Tech Insights

【CVE-2024-47529】OpenC3 COSMOSにパスワードの平文保存の脆弱性が発見...

2024年11月15日

OpenC3 COSMOSにおいて、ユーザーパスワードがWebブラウザのLocalStorageに暗号化されずに保存される脆弱性が発見された。この脆弱性はCVE-2024-47529として識別され、CVSS評価は4.8（MEDIUM）となっている。クロスサイトスクリプティング攻撃によるパスワード漏洩のリスクがあったが、バージョン5.19.0で修正が完了。Enterprise Editionは影響を受けないことも確認された。

【CVE-2024-47529】OpenC3 COSMOSにパスワードの平文保存の脆弱性が発見...

2024年11月15日

OpenC3 COSMOSにおいて、ユーザーパスワードがWebブラウザのLocalStorageに暗号化されずに保存される脆弱性が発見された。この脆弱性はCVE-2024-47529として識別され、CVSS評価は4.8（MEDIUM）となっている。クロスサイトスクリプティング攻撃によるパスワード漏洩のリスクがあったが、バージョン5.19.0で修正が完了。Enterprise Editionは影響を受けないことも確認された。

【CVE-2024-45764】Dell Enterprise SONiC OSの認証バイパス...

2024年11月15日

Dell EMCは2024年11月8日、Dell Enterprise SONiC OSのバージョン4.1.x、4.2.xに存在する重大な認証バイパスの脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として評価され、リモートからの不正アクセスが可能となる問題が指摘されている。Dell EMCはバージョン4.1.6および4.2.2以降へのアップグレードを提供しており、早急な対応が推奨される。

【CVE-2024-45764】Dell Enterprise SONiC OSの認証バイパス...

2024年11月15日

Dell EMCは2024年11月8日、Dell Enterprise SONiC OSのバージョン4.1.x、4.2.xに存在する重大な認証バイパスの脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として評価され、リモートからの不正アクセスが可能となる問題が指摘されている。Dell EMCはバージョン4.1.6および4.2.2以降へのアップグレードを提供しており、早急な対応が推奨される。

【CVE-2024-43925】WordPress用プラグインEnvira Gallery L...

2024年11月15日

Patchstack OÜはWordPressプラグインEnvira Gallery Liteのバージョン1.8.14以前に認証の欠如による脆弱性が存在することを公開した。CVSSスコアは4.3で中程度の深刻度とされている。この脆弱性はアクセス制御の設定が適切に構成されていないことに起因しており、攻撃者が不正なアクセス権限を取得する可能性がある。Envira Gallery Teamはバージョン1.8.15でパッチを適用し、認証機能の強化を実施している。

【CVE-2024-43925】WordPress用プラグインEnvira Gallery L...

2024年11月15日

Patchstack OÜはWordPressプラグインEnvira Gallery Liteのバージョン1.8.14以前に認証の欠如による脆弱性が存在することを公開した。CVSSスコアは4.3で中程度の深刻度とされている。この脆弱性はアクセス制御の設定が適切に構成されていないことに起因しており、攻撃者が不正なアクセス権限を取得する可能性がある。Envira Gallery Teamはバージョン1.8.15でパッチを適用し、認証機能の強化を実施している。

【CVE-2024-40239】Life: Personal Diary, Journal 1...

2024年11月15日

Androidアプリケーション「Life: Personal Diary, Journal 17.5.0」において、指紋認証機能のアクセス制御に不備が発見された。CVSSスコア6.1のMedium評価で、物理的に近接する攻撃者による権限昇格が可能となる脆弱性が確認されている。機密性と完全性への高い影響が指摘され、個人のプライバシー情報を扱うアプリケーションとして早急な対応が必要とされている。

【CVE-2024-40239】Life: Personal Diary, Journal 1...

2024年11月15日

Androidアプリケーション「Life: Personal Diary, Journal 17.5.0」において、指紋認証機能のアクセス制御に不備が発見された。CVSSスコア6.1のMedium評価で、物理的に近接する攻撃者による権限昇格が可能となる脆弱性が確認されている。機密性と完全性への高い影響が指摘され、個人のプライバシー情報を扱うアプリケーションとして早急な対応が必要とされている。

【CVE-2024-34682】Samsung MobileのSettingsにおける認証不備...

2024年11月15日

Samsung Mobileは、同社のモバイル端末のSettingsにおいて認証に関する脆弱性を発見し公開した。この脆弱性はSMR Nov-2024 Release 1以前のバージョンに影響を及ぼし、メンテナンスモードにおいて物理的なアクセスを持つ攻撃者がWiFiパスワードを参照できる問題が確認されている。CVSSスコアは2.4（Low）と評価され、Android 14向けにSMR Nov-2024 Releaseで修正された。

【CVE-2024-34682】Samsung MobileのSettingsにおける認証不備...

2024年11月15日

Samsung Mobileは、同社のモバイル端末のSettingsにおいて認証に関する脆弱性を発見し公開した。この脆弱性はSMR Nov-2024 Release 1以前のバージョンに影響を及ぼし、メンテナンスモードにおいて物理的なアクセスを持つ攻撃者がWiFiパスワードを参照できる問題が確認されている。CVSSスコアは2.4（Low）と評価され、Android 14向けにSMR Nov-2024 Releaseで修正された。

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...

2024年11月15日

Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...

2024年11月15日

Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。

【CVE-2024-50451】WordPress MDTFプラグイン1.3.3.4にXSS脆...

2024年11月15日

WordPress用プラグイン「Meta Data And Taxonomies Filter (MDTF)」のバージョン1.3.3.4以前に格納型XSSの脆弱性が発見された。CVE-2024-50451として識別されたこの脆弱性は、Webページ生成時の入力値の無害化処理が不適切であることに起因する。CVSSスコアは6.5と評価され、攻撃には低い権限と利用者の操作が必要だが、早急なアップデートが推奨される。

【CVE-2024-50451】WordPress MDTFプラグイン1.3.3.4にXSS脆...

2024年11月15日

WordPress用プラグイン「Meta Data And Taxonomies Filter (MDTF)」のバージョン1.3.3.4以前に格納型XSSの脆弱性が発見された。CVE-2024-50451として識別されたこの脆弱性は、Webページ生成時の入力値の無害化処理が不適切であることに起因する。CVSSスコアは6.5と評価され、攻撃には低い権限と利用者の操作が必要だが、早急なアップデートが推奨される。

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...

2024年11月15日

オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...

2024年11月15日

オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。

【CVE-2024-6442】Zephyr OS 3.6のBluetoothスタックに脆弱性、...

2024年11月15日

Zephyr Projectは2024年10月4日、Zephyr OSのBluetoothスタックにバッファオーバーフロー脆弱性が存在することを公開した。CVE-2024-6442として識別されるこの脆弱性は、ASCSのレスポンスバッファの未チェックにより発生し、CVSSスコア6.3の中程度の深刻度と評価されている。影響を受けるのはZephyr 3.6までのすべてのバージョンで、システムの機密性、整合性、可用性に影響を与える可能性がある。

【CVE-2024-6442】Zephyr OS 3.6のBluetoothスタックに脆弱性、...

2024年11月15日

Zephyr Projectは2024年10月4日、Zephyr OSのBluetoothスタックにバッファオーバーフロー脆弱性が存在することを公開した。CVE-2024-6442として識別されるこの脆弱性は、ASCSのレスポンスバッファの未チェックにより発生し、CVSSスコア6.3の中程度の深刻度と評価されている。影響を受けるのはZephyr 3.6までのすべてのバージョンで、システムの機密性、整合性、可用性に影響を与える可能性がある。

【CVE-2024-51580】Clever Addons for Elementor 2.2...

2024年11月15日

WordPressのページビルダーElementor向けプラグイン「Clever Addons for Elementor」のバージョン2.2.1以前に、格納型XSS脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価され、攻撃者が特権レベルを必要とするものの利用者の関与を必要とする特徴がある。機密性・完全性・可用性のすべてにおいて低レベルの影響が想定されている。

【CVE-2024-51580】Clever Addons for Elementor 2.2...

2024年11月15日

WordPressのページビルダーElementor向けプラグイン「Clever Addons for Elementor」のバージョン2.2.1以前に、格納型XSS脆弱性が発見された。CVSSスコア6.5のミディアムリスクと評価され、攻撃者が特権レベルを必要とするものの利用者の関与を必要とする特徴がある。機密性・完全性・可用性のすべてにおいて低レベルの影響が想定されている。

【CVE-2024-50561】Siemens製品のファイル名サニタイズ処理に脆弱性、バージョ...

2024年11月15日

Siemensは複数の産業用ネットワーク機器においてファイル名のサニタイズ処理に関する脆弱性【CVE-2024-50561】を公開した。RUGGEDCOM RM1224 LTE(4G)やSCALANCEシリーズなど、バージョン8.2未満の製品が影響を受け、認証済みリモート攻撃者によるシステム整合性の侵害が可能となる。CVSSスコアはv3.1で4.3、v4.0で5.1のMedium評価だ。

【CVE-2024-50561】Siemens製品のファイル名サニタイズ処理に脆弱性、バージョ...

2024年11月15日

Siemensは複数の産業用ネットワーク機器においてファイル名のサニタイズ処理に関する脆弱性【CVE-2024-50561】を公開した。RUGGEDCOM RM1224 LTE(4G)やSCALANCEシリーズなど、バージョン8.2未満の製品が影響を受け、認証済みリモート攻撃者によるシステム整合性の侵害が可能となる。CVSSスコアはv3.1で4.3、v4.0で5.1のMedium評価だ。

【CVE-2024-50460】WordPress用Firelight Lightboxプラグ...

2024年11月15日

FirelightWP社が開発するWordPress用プラグインFirelight Lightboxにおいて、バージョン2.3.3以前に影響を与えるクロスサイトスクリプティング（XSS）の脆弱性が発見された。この脆弱性は【CVE-2024-50460】として識別され、CVSSスコア5.9のミディアムレベルと評価されている。攻撃の前提条件として高い権限が必要とされるものの、技術的な複雑さは低く、影響範囲が制限されたスコープを超えて広がる可能性が指摘されている。

【CVE-2024-50460】WordPress用Firelight Lightboxプラグ...

2024年11月15日

FirelightWP社が開発するWordPress用プラグインFirelight Lightboxにおいて、バージョン2.3.3以前に影響を与えるクロスサイトスクリプティング（XSS）の脆弱性が発見された。この脆弱性は【CVE-2024-50460】として識別され、CVSSスコア5.9のミディアムレベルと評価されている。攻撃の前提条件として高い権限が必要とされるものの、技術的な複雑さは低く、影響範囲が制限されたスコープを超えて広がる可能性が指摘されている。

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...

2024年11月15日

SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...

2024年11月15日

SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。

【CVE-2024-49407】Samsung Flow 4.9.15.7未満に不適切なアクセ...

2024年11月15日

Samsung Mobileは、Samsung Flow 4.9.15.7未満のバージョンにおいて不適切なアクセス制御の脆弱性【CVE-2024-49407】を公開した。この脆弱性により物理的な攻撃者が複数のユーザープロファイル間のデータにアクセスできる状態となっており、CVSSスコアは4.6（Medium）と評価されている。CISAは本脆弱性の攻撃には物理的なアクセスが必要で、攻撃の自動化は不可能と判断。Samsung Flow 4.9.15.7へのアップデートが推奨される。

【CVE-2024-49407】Samsung Flow 4.9.15.7未満に不適切なアクセ...

2024年11月15日

Samsung Mobileは、Samsung Flow 4.9.15.7未満のバージョンにおいて不適切なアクセス制御の脆弱性【CVE-2024-49407】を公開した。この脆弱性により物理的な攻撃者が複数のユーザープロファイル間のデータにアクセスできる状態となっており、CVSSスコアは4.6（Medium）と評価されている。CISAは本脆弱性の攻撃には物理的なアクセスが必要で、攻撃の自動化は不可能と判断。Samsung Flow 4.9.15.7へのアップデートが推奨される。

【CVE-2024-49405】Samsung Pass認証脆弱性の修正、バージョン4.4.0...

2024年11月15日

Samsung MobileはSamsung Passの重要な脆弱性【CVE-2024-49405】を公開した。バージョン4.4.04.7未満に存在するPrivate Info認証処理の脆弱性により、物理的な攻撃者による機密情報へのアクセスが可能となる。CVSSスコア5.3の中程度の深刻度と評価され、攻撃条件の複雑さは低いものの物理的アクセスが必要。Samsung Passユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-49405】Samsung Pass認証脆弱性の修正、バージョン4.4.0...

2024年11月15日

Samsung MobileはSamsung Passの重要な脆弱性【CVE-2024-49405】を公開した。バージョン4.4.04.7未満に存在するPrivate Info認証処理の脆弱性により、物理的な攻撃者による機密情報へのアクセスが可能となる。CVSSスコア5.3の中程度の深刻度と評価され、攻撃条件の複雑さは低いものの物理的アクセスが必要。Samsung Passユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-48044】ShortPixel Image Optimizer 5.6....

2024年11月15日

WordPressプラグインのShortPixel Image Optimizerにアクセス制御の脆弱性が発見された。バージョン5.6.3以前が影響を受け、認証済みユーザーによる権限昇格の可能性がある。CVSSスコアは5.4でミディアムレベルの深刻度とされ、Patchstack OÜのRafie Muhammadによって発見された。バージョン5.6.4で修正済みのため、早急なアップデートが推奨される。

【CVE-2024-48044】ShortPixel Image Optimizer 5.6....

2024年11月15日

WordPressプラグインのShortPixel Image Optimizerにアクセス制御の脆弱性が発見された。バージョン5.6.3以前が影響を受け、認証済みユーザーによる権限昇格の可能性がある。CVSSスコアは5.4でミディアムレベルの深刻度とされ、Patchstack OÜのRafie Muhammadによって発見された。バージョン5.6.4で修正済みのため、早急なアップデートが推奨される。

【CVE-2024-47803】Jenkins 2.478のsecretTextareaに脆弱...

2024年11月15日

Jenkins ProjectはJenkins 2.478以前のバージョンとLTS 2.462.2以前のバージョンにおいて、secretTextarea形式のフォームフィールドに関連するセキュリティ脆弱性を公開した。フォーム送信時のエラーメッセージで機密情報が適切に編集されない問題が発見され、Jenkins 2.462.3以降のバージョンで修正が実施されている。影響を受けるユーザーには速やかなアップデートが推奨される。

【CVE-2024-47803】Jenkins 2.478のsecretTextareaに脆弱...

2024年11月15日

Jenkins ProjectはJenkins 2.478以前のバージョンとLTS 2.462.2以前のバージョンにおいて、secretTextarea形式のフォームフィールドに関連するセキュリティ脆弱性を公開した。フォーム送信時のエラーメッセージで機密情報が適切に編集されない問題が発見され、Jenkins 2.462.3以降のバージョンで修正が実施されている。影響を受けるユーザーには速やかなアップデートが推奨される。

【CVE-2024-43932】The Plus Addons For Elementor 5...

2024年11月15日

WordPressプラグインThe Plus Addons For Elementor Page Builder Liteにおいて、認可機能の欠落による重大な脆弱性が発見された。CVE-2024-43932として識別されたこの問題は、バージョン5.6.2までのすべてのバージョンに影響を与える。CVSSスコア6.5を記録しており、攻撃の複雑さは低いものの特権が必要とされる。開発元のPOSIMYTHは直ちにバージョン5.6.3をリリースし、脆弱性を修正している。

【CVE-2024-43932】The Plus Addons For Elementor 5...

2024年11月15日

WordPressプラグインThe Plus Addons For Elementor Page Builder Liteにおいて、認可機能の欠落による重大な脆弱性が発見された。CVE-2024-43932として識別されたこの問題は、バージョン5.6.2までのすべてのバージョンに影響を与える。CVSSスコア6.5を記録しており、攻撃の複雑さは低いものの特権が必要とされる。開発元のPOSIMYTHは直ちにバージョン5.6.3をリリースし、脆弱性を修正している。

【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可...

2024年11月15日

WordPressプラグインのPhoto Engineにおいて、認可機能に関する重大な脆弱性が発見された。CVSSスコア4.3（MEDIUM）に分類されるこの脆弱性は、アクセス制御の設定が不適切に構成されており、認可されていないユーザーによる不正アクセスが可能となる可能性がある。開発元のJordy Meowはバージョン6.4.1で修正プログラムを提供している。

【CVE-2024-43332】WordPressのPhoto Engine 6.4.0に認可...

2024年11月15日

WordPressプラグインのPhoto Engineにおいて、認可機能に関する重大な脆弱性が発見された。CVSSスコア4.3（MEDIUM）に分類されるこの脆弱性は、アクセス制御の設定が不適切に構成されており、認可されていないユーザーによる不正アクセスが可能となる可能性がある。開発元のJordy Meowはバージョン6.4.1で修正プログラムを提供している。

【CVE-2024-43310】WordPress用Print Barcode Labelsプ...

2024年11月15日

UkrSolutionは、WordPress用プラグインPrint Barcode Labels for WooCommerceにアクセス制御の欠陥が存在することを2024年11月1日に公開した。バージョン3.4.9以前に存在する認可の欠如による脆弱性は、CVSSスコア6.5を記録。早急なバージョン3.4.10へのアップデートが推奨される。攻撃者がネットワーク経由でアクセス制御を迂回し、機密情報の漏洩につながる可能性がある。

【CVE-2024-43310】WordPress用Print Barcode Labelsプ...

2024年11月15日

UkrSolutionは、WordPress用プラグインPrint Barcode Labels for WooCommerceにアクセス制御の欠陥が存在することを2024年11月1日に公開した。バージョン3.4.9以前に存在する認可の欠如による脆弱性は、CVSSスコア6.5を記録。早急なバージョン3.4.10へのアップデートが推奨される。攻撃者がネットワーク経由でアクセス制御を迂回し、機密情報の漏洩につながる可能性がある。

【CVE-2024-43296】WordPress HTML5 Video Player 2....

2024年11月15日

bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度（4.3）の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。

【CVE-2024-43296】WordPress HTML5 Video Player 2....

2024年11月15日

bPlugins LLCのWordPressプラグイン「Flash & HTML5 Video」にアクセス制御の設定ミスによる脆弱性が発見された。CVE-2024-43296として識別されるこの問題は、バージョン2.5.30以前に影響を与え、CVSS 3.1で中程度（4.3）の深刻度と評価されている。PatchstackのAnanda Dhakalによって発見され、バージョン2.5.31で修正された本脆弱性は、適切なアクセス制御の実装の重要性を示している。

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...

2024年11月15日

Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。

【CVE-2024-33626】LevelOne WBR-6012にWiFi認証情報が漏洩する...

2024年11月15日

Cisco TalosがLevelOne WBR-6012ルーターのWebアプリケーションに存在する認証バイパスの脆弱性を公開した。HTTPリクエストを介して隠しページにアクセスすることで、WiFi WPS PINなどの機密情報が漏洩する可能性がある。CVE-2024-33626として識別されるこの脆弱性は、Router OS Version R0.40e6に影響を与え、CVSSスコアは5.3で中程度の深刻度と評価されている。

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbn...

2024年11月15日

Linuxカーネルにおいて、RDMAドライバbnxt_reのセットアップ処理に関連するメモリリーク脆弱性が発見された。bnxt_re_setup_chip_ctx()関数内でbnxt_qplib_map_db_bar()が失敗した際にrdev->chip_ctxのメモリ解放が行われないという問題が確認されている。影響を受けるバージョンは6.5から6.6.59未満、6.11.6未満、6.12-rc4未満となっており、各バージョン向けのパッチが提供されている。

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbn...

2024年11月15日

Linuxカーネルにおいて、RDMAドライバbnxt_reのセットアップ処理に関連するメモリリーク脆弱性が発見された。bnxt_re_setup_chip_ctx()関数内でbnxt_qplib_map_db_bar()が失敗した際にrdev->chip_ctxのメモリ解放が行われないという問題が確認されている。影響を受けるバージョンは6.5から6.6.59未満、6.11.6未満、6.12-rc4未満となっており、各バージョン向けのパッチが提供されている。

【CVE-2024-49774】SuiteCRMのModuleScanner脆弱性が発見、セキ...

2024年11月15日

オープンソースCRMソフトウェアのSuiteCRMにModuleScannerの重大な脆弱性が発見された。特定の構文構造を使用することでセキュリティチェックを回避できる問題が存在し、CVSS v3.1で7.2（High）と評価されている。バージョン7.14.6および8.7.1で修正済みだが、回避策は存在せずアップデートが必須となっている。

【CVE-2024-49774】SuiteCRMのModuleScanner脆弱性が発見、セキ...

2024年11月15日

オープンソースCRMソフトウェアのSuiteCRMにModuleScannerの重大な脆弱性が発見された。特定の構文構造を使用することでセキュリティチェックを回避できる問題が存在し、CVSS v3.1で7.2（High）と評価されている。バージョン7.14.6および8.7.1で修正済みだが、回避策は存在せずアップデートが必須となっている。

【CVE-2024-49409】Galaxy S24のバッテリー容量測定に脆弱性、9月のファー...

2024年11月15日

Samsung MobileはGalaxy S24のバッテリー容量測定における境界外書き込みの脆弱性【CVE-2024-49409】を公開した。システム権限を持つローカル攻撃者によって境界外のメモリに書き込みが可能になる脆弱性で、CVSS v3.1で6.4（MEDIUM）と評価された。この脆弱性は2024年9月のファームウェアアップデートで修正される予定となっている。

【CVE-2024-49409】Galaxy S24のバッテリー容量測定に脆弱性、9月のファー...

2024年11月15日

Samsung MobileはGalaxy S24のバッテリー容量測定における境界外書き込みの脆弱性【CVE-2024-49409】を公開した。システム権限を持つローカル攻撃者によって境界外のメモリに書き込みが可能になる脆弱性で、CVSS v3.1で6.4（MEDIUM）と評価された。この脆弱性は2024年9月のファームウェアアップデートで修正される予定となっている。

【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開...

2024年11月15日

Jenkins ProjectがJenkins 2.478以前のバージョンにおける重大な脆弱性を公開した。CLIやREST APIを通じてアクセス制御をバイパスし、制限されたアイテムタイプの作成が可能になる問題が発見された。Item/Configure権限を持つ攻撃者が非承認のアイテムを作成できる状態であり、Jenkins 2.462.3およびJenkins 2.479以降で修正された。

【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開...

2024年11月15日

Jenkins ProjectがJenkins 2.478以前のバージョンにおける重大な脆弱性を公開した。CLIやREST APIを通じてアクセス制御をバイパスし、制限されたアイテムタイプの作成が可能になる問題が発見された。Item/Configure権限を持つ攻撃者が非承認のアイテムを作成できる状態であり、Jenkins 2.462.3およびJenkins 2.479以降で修正された。

【CVE-2024-43312】WPC Frequently Bought Together ...

2024年11月15日

WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4（Medium）と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。

【CVE-2024-43312】WPC Frequently Bought Together ...

2024年11月15日

WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4（Medium）と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...

2024年11月15日

WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。

【CVE-2024-43297】WordPressプラグインClone 2.4.5に認可機能の...

2024年11月15日

WordPressプラグインCloneにおいて、バージョン2.4.5以前に影響を及ぼす認可機能の欠如による脆弱性が発見された。CVE-2024-43297として識別されるこの脆弱性は、CVSSv3.1でスコア4.3のミディアムレベルと評価されている。攻撃者には特権が必要だが、システムの整合性に影響を与える可能性があり、バージョン2.4.6への更新が推奨される。

【CVE-2024-50560】SiemensのネットワークデバイスにSSHユーザー名切り捨て...

2024年11月15日

Siemens社がRUGGEDCOM RM1224シリーズやSCALANCEシリーズなど複数のネットワークデバイスにおいて、SSHやTelnet接続時に15文字を超えるユーザー名が切り捨てられる脆弱性を公開した。CVSSスコアは3.1で低リスクと評価されているが、システムの完全性を損なう可能性があり、バージョン8.2未満の製品すべてに影響を与えることが判明している。

【CVE-2024-50560】SiemensのネットワークデバイスにSSHユーザー名切り捨て...

2024年11月15日

Siemens社がRUGGEDCOM RM1224シリーズやSCALANCEシリーズなど複数のネットワークデバイスにおいて、SSHやTelnet接続時に15文字を超えるユーザー名が切り捨てられる脆弱性を公開した。CVSSスコアは3.1で低リスクと評価されているが、システムの完全性を損なう可能性があり、バージョン8.2未満の製品すべてに影響を与えることが判明している。