Tech Insights

【CVE-2024-10600】Tongda OA 2017にSQLインジェクションの脆弱性、...

2024年11月7日

Tongda OA 2017のpda/appcenter/submenu.phpファイルにおいて、appid引数に関連するSQLインジェクションの脆弱性が発見された。この脆弱性は認証不要でリモートから攻撃可能であり、CVSSスコアは7.3と評価されている。影響を受けるバージョンは11.0から11.6までで、既に攻撃コードが公開されており早急な対応が必要とされている。

【CVE-2024-10600】Tongda OA 2017にSQLインジェクションの脆弱性、...

2024年11月7日

Tongda OA 2017のpda/appcenter/submenu.phpファイルにおいて、appid引数に関連するSQLインジェクションの脆弱性が発見された。この脆弱性は認証不要でリモートから攻撃可能であり、CVSSスコアは7.3と評価されている。影響を受けるバージョンは11.0から11.6までで、既に攻撃コードが公開されており早急な対応が必要とされている。

【CVE-2024-10598】Tongda OA 11.2-11.6に認証バイパスの脆弱性、...

2024年11月7日

Tongda OA 11.2から11.6において、年次休暇機能の認証処理に重大な脆弱性が発見された。general/hr/setting/attendance/leave/data.phpファイルの認証処理が不適切であり、リモートからの攻撃が可能。CVSSスコアは6.9で中程度の深刻度とされ、認証バイパスによる情報漏洩や改ざんのリスクが存在する。既に公開されており、早急な対応が必要だ。

【CVE-2024-10598】Tongda OA 11.2-11.6に認証バイパスの脆弱性、...

2024年11月7日

Tongda OA 11.2から11.6において、年次休暇機能の認証処理に重大な脆弱性が発見された。general/hr/setting/attendance/leave/data.phpファイルの認証処理が不適切であり、リモートからの攻撃が可能。CVSSスコアは6.9で中程度の深刻度とされ、認証バイパスによる情報漏洩や改ざんのリスクが存在する。既に公開されており、早急な対応が必要だ。

【CVE-2024-10596】ESAFENET CDG 5にSQL injection脆弱性...

2024年11月7日

ESAFENET CDG 5のEncryptPolicyTypeService.javaファイルにSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10596】として識別され、delEntryptPolicySort関数内でidパラメータを適切に検証せずにSQL文を実行することで攻撃が可能となる。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2024-10596】ESAFENET CDG 5にSQL injection脆弱性...

2024年11月7日

ESAFENET CDG 5のEncryptPolicyTypeService.javaファイルにSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10596】として識別され、delEntryptPolicySort関数内でidパラメータを適切に検証せずにSQL文を実行することで攻撃が可能となる。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2024-10594】ESAFENET CDG 5にSQLインジェクションの脆弱性、...

2024年11月7日

ESAFENET CDG 5において重大なセキュリティ脆弱性が発見された。FileDirectoryService.javaのdocHistory機能でSQLインジェクション攻撃が可能となる問題が判明し、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に脆弱性情報が公開されているにも関わらず、ベンダーからの対応が得られていない状況だ。

【CVE-2024-10594】ESAFENET CDG 5にSQLインジェクションの脆弱性、...

2024年11月7日

ESAFENET CDG 5において重大なセキュリティ脆弱性が発見された。FileDirectoryService.javaのdocHistory機能でSQLインジェクション攻撃が可能となる問題が判明し、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に脆弱性情報が公開されているにも関わらず、ベンダーからの対応が得られていない状況だ。

【CVE-2024-10561】Codezips Pet Shop Management Sy...

2024年11月7日

CodezipsのPet Shop Management System 1.0において、birdsupdate.phpファイルのid引数にSQL injection脆弱性が発見された。CVE-2024-10561として報告されたこの脆弱性は、CVSS 4.0でMedium（6.9）、CVSS 3.1とCVSS 3.0でHIGH（7.3）と評価されており、リモートからの攻撃が可能で認証も不要なため、早急な対応が必要となっている。既に攻撃コードも公開されており、システム管理者は直ちにセキュリティアップデートの適用を検討すべき状況だ。

【CVE-2024-10561】Codezips Pet Shop Management Sy...

2024年11月7日

CodezipsのPet Shop Management System 1.0において、birdsupdate.phpファイルのid引数にSQL injection脆弱性が発見された。CVE-2024-10561として報告されたこの脆弱性は、CVSS 4.0でMedium（6.9）、CVSS 3.1とCVSS 3.0でHIGH（7.3）と評価されており、リモートからの攻撃が可能で認証も不要なため、早急な対応が必要となっている。既に攻撃コードも公開されており、システム管理者は直ちにセキュリティアップデートの適用を検討すべき状況だ。

【CVE-2024-10509】Codezips Online Institute Manag...

2024年11月7日

Codezips Online Institute Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10509として登録されたこの脆弱性は、emailパラメータを操作することで攻撃が可能となり、CVSSスコアは3.1で7.3（High）と評価されている。認証不要でリモートからの攻撃が可能なため、教育機関の個人情報漏洩リスクが高まっている状況だ。

【CVE-2024-10509】Codezips Online Institute Manag...

2024年11月7日

Codezips Online Institute Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-10509として登録されたこの脆弱性は、emailパラメータを操作することで攻撃が可能となり、CVSSスコアは3.1で7.3（High）と評価されている。認証不要でリモートからの攻撃が可能なため、教育機関の個人情報漏洩リスクが高まっている状況だ。

【CVE-2024-10507】Free Exam Hall Seating Manageme...

2024年11月7日

Codezips社のFree Exam Hall Seating Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。emailパラメータを介した攻撃が可能で、CVSSスコアは最大7.3（HIGH）と評価されている。リモートからの攻撃実行が可能で認証も不要なため、教育機関のデータセキュリティに重大な影響を及ぼす可能性がある。脆弱性情報は既に公開されており、早急な対策が求められる状況だ。

【CVE-2024-10507】Free Exam Hall Seating Manageme...

2024年11月7日

Codezips社のFree Exam Hall Seating Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。emailパラメータを介した攻撃が可能で、CVSSスコアは最大7.3（HIGH）と評価されている。リモートからの攻撃実行が可能で認証も不要なため、教育機関のデータセキュリティに重大な影響を及ぼす可能性がある。脆弱性情報は既に公開されており、早急な対策が求められる状況だ。

【CVE-2024-10506】code-projects Blood Bank System...

2024年11月7日

code-projects Blood Bank System 1.0のB-.phpファイルにおいて、Bloodname引数を悪用したSQLインジェクションの脆弱性が発見された。CVE-2024-10506として識別されるこの脆弱性は、遠隔から攻撃可能でCVSSスコアは中程度と評価されている。既に公開されており早急な対応が必要だ。医療データの漏洩リスクが懸念される。

【CVE-2024-10506】code-projects Blood Bank System...

2024年11月7日

code-projects Blood Bank System 1.0のB-.phpファイルにおいて、Bloodname引数を悪用したSQLインジェクションの脆弱性が発見された。CVE-2024-10506として識別されるこの脆弱性は、遠隔から攻撃可能でCVSSスコアは中程度と評価されている。既に公開されており早急な対応が必要だ。医療データの漏洩リスクが懸念される。

【CVE-2024-10469】VINCE 3.0.9未満のバージョンに認証済みユーザー情報ア...

2024年11月7日

CERT/CCはVINCE 3.0.9未満のバージョンにおいて、認証済みユーザーがUser Management画面に不正アクセス可能な脆弱性を発見した。この問題はCWE-276に分類される権限設定の不備であり、ユーザー情報の漏洩リスクが指摘されている。CERT/CCは修正プログラムを提供しており、影響を受けるバージョンのユーザーに対して速やかな更新を推奨している。

【CVE-2024-10469】VINCE 3.0.9未満のバージョンに認証済みユーザー情報ア...

2024年11月7日

CERT/CCはVINCE 3.0.9未満のバージョンにおいて、認証済みユーザーがUser Management画面に不正アクセス可能な脆弱性を発見した。この問題はCWE-276に分類される権限設定の不備であり、ユーザー情報の漏洩リスクが指摘されている。CERT/CCは修正プログラムを提供しており、影響を受けるバージョンのユーザーに対して速やかな更新を推奨している。

【CVE-2024-10467】Firefox製品群にメモリ安全性の脆弱性、任意のコード実行の...

2024年11月7日

MozillaはFirefox 131、Firefox ESR 128.3、およびThunderbird 128.3に存在するメモリ安全性の脆弱性を公開した。CVSSスコア9.8のCriticalな脆弱性であり、攻撃者による任意のコード実行の可能性がある。Firefox 132、Firefox ESR 128.4、Thunderbird 128.4/132へのアップデートで修正され、即座の適用が推奨される。CISAは自動化された攻撃の可能性を指摘している。

【CVE-2024-10467】Firefox製品群にメモリ安全性の脆弱性、任意のコード実行の...

2024年11月7日

MozillaはFirefox 131、Firefox ESR 128.3、およびThunderbird 128.3に存在するメモリ安全性の脆弱性を公開した。CVSSスコア9.8のCriticalな脆弱性であり、攻撃者による任意のコード実行の可能性がある。Firefox 132、Firefox ESR 128.4、Thunderbird 128.4/132へのアップデートで修正され、即座の適用が推奨される。CISAは自動化された攻撃の可能性を指摘している。

【CVE-2024-10466】MozillaがFirefoxなどの重大な脆弱性を修正、プッシ...

2024年11月7日

Mozillaは2024年10月29日、Firefox、Firefox ESR、Thunderbirdに影響を与える重大な脆弱性【CVE-2024-10466】を公開した。特別に細工されたプッシュメッセージにより親プロセスがハングアップし、ブラウザが応答不能になる可能性がある。CVSS v3.1で7.5（High）と評価されており、早急なアップデートが推奨される。

【CVE-2024-10466】MozillaがFirefoxなどの重大な脆弱性を修正、プッシ...

2024年11月7日

Mozillaは2024年10月29日、Firefox、Firefox ESR、Thunderbirdに影響を与える重大な脆弱性【CVE-2024-10466】を公開した。特別に細工されたプッシュメッセージにより親プロセスがハングアップし、ブラウザが応答不能になる可能性がある。CVSS v3.1で7.5（High）と評価されており、早急なアップデートが推奨される。

【CVE-2024-10465】MozillaがFirefox 132とFirefox ESR...

2024年11月7日

MozillaはFirefox 132未満とFirefox ESR 128.4未満のバージョンにおいて、クリップボードのペーストボタンがタブ間で残存することによるなりすまし攻撃の可能性がある脆弱性を修正した。この脆弱性はCVSS3.1のスコアが7.5と評価され、特権が不要な状態で攻撃が可能とされている。Punggawa Cybersecurityの研究者によって発見されたこの問題は、すべてのユーザーに対して最新バージョンへのアップデートが推奨されている。

【CVE-2024-10465】MozillaがFirefox 132とFirefox ESR...

2024年11月7日

MozillaはFirefox 132未満とFirefox ESR 128.4未満のバージョンにおいて、クリップボードのペーストボタンがタブ間で残存することによるなりすまし攻撃の可能性がある脆弱性を修正した。この脆弱性はCVSS3.1のスコアが7.5と評価され、特権が不要な状態で攻撃が可能とされている。Punggawa Cybersecurityの研究者によって発見されたこの問題は、すべてのユーザーに対して最新バージョンへのアップデートが推奨されている。

【CVE-2024-10463】MozillaがFirefoxなどの製品で発見された動画フレー...

2024年11月7日

Mozillaは2024年10月29日、Firefox、Firefox ESR、Thunderbirdの複数バージョンに影響を与える重大な脆弱性【CVE-2024-10463】を公開した。この脆弱性は特定の状況下でオリジン間での動画フレーム漏洩を引き起こす可能性があり、CVSS評価で7.5（High）という高い深刻度が付与されている。CWE-203に分類されるこの問題に対し、Mozillaは迅速な対応を行い修正版をリリースした。

【CVE-2024-10463】MozillaがFirefoxなどの製品で発見された動画フレー...

2024年11月7日

Mozillaは2024年10月29日、Firefox、Firefox ESR、Thunderbirdの複数バージョンに影響を与える重大な脆弱性【CVE-2024-10463】を公開した。この脆弱性は特定の状況下でオリジン間での動画フレーム漏洩を引き起こす可能性があり、CVSS評価で7.5（High）という高い深刻度が付与されている。CWE-203に分類されるこの問題に対し、Mozillaは迅速な対応を行い修正版をリリースした。

【CVE-2024-10462】Firefox 132以前のURL表示に脆弱性、権限プロンプト...

2024年11月7日

Mozillaは2024年10月29日、Firefox 132未満、Firefox ESR 128.4未満、およびThunderbird 128.4未満と132未満のバージョンに影響を与える重大な脆弱性を公開した。長いURLの切り詰め表示を悪用した権限プロンプトの偽装が可能となる脆弱性で、CVSSスコア7.5（High）と評価される。攻撃の複雑さは低く、特権は不要とされており、早急な修正パッチの適用が推奨されている。

【CVE-2024-10462】Firefox 132以前のURL表示に脆弱性、権限プロンプト...

2024年11月7日

Mozillaは2024年10月29日、Firefox 132未満、Firefox ESR 128.4未満、およびThunderbird 128.4未満と132未満のバージョンに影響を与える重大な脆弱性を公開した。長いURLの切り詰め表示を悪用した権限プロンプトの偽装が可能となる脆弱性で、CVSSスコア7.5（High）と評価される。攻撃の複雑さは低く、特権は不要とされており、早急な修正パッチの適用が推奨されている。

【CVE-2024-10461】MozillaがFirefoxとThunderbirdのXSS...

2024年11月7日

MozillaはFirefox、Firefox ESR、Thunderbirdに存在する重要な脆弱性【CVE-2024-10461】への対応版をリリースした。multipart/x-mixed-replaceレスポンスにおいて、Content-Dispositionヘッダーの処理に問題があり、XSS攻撃に対して脆弱な状態であることが判明。Firefox 132未満、Firefox ESR 128.4未満、Thunderbird 128.4未満、Thunderbird 132未満のバージョンが影響を受ける。

【CVE-2024-10461】MozillaがFirefoxとThunderbirdのXSS...

2024年11月7日

MozillaはFirefox、Firefox ESR、Thunderbirdに存在する重要な脆弱性【CVE-2024-10461】への対応版をリリースした。multipart/x-mixed-replaceレスポンスにおいて、Content-Dispositionヘッダーの処理に問題があり、XSS攻撃に対して脆弱な状態であることが判明。Firefox 132未満、Firefox ESR 128.4未満、Thunderbird 128.4未満、Thunderbird 132未満のバージョンが影響を受ける。

【CVE-2024-10434】Tenda AC1206にstack-based buffer...

2024年11月7日

Tenda AC1206の/goform/ateファイルにおいて、ate_Tenda_mfg_check_usb関数に重大な脆弱性が発見された。CVSSスコア8.7を記録するこの脆弱性は、リモートからの攻撃が可能でスタックベースのバッファオーバーフローを引き起こす可能性がある。既にエクスプロイトコードが公開されており、早急なセキュリティ対策が必要とされている。

【CVE-2024-10434】Tenda AC1206にstack-based buffer...

2024年11月7日

Tenda AC1206の/goform/ateファイルにおいて、ate_Tenda_mfg_check_usb関数に重大な脆弱性が発見された。CVSSスコア8.7を記録するこの脆弱性は、リモートからの攻撃が可能でスタックベースのバッファオーバーフローを引き起こす可能性がある。既にエクスプロイトコードが公開されており、早急なセキュリティ対策が必要とされている。

【CVE-2024-10310】Element Pack Elementor Addonsにク...

2024年11月7日

WordPressプラグインのElement Pack Elementor Addonsにおいて、バージョン5.10.1以前に深刻な脆弱性が発見された。Custom GalleryウィジェットのImage_titleパラメータで入力値の無害化処理と出力エスケープが不十分であり、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4（Medium）で、機密性と完全性に低レベルの影響が想定される。

【CVE-2024-10310】Element Pack Elementor Addonsにク...

2024年11月7日

WordPressプラグインのElement Pack Elementor Addonsにおいて、バージョン5.10.1以前に深刻な脆弱性が発見された。Custom GalleryウィジェットのImage_titleパラメータで入力値の無害化処理と出力エスケープが不十分であり、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4（Medium）で、機密性と完全性に低レベルの影響が想定される。

【CVE-2024-10214】Mattermostデスクトップアプリでセッション認証の脆弱性...

2024年11月7日

Mattermost社が2024年10月28日、デスクトップアプリケーションにおけるセッション認証の脆弱性を公開した。CVE-2024-10214として識別されるこの問題は、デスクトップSSOを使用した際にブラウザとデスクトップアプリで不正な設定の2つのセッションが発行される。影響を受けるバージョンは9.11.0-9.11.1および9.5.0-9.5.9で、最新バージョンで修正済み。

【CVE-2024-10214】Mattermostデスクトップアプリでセッション認証の脆弱性...

2024年11月7日

Mattermost社が2024年10月28日、デスクトップアプリケーションにおけるセッション認証の脆弱性を公開した。CVE-2024-10214として識別されるこの問題は、デスクトップSSOを使用した際にブラウザとデスクトップアプリで不正な設定の2つのセッションが発行される。影響を受けるバージョンは9.11.0-9.11.1および9.5.0-9.5.9で、最新バージョンで修正済み。

LINEヤフーと朝日新聞社が提供する「ニュース健診2024」の参加者数が100万人を突破

2024年11月6日

LINEヤフーと朝日新聞社が共同開発した情報判断力向上コンテンツ「ニュース健診2024」が開始2週間で100万人を突破。全体の51%がフェイクニュース体験者という結果に。世代別分析では10代が最も高く27.8%、発信する力の正答率が86%と最高。AI偽画像の識別正答率40%という課題も浮き彫りに。

LINEヤフーと朝日新聞社が提供する「ニュース健診2024」の参加者数が100万人を突破

2024年11月6日

LINEヤフーと朝日新聞社が共同開発した情報判断力向上コンテンツ「ニュース健診2024」が開始2週間で100万人を突破。全体の51%がフェイクニュース体験者という結果に。世代別分析では10代が最も高く27.8%、発信する力の正答率が86%と最高。AI偽画像の識別正答率40%という課題も浮き彫りに。

きびだんごがTetra Keyboardのクラウドファンディングを開始、8型モニター搭載の左右...

2024年11月6日

きびだんご株式会社がMobile Pixels社の8型モニター搭載左右分離キーボード「Tetra Keyboard」のクラウドファンディングを開始した。目標金額50万円達成で日本正規販売が決定し、支援金額は53,500円から。左右分離型のキーボードにタッチ操作対応の8型IPS液晶を搭載し、Bluetooth接続で最大3台のデバイスと接続可能。2025年2月の配送を予定している。

きびだんごがTetra Keyboardのクラウドファンディングを開始、8型モニター搭載の左右...

2024年11月6日

きびだんご株式会社がMobile Pixels社の8型モニター搭載左右分離キーボード「Tetra Keyboard」のクラウドファンディングを開始した。目標金額50万円達成で日本正規販売が決定し、支援金額は53,500円から。左右分離型のキーボードにタッチ操作対応の8型IPS液晶を搭載し、Bluetooth接続で最大3台のデバイスと接続可能。2025年2月の配送を予定している。

玄人志向がM.2スロット用SATA変換カードSATA3-I5-M.2を発売、5ポートのSATA...

2024年11月6日

玄人志向は2024年11月8日、M.2スロットにSATA 6Gbpsポートを5基増設できるインターフェイスカード「SATA3-I5-M.2」を発売する。JMicron JMB585チップを搭載し、PCI Express Gen3 x2接続で高速データ転送を実現。UEFI/BIOSブートにも対応しており、OSドライブのブートも可能。実売予想価格は5,280円前後となっている。

玄人志向がM.2スロット用SATA変換カードSATA3-I5-M.2を発売、5ポートのSATA...

2024年11月6日

玄人志向は2024年11月8日、M.2スロットにSATA 6Gbpsポートを5基増設できるインターフェイスカード「SATA3-I5-M.2」を発売する。JMicron JMB585チップを搭載し、PCI Express Gen3 x2接続で高速データ転送を実現。UEFI/BIOSブートにも対応しており、OSドライブのブートも可能。実売予想価格は5,280円前後となっている。

東京エレクトロンデバイスがValenceのSSPMソリューションを国内初販売、SaaS環境の...

2024年11月6日

東京エレクトロンデバイスは2024年11月1日、米Valence Securityと販売代理店契約を締結しSSPMソリューションの販売を開始した。67種類のSaaSアプリケーションに対応し、Microsoft 365の仕様変更にも迅速な対応が可能。セキュリティリスクの自動修正機能やダッシュボードによる一元監視により、SaaS環境のセキュリティ管理を効率化する。

東京エレクトロンデバイスがValenceのSSPMソリューションを国内初販売、SaaS環境の...

2024年11月6日

東京エレクトロンデバイスは2024年11月1日、米Valence Securityと販売代理店契約を締結しSSPMソリューションの販売を開始した。67種類のSaaSアプリケーションに対応し、Microsoft 365の仕様変更にも迅速な対応が可能。セキュリティリスクの自動修正機能やダッシュボードによる一元監視により、SaaS環境のセキュリティ管理を効率化する。

ラネクシーがデバイス制御ソフトRunDX 2.0を発表、大規模環境でのセキュリティ管理機能を強化

2024年11月6日

株式会社ラネクシーは2024年11月1日より、デバイス制御ソフトウェア「RunDX」の最新版「RunDX 2.0」の販売を開始する。新たに追加された管理サーバー「RunDX ManagementServer」により、大規模環境でのポリシー一括配信やログの一元管理が可能になり、システム担当者の運用負担を軽減。導入規模を問わず、さまざまな環境での利用に対応する。

ラネクシーがデバイス制御ソフトRunDX 2.0を発表、大規模環境でのセキュリティ管理機能を強化

2024年11月6日

株式会社ラネクシーは2024年11月1日より、デバイス制御ソフトウェア「RunDX」の最新版「RunDX 2.0」の販売を開始する。新たに追加された管理サーバー「RunDX ManagementServer」により、大規模環境でのポリシー一括配信やログの一元管理が可能になり、システム担当者の運用負担を軽減。導入規模を問わず、さまざまな環境での利用に対応する。

ASUSがCore Ultra搭載のミニPC ExpertCenter PN65を発表、最大9...

2024年11月6日

ASUSは最新のインテルCore Ultraプロセッサを搭載したビジネス向けミニPC「ExpertCenter PN65」シリーズを発表した。サイズは120×130×58mmとコンパクトながら最大96GBメモリに対応し、下位モデルのPN65-S5047ADは9万9,000円、上位モデルのPN65-S7051ADは12万3,200円で提供される。USB Type-CやHDMI 2.1などの豊富なインターフェイスも特徴だ。

ASUSがCore Ultra搭載のミニPC ExpertCenter PN65を発表、最大9...

2024年11月6日

ASUSは最新のインテルCore Ultraプロセッサを搭載したビジネス向けミニPC「ExpertCenter PN65」シリーズを発表した。サイズは120×130×58mmとコンパクトながら最大96GBメモリに対応し、下位モデルのPN65-S5047ADは9万9,000円、上位モデルのPN65-S7051ADは12万3,200円で提供される。USB Type-CやHDMI 2.1などの豊富なインターフェイスも特徴だ。

【CVE-2024-10730】Tongda OA 11.6にSQLインジェクション脆弱性、リ...

2024年11月6日

Tongda OAのバージョン11.6以下において、/pda/appcenter/web_show.phpファイルに関連するSQLインジェクション脆弱性が発見された。CVE-2024-10730として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃条件の複雑さも低いとされている。CVSS 4.0で5.3、CVSS 3.1および3.0で6.3と評価されており、早急な対応が必要となっている。

【CVE-2024-10730】Tongda OA 11.6にSQLインジェクション脆弱性、リ...

2024年11月6日

Tongda OAのバージョン11.6以下において、/pda/appcenter/web_show.phpファイルに関連するSQLインジェクション脆弱性が発見された。CVE-2024-10730として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃条件の複雑さも低いとされている。CVSS 4.0で5.3、CVSS 3.1および3.0で6.3と評価されており、早急な対応が必要となっている。

【CVE-2024-10731】Tongda OA 11.10にSQLインジェクションの脆弱性...

2024年11月6日

Tongda OAのバージョン11.10以下に深刻な脆弱性が発見された。/pda/appcenter/check_seal.phpファイル内の不明な機能にSQLインジェクションの脆弱性が存在し、IDパラメータの操作により攻撃が可能となる。CVSS 3.1で6.3（中程度）と評価されており、ネットワークを介した攻撃が可能で、攻撃条件の複雑さは低いとされている。

【CVE-2024-10731】Tongda OA 11.10にSQLインジェクションの脆弱性...

2024年11月6日

Tongda OAのバージョン11.10以下に深刻な脆弱性が発見された。/pda/appcenter/check_seal.phpファイル内の不明な機能にSQLインジェクションの脆弱性が存在し、IDパラメータの操作により攻撃が可能となる。CVSS 3.1で6.3（中程度）と評価されており、ネットワークを介した攻撃が可能で、攻撃条件の複雑さは低いとされている。

【CVE-2024-9896】BBP Core 1.2.5以前のバージョンにクロスサイトスクリ...

2024年11月6日

WordPressのBBP Coreプラグインにおいて、バージョン1.2.5以前に重大なクロスサイトスクリプティング脆弱性が発見された。add_query_argパラメータの不適切なエスケープ処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1（MEDIUM）と評価され、攻撃には何らかのユーザー操作が必要とされる。情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2024-9896】BBP Core 1.2.5以前のバージョンにクロスサイトスクリ...

2024年11月6日

WordPressのBBP Coreプラグインにおいて、バージョン1.2.5以前に重大なクロスサイトスクリプティング脆弱性が発見された。add_query_argパラメータの不適切なエスケープ処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1（MEDIUM）と評価され、攻撃には何らかのユーザー操作が必要とされる。情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2024-51774】qBittorrent 5.0.1未満に証明書検証エラーの脆弱...

2024年11月6日

qBittorrentの5.0.1より前のバージョンで、HTTPSの証明書検証エラーが発生した後もURLの使用を継続してしまう重大な脆弱性が発見された。この問題は【CVE-2024-51774】として識別され、中間者攻撃などのセキュリティリスクを引き起こす可能性が指摘されている。開発チームは5.0.1で修正を実施し、HTTPSの安全性が向上。早急なアップデートが推奨される。

【CVE-2024-51774】qBittorrent 5.0.1未満に証明書検証エラーの脆弱...

2024年11月6日

qBittorrentの5.0.1より前のバージョンで、HTTPSの証明書検証エラーが発生した後もURLの使用を継続してしまう重大な脆弱性が発見された。この問題は【CVE-2024-51774】として識別され、中間者攻撃などのセキュリティリスクを引き起こす可能性が指摘されている。開発チームは5.0.1で修正を実施し、HTTPSの安全性が向上。早急なアップデートが推奨される。

【CVE-2024-10697】Tenda AC6 15.03.05.19にコマンドインジェク...

2024年11月6日

Tenda AC6 15.03.05.19のAPI EndpointにおけるWriteFacMac機能で深刻な脆弱性が発見された。CVE-2024-10697として識別されるこの脆弱性は、コマンドインジェクション攻撃を可能にする重大な問題として報告されている。CVSSスコアは5.3から6.5の範囲で評価され、リモートからの攻撃が可能であることから、早急な対策が求められている。

【CVE-2024-10697】Tenda AC6 15.03.05.19にコマンドインジェク...

2024年11月6日

Tenda AC6 15.03.05.19のAPI EndpointにおけるWriteFacMac機能で深刻な脆弱性が発見された。CVE-2024-10697として識別されるこの脆弱性は、コマンドインジェクション攻撃を可能にする重大な問題として報告されている。CVSSスコアは5.3から6.5の範囲で評価され、リモートからの攻撃が可能であることから、早急な対策が求められている。

【CVE-2024-10540】BookingPress 1.1.16にSQLインジェクション...

2024年11月6日

WordPressプラグインのBookingPress 1.1.16以前のバージョンにおいて、SQLインジェクションの脆弱性が発見された。bookingpress_formショートコードのserviceパラメータにおける不十分なエスケープ処理により、Subscriber以上の権限を持つユーザーがデータベースから機密情報を抽出できる状態にある。CVSSスコアは5.3（MEDIUM）と評価され、早急なアップデートが推奨されている。

【CVE-2024-10540】BookingPress 1.1.16にSQLインジェクション...

2024年11月6日

WordPressプラグインのBookingPress 1.1.16以前のバージョンにおいて、SQLインジェクションの脆弱性が発見された。bookingpress_formショートコードのserviceパラメータにおける不十分なエスケープ処理により、Subscriber以上の権限を持つユーザーがデータベースから機密情報を抽出できる状態にある。CVSSスコアは5.3（MEDIUM）と評価され、早急なアップデートが推奨されている。