱性が発見された。この問題により、fsblock境界に位置が揃っていない場合にデータの整合性が損なわれ、ユーザーデータの破損や機密情報の漏洩のリスクがある。影響を受けるバージョンは6.2から6.11まで多岐にわたり、各バージョン向けに修正パッチが提供されている。

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ...

Linuxカーネルのfsdaxモジュールにおいて、dax_unshare_iterがブロック全体をコピーしない重大な脆弱性が発見された。この問題により、fsblock境界に位置が揃っていない場合にデータの整合性が損なわれ、ユーザーデータの破損や機密情報の漏洩のリスクがある。影響を受けるバージョンは6.2から6.11まで多岐にわたり、各バージョン向けに修正パッチが提供されている。

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-after-free脆弱性、参照カウント管理方式による修正を実施

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-aft...

Linuxカーネルのmacsecコンポーネントで発見されたuse-after-free脆弱性【CVE-2024-50261】に対する修正が2024年11月9日に実施された。metadata_dstの不適切な解放タイミングに起因する問題に対し、参照カウントベースのdst_release()を採用することで、より安全なメモリ管理を実現。影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-aft...

Linuxカーネルのmacsecコンポーネントで発見されたuse-after-free脆弱性【CVE-2024-50261】に対する修正が2024年11月9日に実施された。metadata_dstの不適切な解放タイミングに起因する問題に対し、参照カウントベースのdst_release()を採用することで、より安全なメモリ管理を実現。影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモリ読み取りの脆弱性、セキュリティ対策の回避が可能に

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモ...

Adobeは、After Effectsのバージョン23.6.9、24.6.2以前に存在するメモリの範囲外読み取りの脆弱性【CVE-2024-47444】を公開した。この脆弱性は、ユーザーが悪意のあるファイルを開くことで発動し、攻撃者がASLRなどのセキュリティ対策を回避できる可能性がある。CVSSスコアは5.5(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモ...

Adobeは、After Effectsのバージョン23.6.9、24.6.2以前に存在するメモリの範囲外読み取りの脆弱性【CVE-2024-47444】を公開した。この脆弱性は、ユーザーが悪意のあるファイルを開くことで発動し、攻撃者がASLRなどのセキュリティ対策を回避できる可能性がある。CVSSスコアは5.5(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、システムの安定性が向上

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、...

Linuxカーネルのfork処理におけるkhugepaged、KSMフックの呼び出しタイミングが最適化された。この改善により、不完全な状態のmmに対するフック呼び出しが防止され、メモリマップの複製処理における一貫性が確保された。特にmaple treeを使用した実装において、エントリの一貫性を保ちつつ効率的な処理が実現される。これによりシステムの安定性と信頼性が大幅に向上することが期待される。

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、...

Linuxカーネルのfork処理におけるkhugepaged、KSMフックの呼び出しタイミングが最適化された。この改善により、不完全な状態のmmに対するフック呼び出しが防止され、メモリマップの複製処理における一貫性が確保された。特にmaple treeを使用した実装において、エントリの一貫性を保ちつつ効率的な処理が実現される。これによりシステムの安定性と信頼性が大幅に向上することが期待される。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプティングの脆弱性が発見、遠隔からの攻撃が可能に

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-48838】Dell SmartFabric OS10 Softwareに脆弱性、外部からのファイルシステムアクセスが可能な状態に

【CVE-2024-48838】Dell SmartFabric OS10 Softwareに...

Dellは2024年11月12日、SmartFabric OS10 Softwareのバージョン10.5.3.x、10.5.4.x、10.5.5.xにおいて、Files or Directories Accessible to External Partiesの脆弱性を公開した。この脆弱性はCVE-2024-48838として識別され、ローカルアクセス権限を持つ攻撃者によってファイルシステムへのアクセスが可能になる状態であることが判明している。現在、バージョン10.5.6.xでは修正済みである。

【CVE-2024-48838】Dell SmartFabric OS10 Softwareに...

Dellは2024年11月12日、SmartFabric OS10 Softwareのバージョン10.5.3.x、10.5.4.x、10.5.5.xにおいて、Files or Directories Accessible to External Partiesの脆弱性を公開した。この脆弱性はCVE-2024-48838として識別され、ローカルアクセス権限を持つ攻撃者によってファイルシステムへのアクセスが可能になる状態であることが判明している。現在、バージョン10.5.6.xでは修正済みである。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェクション脆弱性、データベース改ざんのリスクで緊急アップデートを推奨

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。

【CVE-2024-49508】Adobe InDesign Desktop ID19.5に深刻な脆弱性、任意のコード実行のリスクで即時対応が必要に

【CVE-2024-49508】Adobe InDesign Desktop ID19.5に深...

Adobe InDesign Desktop ID18.5.2、ID19.5およびそれ以前のバージョンにおいて、ヒープベースのバッファオーバーフローの脆弱性が発見された。CVSSスコア7.8と高い深刻度を示しており、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、攻撃の複雑さが低く特権も不要なため、早急な対応が推奨される。

【CVE-2024-49508】Adobe InDesign Desktop ID19.5に深...

Adobe InDesign Desktop ID18.5.2、ID19.5およびそれ以前のバージョンにおいて、ヒープベースのバッファオーバーフローの脆弱性が発見された。CVSSスコア7.8と高い深刻度を示しており、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、攻撃の複雑さが低く特権も不要なため、早急な対応が推奨される。

【CVE-2024-49509】InDesign DesktopのID19.5以前にヒープベースバッファオーバーフローの脆弱性、任意のコード実行が可能に

【CVE-2024-49509】InDesign DesktopのID19.5以前にヒープベー...

AdobeのInDesign Desktop ID18.5.3およびID19.5以前のバージョンにおいて、ヒープベースバッファオーバーフローの脆弱性が発見された。悪意のあるファイルを開くことで任意のコード実行が可能となる深刻な問題で、CVSSスコアは7.8と高く評価されている。この脆弱性は現在のユーザー権限でコードが実行される可能性があり、早急な対応が必要とされている。

【CVE-2024-49509】InDesign DesktopのID19.5以前にヒープベー...

AdobeのInDesign Desktop ID18.5.3およびID19.5以前のバージョンにおいて、ヒープベースバッファオーバーフローの脆弱性が発見された。悪意のあるファイルを開くことで任意のコード実行が可能となる深刻な問題で、CVSSスコアは7.8と高く評価されている。この脆弱性は現在のユーザー権限でコードが実行される可能性があり、早急な対応が必要とされている。

【CVE-2024-9822】Pedalo Connector 2.0.5に認証バイパスの脆弱性、管理者権限への不正アクセスの危険性が浮上

【CVE-2024-9822】Pedalo Connector 2.0.5に認証バイパスの脆弱...

WordPressプラグインのPedalo Connectorにおいて、バージョン2.0.5以前に深刻な認証バイパスの脆弱性が発見された。login_admin_user関数の実装における制限の不備により、認証されていないユーザーが管理者権限を取得可能な状態となっている。CVSSスコア9.8のクリティカルな脆弱性として評価されており、早急な対応が必要とされている。

【CVE-2024-9822】Pedalo Connector 2.0.5に認証バイパスの脆弱...

WordPressプラグインのPedalo Connectorにおいて、バージョン2.0.5以前に深刻な認証バイパスの脆弱性が発見された。login_admin_user関数の実装における制限の不備により、認証されていないユーザーが管理者権限を取得可能な状態となっている。CVSSスコア9.8のクリティカルな脆弱性として評価されており、早急な対応が必要とされている。

【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフォルダ読み取りが可能に

【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフ...

parisneo/lollms-webuiのapi open_personality_folder endpointにパストラバーサル脆弱性が発見された。この脆弱性はpersonality_folderパラメータの不適切な処理により、攻撃者が被害者のコンピュータ上の任意のフォルダを読み取ることを可能にする。CVSSスコアは4.4で中程度の深刻度と評価され、バージョン5.9.0より前のバージョンが影響を受ける。

【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフ...

parisneo/lollms-webuiのapi open_personality_folder endpointにパストラバーサル脆弱性が発見された。この脆弱性はpersonality_folderパラメータの不適切な処理により、攻撃者が被害者のコンピュータ上の任意のフォルダを読み取ることを可能にする。CVSSスコアは4.4で中程度の深刻度と評価され、バージョン5.9.0より前のバージョンが影響を受ける。

【CVE-2024-5474】Lenovo Dolby Vision Provisioningソフトウェアに情報開示の脆弱性、新規インストール時に権限昇格のリスク

【CVE-2024-5474】Lenovo Dolby Vision Provisioning...

LenovoはDolby Vision Provisioningソフトウェアのバージョン2.0.0.2未満に情報開示の脆弱性が存在することを公開した。CVE-2024-5474として識別されるこの脆弱性は、ローカル攻撃者がパッケージのインストール中に昇格した権限でシステム上のファイルを読み取ることを可能にする。CVSSスコアは5.5で中程度のリスクと評価され、既存のインストール環境には影響がないことが確認されている。

【CVE-2024-5474】Lenovo Dolby Vision Provisioning...

LenovoはDolby Vision Provisioningソフトウェアのバージョン2.0.0.2未満に情報開示の脆弱性が存在することを公開した。CVE-2024-5474として識別されるこの脆弱性は、ローカル攻撃者がパッケージのインストール中に昇格した権限でシステム上のファイルを読み取ることを可能にする。CVSSスコアは5.5で中程度のリスクと評価され、既存のインストール環境には影響がないことが確認されている。

【CVE-2024-52358】Responsive Addons for Elementorにクロスサイトスクリプティングの脆弱性、バージョン1.6.0で修正完了

【CVE-2024-52358】Responsive Addons for Elementor...

CyberchimpsのWordPressプラグインResponsive Addons for Elementorにおいて、DOM-Based XSSの脆弱性が発見された。バージョン1.5.4以前が影響を受け、CVSSスコア6.5の中程度の深刻度と評価される。この脆弱性はWebページ生成時の入力の不適切な無害化処理に起因し、バージョン1.6.0で修正が完了している。

【CVE-2024-52358】Responsive Addons for Elementor...

CyberchimpsのWordPressプラグインResponsive Addons for Elementorにおいて、DOM-Based XSSの脆弱性が発見された。バージョン1.5.4以前が影響を受け、CVSSスコア6.5の中程度の深刻度と評価される。この脆弱性はWebページ生成時の入力の不適切な無害化処理に起因し、バージョン1.6.0で修正が完了している。

【CVE-2024-52356】The Pack Elementor addons 2.1.0にXSS脆弱性が発見、早急なアップデートが必要に

【CVE-2024-52356】The Pack Elementor addons 2.1.0...

WordPressプラグインThe Pack Elementor addonsにクロスサイトスクリプティング脆弱性が発見された。CVE-2024-52356として識別されるこの脆弱性は、CVSSスコア6.5のMediumレベルと評価され、バージョン2.1.0以前のすべてのバージョンが影響を受ける。機密性、整合性、可用性すべてに影響を与える可能性があり、バージョン2.1.1への早急なアップデートが推奨されている。

【CVE-2024-52356】The Pack Elementor addons 2.1.0...

WordPressプラグインThe Pack Elementor addonsにクロスサイトスクリプティング脆弱性が発見された。CVE-2024-52356として識別されるこの脆弱性は、CVSSスコア6.5のMediumレベルと評価され、バージョン2.1.0以前のすべてのバージョンが影響を受ける。機密性、整合性、可用性すべてに影響を与える可能性があり、バージョン2.1.1への早急なアップデートが推奨されている。

【CVE-2024-11062】D-Link DSL6740Cにコマンドインジェクションの脆弱性、管理者権限で任意のコマンド実行が可能に

【CVE-2024-11062】D-Link DSL6740Cにコマンドインジェクションの脆弱...

TWCERTは2024年11月11日、D-Link DSL6740Cモデムに存在するコマンドインジェクション脆弱性【CVE-2024-11062】を公開した。SSHとTelnetを介した特定機能を通じて、管理者権限を持つ攻撃者が任意のシステムコマンドを実行可能な状態であることが判明。CVSSスコアは7.2と高く評価され、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。

【CVE-2024-11062】D-Link DSL6740Cにコマンドインジェクションの脆弱...

TWCERTは2024年11月11日、D-Link DSL6740Cモデムに存在するコマンドインジェクション脆弱性【CVE-2024-11062】を公開した。SSHとTelnetを介した特定機能を通じて、管理者権限を持つ攻撃者が任意のシステムコマンドを実行可能な状態であることが判明。CVSSスコアは7.2と高く評価され、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。

【CVE-2024-29119】Siemens社のSpectrum Power 7に特権昇格の脆弱性、重要インフラへの影響が懸念される事態に

【CVE-2024-29119】Siemens社のSpectrum Power 7に特権昇格の...

Siemens社のSpectrum Power 7において、V24Q3より前の全バージョンで特権昇格の脆弱性が発見された。CVSSスコアは3.1で7.8、4.0で8.5と高い深刻度を示しており、認証済みローカル攻撃者による特権昇格が可能な状態となっている。CWE-266に分類されるこの脆弱性は、root所有のSUIDバイナリに関連する問題であり、重要インフラへの影響が懸念される。

【CVE-2024-29119】Siemens社のSpectrum Power 7に特権昇格の...

Siemens社のSpectrum Power 7において、V24Q3より前の全バージョンで特権昇格の脆弱性が発見された。CVSSスコアは3.1で7.8、4.0で8.5と高い深刻度を示しており、認証済みローカル攻撃者による特権昇格が可能な状態となっている。CWE-266に分類されるこの脆弱性は、root所有のSUIDバイナリに関連する問題であり、重要インフラへの影響が懸念される。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証済み攻撃者によるJavaScriptコード実行の危険性

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。

EUがMetaに1310億円の制裁金、Facebook Marketplaceの独占的慣行が問題視される

EUがMetaに1310億円の制裁金、Facebook Marketplaceの独占的慣行が問...

欧州委員会はMetaに対し7億9772万ユーロの制裁金を科した。FacebookとFacebook Marketplaceの強制的な紐付けが競争を阻害し、他の広告サービス提供者への不公平な取引条件を課していたことが理由である。EUはデジタルプラットフォーマーの市場支配力に対する規制を強化している。

EUがMetaに1310億円の制裁金、Facebook Marketplaceの独占的慣行が問...

欧州委員会はMetaに対し7億9772万ユーロの制裁金を科した。FacebookとFacebook Marketplaceの強制的な紐付けが競争を阻害し、他の広告サービス提供者への不公平な取引条件を課していたことが理由である。EUはデジタルプラットフォーマーの市場支配力に対する規制を強化している。

Virgin Media O2が詐欺対策AIおばあちゃんDaisyを発表、リアルタイム対話で詐欺師の時間を浪費

Virgin Media O2が詐欺対策AIおばあちゃんDaisyを発表、リアルタイム対話で詐...

英国の通信事業者Virgin Media O2は、詐欺師の電話に応答して時間を浪費させるAIおばあちゃんDaisyを発表した。最新のAI技術と有名なスキャムベイターJim Browningの協力により開発されたDaisyは、実在の人物と見分けがつかないレベルのリアルタイム対話が可能で、詐欺師との通話を最大40分継続することに成功している。

Virgin Media O2が詐欺対策AIおばあちゃんDaisyを発表、リアルタイム対話で詐...

英国の通信事業者Virgin Media O2は、詐欺師の電話に応答して時間を浪費させるAIおばあちゃんDaisyを発表した。最新のAI技術と有名なスキャムベイターJim Browningの協力により開発されたDaisyは、実在の人物と見分けがつかないレベルのリアルタイム対話が可能で、詐欺師との通話を最大40分継続することに成功している。

CNCFが2025年6月に東京でKubeCon + CloudNativeCon Japanを初開催、アジア太平洋地域のクラウドネイティブ技術の普及を加速

CNCFが2025年6月に東京でKubeCon + CloudNativeCon Japanを...

Cloud Native Computing Foundation(CNCF)は2024年11月15日、2025年6月16日と17日の2日間にわたり東京で「KubeCon + CloudNativeCon Japan 2025」を開催することを発表した。本イベントはCNCFの旗艦イベントであり、AppleやCyberAgentなどが参画するCNCF Japan Chapterの活動とも連携しながら、クラウドネイティブ技術の普及と知見共有を促進する。

CNCFが2025年6月に東京でKubeCon + CloudNativeCon Japanを...

Cloud Native Computing Foundation(CNCF)は2024年11月15日、2025年6月16日と17日の2日間にわたり東京で「KubeCon + CloudNativeCon Japan 2025」を開催することを発表した。本イベントはCNCFの旗艦イベントであり、AppleやCyberAgentなどが参画するCNCF Japan Chapterの活動とも連携しながら、クラウドネイティブ技術の普及と知見共有を促進する。

Leaning TechnologiesがWebVM 2.0を公開、ブラウザ上でLinuxデスクトップ環境の完全実行が可能に

Leaning TechnologiesがWebVM 2.0を公開、ブラウザ上でLinuxデス...

Leaning Technologiesは、WebブラウザでLinux環境を実行できる仮想マシンWebVMの新バージョンWebVM 2.0を公開した。WebAssemblyベースの仮想化エンジンCheerpXとストリーミングディスクバックエンドにより、1GB以上のルートファイルシステムをサポートし、XorgとLinuxデスクトップ環境の完全な実行を実現。教育機関や企業での活用が期待される。

Leaning TechnologiesがWebVM 2.0を公開、ブラウザ上でLinuxデス...

Leaning Technologiesは、WebブラウザでLinux環境を実行できる仮想マシンWebVMの新バージョンWebVM 2.0を公開した。WebAssemblyベースの仮想化エンジンCheerpXとストリーミングディスクバックエンドにより、1GB以上のルートファイルシステムをサポートし、XorgとLinuxデスクトップ環境の完全な実行を実現。教育機関や企業での活用が期待される。

GoogleがDocsでGemini画像生成機能を追加、Imagen 3による高品質な画像作成が可能に

GoogleがDocsでGemini画像生成機能を追加、Imagen 3による高品質な画像作成...

GoogleはGoogle Docsに新たにGeminiを活用した画像生成機能を追加した。最新の画像生成モデルImagen 3を採用し、インライン画像とフルブリードカバー画像の両方に対応。写真や水彩画などのスタイル指定やアスペクト比の選択も可能で、レストランメニューやマーケティング資料など幅広い用途に活用できる。Rapid Releaseドメインでは11月15日から、Scheduled Releaseドメインでは12月16日から順次展開される。

GoogleがDocsでGemini画像生成機能を追加、Imagen 3による高品質な画像作成...

GoogleはGoogle Docsに新たにGeminiを活用した画像生成機能を追加した。最新の画像生成モデルImagen 3を採用し、インライン画像とフルブリードカバー画像の両方に対応。写真や水彩画などのスタイル指定やアスペクト比の選択も可能で、レストランメニューやマーケティング資料など幅広い用途に活用できる。Rapid Releaseドメインでは11月15日から、Scheduled Releaseドメインでは12月16日から順次展開される。

HOT TOPICS