Tech Insights

【CVE-2024-49217】WordPress用プラグインAdding drop down roles in registrationに権限昇格の脆弱性、深刻度9.8の緊急対応が必要に

【CVE-2024-49217】WordPress用プラグインAdding drop down...

WordPressプラグインのAdding drop down roles in registrationにおいて、バージョン1.1以前に影響を与える重大な権限昇格の脆弱性が発見された。CVE-2024-49217として識別されるこの脆弱性は、CVSSスコア9.8と極めて高い深刻度を示しており、特別な権限を必要とせずにリモートから攻撃可能である点が特徴だ。影響を受けるすべてのユーザーに早急な対応が求められる。

【CVE-2024-49217】WordPress用プラグインAdding drop down...

WordPressプラグインのAdding drop down roles in registrationにおいて、バージョン1.1以前に影響を与える重大な権限昇格の脆弱性が発見された。CVE-2024-49217として識別されるこの脆弱性は、CVSSスコア9.8と極めて高い深刻度を示しており、特別な権限を必要とせずにリモートから攻撃可能である点が特徴だ。影響を受けるすべてのユーザーに早急な対応が求められる。

【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報の漏洩リスクが判明

【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報...

IceWhaleTech社のZimaOSにおいて、バージョン1.2.4以前に重大な認証バイパスの脆弱性が発見された。APIエンドポイントにおいて認証なしでユーザー名情報にアクセス可能な状態となっており、CVE-2024-48932として識別されている。CVSSスコアは5.3(Medium)と評価され、この脆弱性を悪用されるとブルートフォース攻撃やフィッシングの足がかりとされる可能性がある。現時点でパッチ適用版は未リリース。

【CVE-2024-48932】ZimaOS 1.2.4に認証バイパスの脆弱性、ユーザー名情報...

IceWhaleTech社のZimaOSにおいて、バージョン1.2.4以前に重大な認証バイパスの脆弱性が発見された。APIエンドポイントにおいて認証なしでユーザー名情報にアクセス可能な状態となっており、CVE-2024-48932として識別されている。CVSSスコアは5.3(Medium)と評価され、この脆弱性を悪用されるとブルートフォース攻撃やフィッシングの足がかりとされる可能性がある。現時点でパッチ適用版は未リリース。

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密ファイルの読み取りが可能に

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...

IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5(High)と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-48931】ZimaOS 1.2.4でパストラバーサルの脆弱性が発覚、機密...

IceWhaleTech社が開発するZimaOSのバージョン1.2.4以前に、パストラバーサルの脆弱性が発見された。APIエンドポイントの入力検証が不十分なため、認証済みユーザーが機密システムファイルを読み取ることが可能となっている。CVSSスコアは7.5(High)と評価されており、早急なセキュリティ対策の見直しが求められている。現時点でパッチ適用済みバージョンは未公開。

【CVE-2024-48809】Open Networking Foundationのsdran-in-a-boxにDoS脆弱性、DeleteWatcher機能に深刻な問題

【CVE-2024-48809】Open Networking Foundationのsdra...

Open Networking Foundationのsdran-in-a-box v.1.4.3とonos-a1t v.0.2.3に深刻な脆弱性が発見された。CVE-2024-48809として識別されるこの脆弱性は、DeleteWatcher機能を標的としたDoS攻撃を可能にする。CVSSスコア7.5のHIGHレベルで、攻撃は特権不要でリモートから実行可能。CWE-770に分類される本脆弱性は、早急な対応が必要とされている。

【CVE-2024-48809】Open Networking Foundationのsdra...

Open Networking Foundationのsdran-in-a-box v.1.4.3とonos-a1t v.0.2.3に深刻な脆弱性が発見された。CVE-2024-48809として識別されるこの脆弱性は、DeleteWatcher機能を標的としたDoS攻撃を可能にする。CVSSスコア7.5のHIGHレベルで、攻撃は特権不要でリモートから実行可能。CWE-770に分類される本脆弱性は、早急な対応が必要とされている。

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエストによる機密データ露出の脆弱性、早急な対応が必要に

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...

Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-48352】Yealink Meeting ServerにHTTPリクエス...

Yealink Meeting Server V26.0.0.67未満において、enterprise IDを含むHTTP要求によりサーバーレスポンスから機密データが露出する脆弱性が発見された。CVSSスコア7.5のHigh評価で、攻撃者は特権やユーザー操作不要でネットワーク経由の攻撃が可能。CWE-922に分類され、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-47797】OpenHarmony v4.1.0のLiteos_aに重大な脆弱性、権限昇格のリスクが明らかに

【CVE-2024-47797】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンで、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47797として識別されるこの脆弱性は、ローカル攻撃者による権限昇格と機密情報漏洩のリスクをもたらす。CVSSスコア8.4のHigh評価で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要とされる。

【CVE-2024-47797】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンで、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47797として識別されるこの脆弱性は、ローカル攻撃者による権限昇格と機密情報漏洩のリスクをもたらす。CVSSスコア8.4のHigh評価で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要とされる。

【CVE-2024-47404】OpenHarmony v4.1.0でDouble Free脆弱性を発見、root権限昇格と機密情報漏洩のリスクに警戒

【CVE-2024-47404】OpenHarmony v4.1.0でDouble Free脆...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Double Free脆弱性【CVE-2024-47404】が発見された。この脆弱性により、ローカル攻撃者が通常権限をroot権限に昇格させ、機密情報を漏洩させる可能性がある。CVSSスコアは8.4(High)を記録しており、早急なアップデートが推奨されている。影響を受けるバージョンはv4.0.0からv4.1.0まで。

【CVE-2024-47404】OpenHarmony v4.1.0でDouble Free脆...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Double Free脆弱性【CVE-2024-47404】が発見された。この脆弱性により、ローカル攻撃者が通常権限をroot権限に昇格させ、機密情報を漏洩させる可能性がある。CVSSスコアは8.4(High)を記録しており、早急なアップデートが推奨されている。影響を受けるバージョンはv4.0.0からv4.1.0まで。

【CVE-2024-47402】OpenHarmony v4.0.0のLiteos_aにバッファオーバーリード脆弱性、サービス拒否攻撃のリスクが判明

【CVE-2024-47402】OpenHarmony v4.0.0のLiteos_aにバッフ...

OpenHarmonyのv4.0.0およびそれ以前のバージョンにおいて、Liteos_aにバッファオーバーリード脆弱性が発見された。CVE-2024-47402として識別されるこの脆弱性は、ローカル攻撃者によるサービス拒否攻撃を引き起こす可能性がある。CVSS v3.1で3.3(Low)と評価され、影響を受けるバージョンはv4.0.0から4.1.0までとされている。

【CVE-2024-47402】OpenHarmony v4.0.0のLiteos_aにバッフ...

OpenHarmonyのv4.0.0およびそれ以前のバージョンにおいて、Liteos_aにバッファオーバーリード脆弱性が発見された。CVE-2024-47402として識別されるこの脆弱性は、ローカル攻撃者によるサービス拒否攻撃を引き起こす可能性がある。CVSS v3.1で3.3(Low)と評価され、影響を受けるバージョンはv4.0.0から4.1.0までとされている。

【CVE-2024-47362】Strong Testimonials 3.1.16に認可制御の脆弱性、アクセス制御設定の不備により悪用の可能性

【CVE-2024-47362】Strong Testimonials 3.1.16に認可制御...

WPChillのWordPress用プラグインStrong Testimonials 3.1.16以前のバージョンに認可制御の脆弱性が発見された。CVE-2024-47362として識別されるこの脆弱性は、アクセス制御設定の誤設定により発生し、CVSS3.1で4.3(MEDIUM)と評価されている。WPChillは3.1.17でこの問題を修正しており、影響を受けるユーザーには早急なアップデートが推奨される。

【CVE-2024-47362】Strong Testimonials 3.1.16に認可制御...

WPChillのWordPress用プラグインStrong Testimonials 3.1.16以前のバージョンに認可制御の脆弱性が発見された。CVE-2024-47362として識別されるこの脆弱性は、アクセス制御設定の誤設定により発生し、CVSS3.1で4.3(MEDIUM)と評価されている。WPChillは3.1.17でこの問題を修正しており、影響を受けるユーザーには早急なアップデートが推奨される。

EVERSTEELが朝日工業で鉄ナビ検収AIの運用を開始、6500万画素カメラで高精度なスクラップ分析を実現

EVERSTEELが朝日工業で鉄ナビ検収AIの運用を開始、6500万画素カメラで高精度なスクラ...

EVERSTEELは朝日工業にて鉄スクラップAI解析システム「鉄ナビ検収AI」の運用を開始した。90%以上の精度でAI査定を実現し、6500万画素の産業用カメラによる高精度な異物検出が可能となった。基幹システムとの自動連携により効率的な運用を実現し、インターネット環境下であればどこからでもアクセス可能なシステムとなっている。

EVERSTEELが朝日工業で鉄ナビ検収AIの運用を開始、6500万画素カメラで高精度なスクラ...

EVERSTEELは朝日工業にて鉄スクラップAI解析システム「鉄ナビ検収AI」の運用を開始した。90%以上の精度でAI査定を実現し、6500万画素の産業用カメラによる高精度な異物検出が可能となった。基幹システムとの自動連携により効率的な運用を実現し、インターネット環境下であればどこからでもアクセス可能なシステムとなっている。

マップフォーがJR EAST STARTUP DAYに3次元データ計測システムSEAMS MEを出展、インフラ保全技術の革新に期待

マップフォーがJR EAST STARTUP DAYに3次元データ計測システムSEAMS ME...

マップフォーは2024年11月26日、新宿LUMINE0で開催されるJR EAST STARTUP DAYに出展し、3次元データ計測システムSEAMS MEを展示する。このシステムは3D-LiDAR、カメラ、GNSS受信機を搭載し、技術的知識がなくても直感的に操作可能で、鉄道や電力、道路インフラ設備の保全管理に活用できる。JR東日本スタートアッププログラム10回目を記念する本イベントで、最新の技術とソリューションを紹介する。

マップフォーがJR EAST STARTUP DAYに3次元データ計測システムSEAMS ME...

マップフォーは2024年11月26日、新宿LUMINE0で開催されるJR EAST STARTUP DAYに出展し、3次元データ計測システムSEAMS MEを展示する。このシステムは3D-LiDAR、カメラ、GNSS受信機を搭載し、技術的知識がなくても直感的に操作可能で、鉄道や電力、道路インフラ設備の保全管理に活用できる。JR東日本スタートアッププログラム10回目を記念する本イベントで、最新の技術とソリューションを紹介する。

AIタッガーがTEMPOSTARと連携を開始、EC事業者の業務効率化とSEO対策の強化を実現

AIタッガーがTEMPOSTARと連携を開始、EC事業者の業務効率化とSEO対策の強化を実現

LISUTO株式会社はSEO支援ツール「AIタッガー」と複数ネットショップ一元管理システム「TEMPOSTAR」の連携を開始した。CSVデータの相互運用性が向上し、EC事業者のバックヤード業務効率化を実現。新規ユーザー向けに両ツールの利用料金が最大20%・30%割引となるキャンペーンも実施される。AIタッガーは3,000店舗の導入実績を持つ。

AIタッガーがTEMPOSTARと連携を開始、EC事業者の業務効率化とSEO対策の強化を実現

LISUTO株式会社はSEO支援ツール「AIタッガー」と複数ネットショップ一元管理システム「TEMPOSTAR」の連携を開始した。CSVデータの相互運用性が向上し、EC事業者のバックヤード業務効率化を実現。新規ユーザー向けに両ツールの利用料金が最大20%・30%割引となるキャンペーンも実施される。AIタッガーは3,000店舗の導入実績を持つ。

【CVE-2024-47137】OpenHarmony v4.1.0のLiteos_aに重大な脆弱性、権限昇格とデータ漏洩のリスクが発生

【CVE-2024-47137】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47137として識別されるこの脆弱性は、CVSSスコア8.4の高リスクに分類され、ローカル攻撃者による管理者権限への昇格や機密情報の漏洩を引き起こす可能性がある。影響を受けるバージョンはv4.0.0からv4.1.0までで、早急な対策が求められている。

【CVE-2024-47137】OpenHarmony v4.1.0のLiteos_aに重大な...

OpenHarmonyのv4.1.0およびそれ以前のバージョンにおいて、Liteos_aコンポーネントにOut-of-bounds Write脆弱性が発見された。CVE-2024-47137として識別されるこの脆弱性は、CVSSスコア8.4の高リスクに分類され、ローカル攻撃者による管理者権限への昇格や機密情報の漏洩を引き起こす可能性がある。影響を受けるバージョンはv4.0.0からv4.1.0までで、早急な対策が求められている。

【CVE-2024-45164】Akamai SIAのThreatAvert Policyに認証制御の脆弱性、セキュリティ設定の無効化が可能な状態に

【CVE-2024-45164】Akamai SIAのThreatAvert Policyに認...

Akamai SIA(Secure Internet Access Enterprise)のThreatAvertで重要な認証制御の脆弱性が発見された。SPS 19.2.0パッチ以前およびApps Portal 19.2.0.3/19.2.0.20240814以前のバージョンで、認証済みユーザーがThreatAvert Policyページの管理機能に直接アクセスし、ポリシー強制を無効化できる状態になっていることが判明。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題である。

【CVE-2024-45164】Akamai SIAのThreatAvert Policyに認...

Akamai SIA(Secure Internet Access Enterprise)のThreatAvertで重要な認証制御の脆弱性が発見された。SPS 19.2.0パッチ以前およびApps Portal 19.2.0.3/19.2.0.20240814以前のバージョンで、認証済みユーザーがThreatAvert Policyページの管理機能に直接アクセスし、ポリシー強制を無効化できる状態になっていることが判明。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題である。

【CVE-2024-43924】WordPressのResponsive Lightbox 2.4.7で認証の脆弱性が発覚、アクセス制御の不備により早急な対応が必要に

【CVE-2024-43924】WordPressのResponsive Lightbox 2...

WordPressプラグインのResponsive Lightboxにおいて、バージョン2.4.7以前に重大な認証の脆弱性が発見された。CVE-2024-43924として識別されたこの問題は、アクセス制御リストによる適切な制限がない状態でシステム機能にアクセスできる脆弱性である。CVSSスコア5.3の中程度の深刻度と評価され、特権レベルや利用者の関与を必要としない点が特徴的だ。

【CVE-2024-43924】WordPressのResponsive Lightbox 2...

WordPressプラグインのResponsive Lightboxにおいて、バージョン2.4.7以前に重大な認証の脆弱性が発見された。CVE-2024-43924として識別されたこの問題は、アクセス制御リストによる適切な制限がない状態でシステム機能にアクセスできる脆弱性である。CVSSスコア5.3の中程度の深刻度と評価され、特権レベルや利用者の関与を必要としない点が特徴的だ。

【CVE-2024-34887】Bitrix24 23.300.100でAD/LDAP設定の認証情報漏洩の脆弱性を確認、中程度の深刻度と評価

【CVE-2024-34887】Bitrix24 23.300.100でAD/LDAP設定の認...

1C-BitrixのBitrix24 23.300.100においてAD/LDAPサーバー設定の認証情報が十分に保護されていない脆弱性が発見された。CVSSスコア6.8の中程度の深刻度と評価され、リモート管理者による認証情報の不正な送信が可能となっている。CISAの評価では自動化可能な攻撃手法の存在が指摘され、企業における認証情報の適切な保護と管理の重要性が浮き彫りとなった。

【CVE-2024-34887】Bitrix24 23.300.100でAD/LDAP設定の認...

1C-BitrixのBitrix24 23.300.100においてAD/LDAPサーバー設定の認証情報が十分に保護されていない脆弱性が発見された。CVSSスコア6.8の中程度の深刻度と評価され、リモート管理者による認証情報の不正な送信が可能となっている。CISAの評価では自動化可能な攻撃手法の存在が指摘され、企業における認証情報の適切な保護と管理の重要性が浮き彫りとなった。

【CVE-2024-34883】Bitrix24 23.300.100でDAVサーバー設定の脆弱性が発覚、プロキシサーバーのパスワード漏洩のリスクに

【CVE-2024-34883】Bitrix24 23.300.100でDAVサーバー設定の脆...

1C-BitrixのBitrix24 23.300.100において、DAVサーバー設定に関する重大な脆弱性【CVE-2024-34883】が発見された。この脆弱性により、リモート管理者がHTTP GETリクエストを介してプロキシサーバーアカウントのパスワードを読み取ることが可能となっている。CVSS v3.1で6.8(MEDIUM)と評価されており、CWE-522に分類される認証情報の保護不足が指摘されている。

【CVE-2024-34883】Bitrix24 23.300.100でDAVサーバー設定の脆...

1C-BitrixのBitrix24 23.300.100において、DAVサーバー設定に関する重大な脆弱性【CVE-2024-34883】が発見された。この脆弱性により、リモート管理者がHTTP GETリクエストを介してプロキシサーバーアカウントのパスワードを読み取ることが可能となっている。CVSS v3.1で6.8(MEDIUM)と評価されており、CWE-522に分類される認証情報の保護不足が指摘されている。

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性、早急なアップデートが必要に

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性...

Webベースのサービス管理ツールCombodo iTopにおいて、CSVインポートのシミュレーション機能にCSRF脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、バージョン3.1.2および3.2.0で修正が実施された。現時点で回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-31998】Combodo iTopのCSVインポート機能にCSRF脆弱性...

Webベースのサービス管理ツールCombodo iTopにおいて、CSVインポートのシミュレーション機能にCSRF脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、バージョン3.1.2および3.2.0で修正が実施された。現時点で回避策は存在せず、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-31448】Combodo iToP 3.1.2未満でCSVインポート機能のXSS脆弱性が発覚、早急な対応を推奨

【CVE-2024-31448】Combodo iToP 3.1.2未満でCSVインポート機能...

GitHubのMaintainer Security AdvisoriesがCombodo iToPのCSVインポート機能におけるクロスサイトスクリプティング(XSS)の脆弱性を公開した。CVE-2024-31448として識別されるこの脆弱性は、バージョン3.1.2未満で確認されており、CVSS v3.1で8.8(HIGH)と評価されている。対策としてバージョン3.1.2および3.2.0への更新、またはCSVコンテンツの事前検証が推奨されている。

【CVE-2024-31448】Combodo iToP 3.1.2未満でCSVインポート機能...

GitHubのMaintainer Security AdvisoriesがCombodo iToPのCSVインポート機能におけるクロスサイトスクリプティング(XSS)の脆弱性を公開した。CVE-2024-31448として識別されるこの脆弱性は、バージョン3.1.2未満で確認されており、CVSS v3.1で8.8(HIGH)と評価されている。対策としてバージョン3.1.2および3.2.0への更新、またはCSVコンテンツの事前検証が推奨されている。

【CVE-2024-10809】E-Health Care System 1.0のチャット機能にSQL injection脆弱性、リモート攻撃のリスクに警戒

【CVE-2024-10809】E-Health Care System 1.0のチャット機能...

code-projectsのE-Health Care System 1.0において、/Doctor/chat.phpファイルに重大な脆弱性が発見された。nameとmessageパラメータに対するSQL injectionが可能で、リモートからの攻撃リスクが存在する。CVSSスコアは最新のバージョン4.0で5.3を記録し、医療データの安全性に影響を与える可能性のある深刻な問題として認識されている。

【CVE-2024-10809】E-Health Care System 1.0のチャット機能...

code-projectsのE-Health Care System 1.0において、/Doctor/chat.phpファイルに重大な脆弱性が発見された。nameとmessageパラメータに対するSQL injectionが可能で、リモートからの攻撃リスクが存在する。CVSSスコアは最新のバージョン4.0で5.3を記録し、医療データの安全性に影響を与える可能性のある深刻な問題として認識されている。

【CVE-2024-50529】WordPress Training Coursesプラグインに深刻な脆弱性、Webシェル攻撃のリスクで早急な対応が必要

【CVE-2024-50529】WordPress Training Coursesプラグイン...

WordPressプラグインTraining Courses 2.0.1以前のバージョンに危険なファイルアップロードの脆弱性が発見された。CVE-2024-50529として識別されるこの脆弱性は、攻撃者によるWebシェルのアップロードを可能にし、サーバーの遠隔操作やデータの改ざんのリスクがある。CVSSスコア9.9のクリティカルな脆弱性として評価され、早急なアップデートが推奨されている。

【CVE-2024-50529】WordPress Training Coursesプラグイン...

WordPressプラグインTraining Courses 2.0.1以前のバージョンに危険なファイルアップロードの脆弱性が発見された。CVE-2024-50529として識別されるこの脆弱性は、攻撃者によるWebシェルのアップロードを可能にし、サーバーの遠隔操作やデータの改ざんのリスクがある。CVSSスコア9.9のクリティカルな脆弱性として評価され、早急なアップデートが推奨されている。

【CVE-2024-50528】WordPress Stacks Mobile App Builder 5.2.3に深刻な脆弱性、機密情報漏洩のリスクが浮上

【CVE-2024-50528】WordPress Stacks Mobile App Bui...

Patchstack OÜがWordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに存在する重大な脆弱性を報告した。CVE-2024-50528として識別されるこの脆弱性は、認証なしで機密システム情報にアクセス可能な問題で、CVSSスコア7.5と高い深刻度が付与されている。攻撃に特別な権限や技術が不要なため、早急な対応が必要とされる。

【CVE-2024-50528】WordPress Stacks Mobile App Bui...

Patchstack OÜがWordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに存在する重大な脆弱性を報告した。CVE-2024-50528として識別されるこの脆弱性は、認証なしで機密システム情報にアクセス可能な問題で、CVSSスコア7.5と高い深刻度が付与されている。攻撃に特別な権限や技術が不要なため、早急な対応が必要とされる。

【CVE-2024-50527】WordPress用Stacks Mobile App Builder 5.2.3に深刻な脆弱性、Webシェルのアップロードが可能に

【CVE-2024-50527】WordPress用Stacks Mobile App Bui...

WordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに危険なファイルのアップロードを許可する脆弱性が発見された。CVE-2024-50527として識別されるこの脆弱性は、CVSSスコア10.0の最も深刻なレベルで、攻撃者が認証なしでWebシェルをサーバーにアップロードすることが可能となる。早急なバージョンアップデートによる対策が必要だ。

【CVE-2024-50527】WordPress用Stacks Mobile App Bui...

WordPress用プラグインStacks Mobile App Builder 5.2.3以前のバージョンに危険なファイルのアップロードを許可する脆弱性が発見された。CVE-2024-50527として識別されるこの脆弱性は、CVSSスコア10.0の最も深刻なレベルで、攻撃者が認証なしでWebシェルをサーバーにアップロードすることが可能となる。早急なバージョンアップデートによる対策が必要だ。

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱性、Webシェルによる無制限な攻撃が可能に

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱...

PatchstackはWordPress用プラグインHelloprintにおいて、危険な任意のファイルアップロードを可能にする脆弱性【CVE-2024-50525】を報告した。バージョン2.0.2以前のすべてのバージョンが影響を受け、攻撃者によるWebシェルのアップロードを許可する可能性がある。CVSSスコア10.0の最も深刻なレベルとされ、早急な対応が必要である。

【CVE-2024-50525】WordPress用プラグインHelloprintに深刻な脆弱...

PatchstackはWordPress用プラグインHelloprintにおいて、危険な任意のファイルアップロードを可能にする脆弱性【CVE-2024-50525】を報告した。バージョン2.0.2以前のすべてのバージョンが影響を受け、攻撃者によるWebシェルのアップロードを許可する可能性がある。CVSSスコア10.0の最も深刻なレベルとされ、早急な対応が必要である。

【CVE-2024-50523】WordPress All Post Contact Form 1.7.3に致命的な脆弱性、Webシェルアップロードによる重大な影響の恐れ

【CVE-2024-50523】WordPress All Post Contact Form...

RainbowLink社のWordPressプラグインAll Post Contact Form 1.7.3以前のバージョンに、危険なファイルタイプのアップロードを制限できない重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルと評価され、Webシェルのアップロードによってサーバーが危険にさらされる可能性がある。特権やユーザー操作を必要としない点から、早急な対策が求められている。

【CVE-2024-50523】WordPress All Post Contact Form...

RainbowLink社のWordPressプラグインAll Post Contact Form 1.7.3以前のバージョンに、危険なファイルタイプのアップロードを制限できない重大な脆弱性が発見された。CVSSスコア10.0のCriticalレベルと評価され、Webシェルのアップロードによってサーバーが危険にさらされる可能性がある。特権やユーザー操作を必要としない点から、早急な対策が求められている。

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アップロード機能での入力値検証に課題

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アッ...

オープンソースCMSのInstantCMSにおいて、フォトアルバムページの写真アップロード機能にXSS脆弱性が発見された。CVE-2024-50348として識別されるこの脆弱性は、CVSS 3.1で5.4のミディアムスコアを記録。バージョン2.16.3未満が影響を受け、入力値の検証が不十分なことで攻撃者によるXSSペイロードの実行が可能な状態となっていた。開発チームは2024年10月29日に修正版をリリースし、対策を完了した。

【CVE-2024-50348】InstantCMS 2.16.3未満にXSS脆弱性、写真アッ...

オープンソースCMSのInstantCMSにおいて、フォトアルバムページの写真アップロード機能にXSS脆弱性が発見された。CVE-2024-50348として識別されるこの脆弱性は、CVSS 3.1で5.4のミディアムスコアを記録。バージョン2.16.3未満が影響を受け、入力値の検証が不十分なことで攻撃者によるXSSペイロードの実行が可能な状態となっていた。開発チームは2024年10月29日に修正版をリリースし、対策を完了した。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、ファイルシステムへの不正アクセスが可能に

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1(High)と評価されており、早急な対応が推奨される。

【CVE-2024-49760】OpenRefine 3.8.3未満にパストラバーサル脆弱性、...

GitHubは2024年10月24日、データクリーニングツールOpenRefineのバージョン3.8.3未満にパストラバーサル脆弱性が存在することを公開した。CVE-2024-49760として識別されるこの脆弱性は、load-language commandのlangパラメータを悪用することで、意図しないJSONファイルの読み取りが可能になる問題である。深刻度はCVSS v3.1で7.1(High)と評価されており、早急な対応が推奨される。

【CVE-2024-49750】Snowflake Connector for Python 3.12.3未満で機密情報がログに漏洩する脆弱性を修正

【CVE-2024-49750】Snowflake Connector for Python ...

Snowflake Connector for Pythonにおいて、バージョン3.12.3未満でDuoパスコードやAzure SASトークンなどの機密情報がログに漏洩する脆弱性が発見された。SecretDetectorログフォーマッターの不具合によりJWTトークンと特定の秘密鍵フォーマットの保護が不完全となっており、CVSS v3.1で5.5(MEDIUM)と評価されている。

【CVE-2024-49750】Snowflake Connector for Python ...

Snowflake Connector for Pythonにおいて、バージョン3.12.3未満でDuoパスコードやAzure SASトークンなどの機密情報がログに漏洩する脆弱性が発見された。SecretDetectorログフォーマッターの不具合によりJWTトークンと特定の秘密鍵フォーマットの保護が不完全となっており、CVSS v3.1で5.5(MEDIUM)と評価されている。

【CVE-2024-10807】PHPGurukul Hospital Management System 4.0でXSS脆弱性が発見、医療情報システムのセキュリティに警鐘

【CVE-2024-10807】PHPGurukul Hospital Management ...

PHPGurukul社のHospital Management System 4.0にCross Site Scriptingの脆弱性が発見された。search.phpファイル内のsearchdataパラメータに存在する脆弱性は、リモートからの攻撃が可能で、CVSSスコア5.1を記録。既に攻撃コードが公開されており、医療情報システムのセキュリティ対策の重要性が改めて浮き彫りとなっている。

【CVE-2024-10807】PHPGurukul Hospital Management ...

PHPGurukul社のHospital Management System 4.0にCross Site Scriptingの脆弱性が発見された。search.phpファイル内のsearchdataパラメータに存在する脆弱性は、リモートからの攻撃が可能で、CVSSスコア5.1を記録。既に攻撃コードが公開されており、医療情報システムのセキュリティ対策の重要性が改めて浮き彫りとなっている。

【CVE-2024-10806】PHPGurukul Hospital Management System 4.0にXSS脆弱性が発見、医療データのセキュリティに懸念

【CVE-2024-10806】PHPGurukul Hospital Management ...

PHPGurukul Hospital Management System 4.0のbetweendates-detailsreports.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、fromdateとtodateパラメータの不適切な処理に起因し、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、医療機関のデータセキュリティに対する早急な対応が必要となっている。

【CVE-2024-10806】PHPGurukul Hospital Management ...

PHPGurukul Hospital Management System 4.0のbetweendates-detailsreports.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のこの脆弱性は、fromdateとtodateパラメータの不適切な処理に起因し、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、医療機関のデータセキュリティに対する早急な対応が必要となっている。

HOT TOPICS