Tech Insights

【CVE-2024-10657】Tongda OA 11.10までのバージョンでSQLインジェ...

2024年11月6日

Tongda OAの11.10以前のバージョンにおいて、重大なSQLインジェクションの脆弱性が発見された。prcs_info.phpファイル内のRUN_ID引数の不適切な処理により、リモートからの攻撃が可能となっている。CVSSスコアは中程度と評価されているが、既に攻撃コードが公開されており、早急な対応が必要となっている。影響を受けるバージョンはTongda OA 11.0から11.10までのすべてのバージョンだ。

【CVE-2024-10657】Tongda OA 11.10までのバージョンでSQLインジェ...

2024年11月6日

Tongda OAの11.10以前のバージョンにおいて、重大なSQLインジェクションの脆弱性が発見された。prcs_info.phpファイル内のRUN_ID引数の不適切な処理により、リモートからの攻撃が可能となっている。CVSSスコアは中程度と評価されているが、既に攻撃コードが公開されており、早急な対応が必要となっている。影響を受けるバージョンはTongda OA 11.0から11.10までのすべてのバージョンだ。

【CVE-2024-10602】Tongda OA 2017にSQLインジェクションの脆弱性、...

2024年11月6日

Tongda OA 2017のバージョン11.0から11.9において、data_picker_link.phpファイル内のdataSrc引数を操作することでSQLインジェクションが可能になる重大な脆弱性が発見された。CVSSスコアは中程度と評価されているが、攻撃コードが既に公開されており、早急な対応が必要とされている。リモートからの攻撃が可能で、認証された状態での実行により、機密性・整合性・可用性に影響を及ぼす可能性がある。

【CVE-2024-10602】Tongda OA 2017にSQLインジェクションの脆弱性、...

2024年11月6日

Tongda OA 2017のバージョン11.0から11.9において、data_picker_link.phpファイル内のdataSrc引数を操作することでSQLインジェクションが可能になる重大な脆弱性が発見された。CVSSスコアは中程度と評価されているが、攻撃コードが既に公開されており、早急な対応が必要とされている。リモートからの攻撃が可能で、認証された状態での実行により、機密性・整合性・可用性に影響を及ぼす可能性がある。

【CVE-2024-10656】Tongda OA 2017にSQL injection脆弱性...

2024年11月6日

Tongda OA 2017の/pda/meeting/apply.phpファイルにおいて、mr_idパラメータのSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10656】として識別され、バージョン11.0から11.9まで影響を受ける。CVSSスコアはv4.0で5.3（Medium）、攻撃コードが既に公開されており、早急な対応が必要とされている。

【CVE-2024-10656】Tongda OA 2017にSQL injection脆弱性...

2024年11月6日

Tongda OA 2017の/pda/meeting/apply.phpファイルにおいて、mr_idパラメータのSQL injection脆弱性が発見された。この脆弱性は【CVE-2024-10656】として識別され、バージョン11.0から11.9まで影響を受ける。CVSSスコアはv4.0で5.3（Medium）、攻撃コードが既に公開されており、早急な対応が必要とされている。

【CVE-2024-22733】TP Link MR200 V4 Firmwareにヌルポイン...

2024年11月6日

TP Link MR200 V4 Firmwareのバージョン210201において、Web管理パネルの/cgi/loginにヌルポインタ参照の脆弱性が発見された。sign、ActionまたはLoginStatusクエリパラメータを介したサービス拒否攻撃が可能となっており、未認証の攻撃者によってローカルまたはリモートから攻撃可能であることが判明。早急なセキュリティパッチの適用が推奨されている。

【CVE-2024-22733】TP Link MR200 V4 Firmwareにヌルポイン...

2024年11月6日

TP Link MR200 V4 Firmwareのバージョン210201において、Web管理パネルの/cgi/loginにヌルポインタ参照の脆弱性が発見された。sign、ActionまたはLoginStatusクエリパラメータを介したサービス拒否攻撃が可能となっており、未認証の攻撃者によってローカルまたはリモートから攻撃可能であることが判明。早急なセキュリティパッチの適用が推奨されている。

【CVE-2024-10658】Tongda OAにSQLインジェクションの脆弱性、バージョン...

2024年11月6日

Tongda OAのバージョン11.0から11.10において、/pda/approve_center/check_seal.phpファイルに重大な脆弱性が発見された。この脆弱性はSQLインジェクションを可能にし、引数IDの操作により攻撃が実行可能となる。CVSSスコアは中程度と評価されているものの、攻撃手法が既に公開されており、早急な対応が必要とされている。

【CVE-2024-10658】Tongda OAにSQLインジェクションの脆弱性、バージョン...

2024年11月6日

Tongda OAのバージョン11.0から11.10において、/pda/approve_center/check_seal.phpファイルに重大な脆弱性が発見された。この脆弱性はSQLインジェクションを可能にし、引数IDの操作により攻撃が実行可能となる。CVSSスコアは中程度と評価されているものの、攻撃手法が既に公開されており、早急な対応が必要とされている。

【CVE-2024-10595】ESAFENET CDG 5でSQLインジェクションの脆弱性を...

2024年11月6日

ESAFENET CDG 5のPublicDocInfoAjax.javaファイルにおいて、delFile/delDifferCourseList機能にSQLインジェクションの脆弱性が発見された。CVE-2024-10595として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で5.3を記録。特権レベルは必要だが、機密性や完全性への影響が懸念されている。ESAFENETの対応の遅れも問題視されている。

【CVE-2024-10595】ESAFENET CDG 5でSQLインジェクションの脆弱性を...

2024年11月6日

ESAFENET CDG 5のPublicDocInfoAjax.javaファイルにおいて、delFile/delDifferCourseList機能にSQLインジェクションの脆弱性が発見された。CVE-2024-10595として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で5.3を記録。特権レベルは必要だが、機密性や完全性への影響が懸念されている。ESAFENETの対応の遅れも問題視されている。

【CVE-2024-10601】Tongda OA 2017のSQL注入の脆弱性が発見、バージ...

2024年11月6日

Tongda OA 2017のdelete.phpファイルにおいて、SQL注入の脆弱性が発見された。この脆弱性は【CVE-2024-10601】として識別され、バージョン11.10までの全バージョンに影響を与える。where_repeat引数の操作によってSQL注入が可能となり、リモートからの攻撃が可能な状態だ。CVSSスコアはバージョン4.0で5.3（Medium）と評価されており、データベースへの不正アクセスによる情報漏洩や改ざんのリスクが存在している。

【CVE-2024-10601】Tongda OA 2017のSQL注入の脆弱性が発見、バージ...

2024年11月6日

Tongda OA 2017のdelete.phpファイルにおいて、SQL注入の脆弱性が発見された。この脆弱性は【CVE-2024-10601】として識別され、バージョン11.10までの全バージョンに影響を与える。where_repeat引数の操作によってSQL注入が可能となり、リモートからの攻撃が可能な状態だ。CVSSスコアはバージョン4.0で5.3（Medium）と評価されており、データベースへの不正アクセスによる情報漏洩や改ざんのリスクが存在している。

【CVE-2024-10557】Blood Bank Management System 1....

2024年11月6日

code-projectsが開発したBlood Bank Management System 1.0のupdateprofile.phpファイルにおいて、クロスサイトリクエストフォージェリ（CSRF）の脆弱性が発見された。CVSSスコアは最大で6.9（MEDIUM）と評価され、リモートからの攻撃が可能な状態となっている。既に一般に公開されており、早急な対策が求められている。医療情報システムのセキュリティ対策の重要性を再認識させる事例となった。

【CVE-2024-10557】Blood Bank Management System 1....

2024年11月6日

code-projectsが開発したBlood Bank Management System 1.0のupdateprofile.phpファイルにおいて、クロスサイトリクエストフォージェリ（CSRF）の脆弱性が発見された。CVSSスコアは最大で6.9（MEDIUM）と評価され、リモートからの攻撃が可能な状態となっている。既に一般に公開されており、早急な対策が求められている。医療情報システムのセキュリティ対策の重要性を再認識させる事例となった。

【CVE-2024-49663】WordPress用プラグインuCAT – Next Stor...

2024年11月6日

WordPressプラグインuCAT – Next Story 2.0.0以前のバージョンにおいて、リフレクテッドクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSS 3.1で7.1（High）と評価されており、攻撃者は特別な権限を必要とせずにWebページ生成時の入力を不適切に処理する箇所を悪用することが可能。影響範囲は機密性・整合性・可用性の全てに及び、早急な対応が求められる。

【CVE-2024-49663】WordPress用プラグインuCAT – Next Stor...

2024年11月6日

WordPressプラグインuCAT – Next Story 2.0.0以前のバージョンにおいて、リフレクテッドクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSS 3.1で7.1（High）と評価されており、攻撃者は特別な権限を必要とせずにWebページ生成時の入力を不適切に処理する箇所を悪用することが可能。影響範囲は機密性・整合性・可用性の全てに及び、早急な対応が求められる。

【CVE-2024-49651】WooCommerce Maintenance Mode 2....

2024年11月6日

WordPress用プラグインWooCommerce Maintenance Mode 2.0.1以前のバージョンにおいて、Webページ生成時の入力値の処理が不適切であることによるクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSSスコア7.1と深刻度が高く、特別な権限なしで攻撃が可能であるため、早急な対応が推奨される。現時点で悪用事例は確認されていないものの、システムへの影響は部分的と評価されている。

【CVE-2024-49651】WooCommerce Maintenance Mode 2....

2024年11月6日

WordPress用プラグインWooCommerce Maintenance Mode 2.0.1以前のバージョンにおいて、Webページ生成時の入力値の処理が不適切であることによるクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSSスコア7.1と深刻度が高く、特別な権限なしで攻撃が可能であるため、早急な対応が推奨される。現時点で悪用事例は確認されていないものの、システムへの影響は部分的と評価されている。

【CVE-2024-9489】AutoCAD 2025.1でメモリ破損の脆弱性を発見、任意コー...

2024年11月6日

AutodeskはAutoCAD 2025.1において、DWGファイルの解析時にメモリ破損の脆弱性【CVE-2024-9489】を発見した。この脆弱性はCVSS v3.1で7.8のHIGHレベルと評価され、攻撃者が悪意のあるDWGファイルを介してシステムクラッシュや任意コード実行を引き起こす可能性がある。影響範囲は機密性、完全性、可用性のすべてにおいて高く、早急な対応が求められる。

【CVE-2024-9489】AutoCAD 2025.1でメモリ破損の脆弱性を発見、任意コー...

2024年11月6日

AutodeskはAutoCAD 2025.1において、DWGファイルの解析時にメモリ破損の脆弱性【CVE-2024-9489】を発見した。この脆弱性はCVSS v3.1で7.8のHIGHレベルと評価され、攻撃者が悪意のあるDWGファイルを介してシステムクラッシュや任意コード実行を引き起こす可能性がある。影響範囲は機密性、完全性、可用性のすべてにおいて高く、早急な対応が求められる。

【CVE-2024-8896】AutoCAD 2025.1でDXFファイル解析の脆弱性が発見、...

2024年11月6日

Autodeskは2024年10月29日、AutoCAD 2025.1のDXFファイル解析において未初期化変数へのアクセスを可能とする脆弱性を公開した。この脆弱性はCVSS v3.1で7.8（High）と評価され、悪意のあるDXFファイルによってプログラムのクラッシュや任意のコード実行が可能となる。WindowsプラットフォームのAutoCAD 2025.1に影響し、早急な対応が推奨されている。

【CVE-2024-8896】AutoCAD 2025.1でDXFファイル解析の脆弱性が発見、...

2024年11月6日

Autodeskは2024年10月29日、AutoCAD 2025.1のDXFファイル解析において未初期化変数へのアクセスを可能とする脆弱性を公開した。この脆弱性はCVSS v3.1で7.8（High）と評価され、悪意のあるDXFファイルによってプログラムのクラッシュや任意のコード実行が可能となる。WindowsプラットフォームのAutoCAD 2025.1に影響し、早急な対応が推奨されている。

【CVE-2024-8309】Langchain 0.2.5にSQL injection脆弱性...

2024年11月6日

Protect AIはlangchain-ai/langchainのバージョン0.2.5におけるSQLインジェクション脆弱性を発見した。GraphCypherQAChainクラスに存在するこの脆弱性は、プロンプトインジェクションを通じてデータベースの操作や情報漏洩を引き起こす可能性がある。CVSSスコア4.9の中程度の深刻度と評価され、影響を受けるユーザーにはバージョン0.3.0以降への更新が推奨されている。

【CVE-2024-8309】Langchain 0.2.5にSQL injection脆弱性...

2024年11月6日

Protect AIはlangchain-ai/langchainのバージョン0.2.5におけるSQLインジェクション脆弱性を発見した。GraphCypherQAChainクラスに存在するこの脆弱性は、プロンプトインジェクションを通じてデータベースの操作や情報漏洩を引き起こす可能性がある。CVSSスコア4.9の中程度の深刻度と評価され、影響を受けるユーザーにはバージョン0.3.0以降への更新が推奨されている。

【CVE-2024-9826】AutoCAD ACTranslatorsに深刻な脆弱性、3DM...

2024年11月6日

AutodeskのAutoCAD ACTranslatorsにおいて、3DMファイルの解析時にUse-After-Free脆弱性が発見された。CVE-2024-9826として識別されるこの脆弱性は、CVSSスコア7.8の高リスクに分類され、悪意のある攻撃者が細工した3DMファイルを使用することで、プロセス内での任意のコード実行やクラッシュ、機密データの書き込みが可能となる。AutoCAD 2025.1が影響を受けることが確認されている。

【CVE-2024-9826】AutoCAD ACTranslatorsに深刻な脆弱性、3DM...

2024年11月6日

AutodeskのAutoCAD ACTranslatorsにおいて、3DMファイルの解析時にUse-After-Free脆弱性が発見された。CVE-2024-9826として識別されるこの脆弱性は、CVSSスコア7.8の高リスクに分類され、悪意のある攻撃者が細工した3DMファイルを使用することで、プロセス内での任意のコード実行やクラッシュ、機密データの書き込みが可能となる。AutoCAD 2025.1が影響を受けることが確認されている。

【CVE-2024-8599】AutoCAD 2025.1のACTranslatorsにメモリ...

2024年11月6日

Autodeskは2024年10月29日、AutoCAD 2025.1のACTranslators.exeにおいて深刻なメモリ破損の脆弱性が発見されたことを公開した。CVE-2024-8599として識別されるこの脆弱性は、悪意のあるSTPファイルを解析する際に発生し、攻撃者によってシステムのクラッシュやセンシティブデータの書き込み、任意のコード実行などが可能となる。CVSSスコアは7.8と高リスクに分類されている。

【CVE-2024-8599】AutoCAD 2025.1のACTranslatorsにメモリ...

2024年11月6日

Autodeskは2024年10月29日、AutoCAD 2025.1のACTranslators.exeにおいて深刻なメモリ破損の脆弱性が発見されたことを公開した。CVE-2024-8599として識別されるこの脆弱性は、悪意のあるSTPファイルを解析する際に発生し、攻撃者によってシステムのクラッシュやセンシティブデータの書き込み、任意のコード実行などが可能となる。CVSSスコアは7.8と高リスクに分類されている。

【CVE-2024-8595】AutoCAD 2025.1にUse-After-Free脆弱性...

2024年11月6日

Autodeskは2024年10月29日、AutoCAD 2025.1のlibodxdll.dllにおいてUse-After-Free脆弱性（CVE-2024-8595）を発見したことを公開した。悪意のあるMODELファイルによってシステムクラッシュや任意コード実行が可能となる深刻な脆弱性で、CVSSスコアは7.8（HIGH）と評価されている。Windows環境のAutoCAD 2025.1が影響を受けるため、早急な対応が必要だ。

【CVE-2024-8595】AutoCAD 2025.1にUse-After-Free脆弱性...

2024年11月6日

Autodeskは2024年10月29日、AutoCAD 2025.1のlibodxdll.dllにおいてUse-After-Free脆弱性（CVE-2024-8595）を発見したことを公開した。悪意のあるMODELファイルによってシステムクラッシュや任意コード実行が可能となる深刻な脆弱性で、CVSSスコアは7.8（HIGH）と評価されている。Windows環境のAutoCAD 2025.1が影響を受けるため、早急な対応が必要だ。

【CVE-2024-8589】AutoCAD 2025.1にSLDPRTファイル解析の深刻な脆...

2024年11月6日

AutodeskがAutoCAD 2025.1におけるSLDPRTファイル解析の重大な脆弱性を公開した。odxsw_dll.dllに存在するOut-of-Bounds Read型の脆弱性により、悪意のある攻撃者が機密情報の漏洩やシステムのクラッシュ、任意のコード実行を引き起こす可能性がある。CVSS評価は7.8（High）で、Windowsプラットフォームが影響を受ける。

【CVE-2024-8589】AutoCAD 2025.1にSLDPRTファイル解析の深刻な脆...

2024年11月6日

AutodeskがAutoCAD 2025.1におけるSLDPRTファイル解析の重大な脆弱性を公開した。odxsw_dll.dllに存在するOut-of-Bounds Read型の脆弱性により、悪意のある攻撃者が機密情報の漏洩やシステムのクラッシュ、任意のコード実行を引き起こす可能性がある。CVSS評価は7.8（High）で、Windowsプラットフォームが影響を受ける。

【CVE-2024-8588】AutoCAD 2025.1にSLDPRTファイル解析の脆弱性、...

2024年11月6日

AutodeskはAutoCAD 2025.1においてSLDPRTファイル解析時の範囲外読み取り脆弱性【CVE-2024-8588】を公開した。CVSSスコア7.8のHIGHレベルで、悪意のあるファイルを介してシステムクラッシュや機密データの取得、任意のコード実行が可能となる。CISAの評価ではエクスプロイト性は「none」、自動化可能性は「no」とされているが、機密性・完全性・可用性への高い影響が懸念される。

【CVE-2024-8588】AutoCAD 2025.1にSLDPRTファイル解析の脆弱性、...

2024年11月6日

AutodeskはAutoCAD 2025.1においてSLDPRTファイル解析時の範囲外読み取り脆弱性【CVE-2024-8588】を公開した。CVSSスコア7.8のHIGHレベルで、悪意のあるファイルを介してシステムクラッシュや機密データの取得、任意のコード実行が可能となる。CISAの評価ではエクスプロイト性は「none」、自動化可能性は「no」とされているが、機密性・完全性・可用性への高い影響が懸念される。

【CVE-2024-7992】AutoCADにDWGファイルの重大な脆弱性、スタックベースバッ...

2024年11月6日

Autodeskが2025年版のAutoCADおよび関連製品において、悪意のあるDWGファイルによってスタックベースのバッファオーバーフローを引き起こす重大な脆弱性を公開した。CVSSスコア7.8（High）と評価されており、攻撃者によるシステムクラッシュや機密データの読み取り、任意のコード実行などのリスクが指摘されている。セキュリティアドバイザリADSK-SA-2024-0021を通じて対策方法が提供されている。

【CVE-2024-7992】AutoCADにDWGファイルの重大な脆弱性、スタックベースバッ...

2024年11月6日

Autodeskが2025年版のAutoCADおよび関連製品において、悪意のあるDWGファイルによってスタックベースのバッファオーバーフローを引き起こす重大な脆弱性を公開した。CVSSスコア7.8（High）と評価されており、攻撃者によるシステムクラッシュや機密データの読み取り、任意のコード実行などのリスクが指摘されている。セキュリティアドバイザリADSK-SA-2024-0021を通じて対策方法が提供されている。

【CVE-2024-6673】parisneo/lollms-webuiにおけるCSRF脆弱性...

2024年11月6日

parisneo/lollms-webuiのバージョンv9.9以降において、`lollms_comfyui.py`ファイル内の`install_comfyui`エンドポイントにCSRF脆弱性が発見された。この脆弱性により、攻撃者が被害者のデバイスに意図しないComfyUIのインストールを実行可能な状態となっており、デバイス容量不足によるシステムクラッシュのリスクが指摘されている。CVSS v3.0では4.4（MEDIUM）と評価され、早急な対応が推奨される。

【CVE-2024-6673】parisneo/lollms-webuiにおけるCSRF脆弱性...

2024年11月6日

parisneo/lollms-webuiのバージョンv9.9以降において、`lollms_comfyui.py`ファイル内の`install_comfyui`エンドポイントにCSRF脆弱性が発見された。この脆弱性により、攻撃者が被害者のデバイスに意図しないComfyUIのインストールを実行可能な状態となっており、デバイス容量不足によるシステムクラッシュのリスクが指摘されている。CVSS v3.0では4.4（MEDIUM）と評価され、早急な対応が推奨される。

【CVE-2024-49662】WordPressプラグインSimple Load More ...

2024年11月6日

WordPressプラグインSimple Load More 1.0以前のバージョンにリフレクテッドXSSの脆弱性が存在することが判明した。CVE-2024-49662として識別されたこの脆弱性は、CVSSスコア7.1と高い深刻度を示しており、Webページ生成時における入力の不適切な無害化処理に起因している。攻撃に特権は不要で攻撃条件の複雑さも低いため、早急な対応が推奨される。

【CVE-2024-49662】WordPressプラグインSimple Load More ...

2024年11月6日

WordPressプラグインSimple Load More 1.0以前のバージョンにリフレクテッドXSSの脆弱性が存在することが判明した。CVE-2024-49662として識別されたこの脆弱性は、CVSSスコア7.1と高い深刻度を示しており、Webページ生成時における入力の不適切な無害化処理に起因している。攻撃に特権は不要で攻撃条件の複雑さも低いため、早急な対応が推奨される。

【CVE-2024-51180】PHPGurukul IFSC Code Finder Pro...

2024年11月6日

PHPGurukul IFSC Code Finder Project v1.0において、/ifscfinder/index.phpのsearchifsccodeパラメータにReflected XSSの脆弱性が発見された。CVSSスコア8.8のHigh評価で、リモートからの任意のコード実行を可能にする深刻な問題となっている。攻撃には特権は不要だがユーザーの関与が必要で、CWE-79に分類される入力の不適切な無害化が原因とされている。

【CVE-2024-51180】PHPGurukul IFSC Code Finder Pro...

2024年11月6日

PHPGurukul IFSC Code Finder Project v1.0において、/ifscfinder/index.phpのsearchifsccodeパラメータにReflected XSSの脆弱性が発見された。CVSSスコア8.8のHigh評価で、リモートからの任意のコード実行を可能にする深刻な問題となっている。攻撃には特権は不要だがユーザーの関与が必要で、CWE-79に分類される入力の不適切な無害化が原因とされている。

【CVE-2024-51075】PHPGurukul Online DJ Booking Ma...

2024年11月6日

PHPGurukul Online DJ Booking Management System v1.0のadmin/user-search.phpにおいて、Reflected Cross Site Scripting（XSS）の脆弱性が発見された。searchdataパラメータを介して任意のコードを実行できる脆弱性で、CVSSスコア6.1と評価されている。CWE-79に分類され、SSVCではエクスプロイトの自動化が可能とされており、早急な対応が求められる。

【CVE-2024-51075】PHPGurukul Online DJ Booking Ma...

2024年11月6日

PHPGurukul Online DJ Booking Management System v1.0のadmin/user-search.phpにおいて、Reflected Cross Site Scripting（XSS）の脆弱性が発見された。searchdataパラメータを介して任意のコードを実行できる脆弱性で、CVSSスコア6.1と評価されている。CWE-79に分類され、SSVCではエクスプロイトの自動化が可能とされており、早急な対応が求められる。

【CVE-2024-8598】AutoCAD 2025.1でメモリ破損の脆弱性が発見、早急な対...

2024年11月6日

AutodeskのAutoCAD 2025.1において、STPファイルの解析時にメモリ破損を引き起こす重大な脆弱性が発見された。【CVE-2024-8598】として識別されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、悪意のあるSTPファイルによってシステムのクラッシュや任意のコード実行が可能となる。Windows版のみが影響を受け、ユーザーの操作を必要とするものの、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-8598】AutoCAD 2025.1でメモリ破損の脆弱性が発見、早急な対...

2024年11月6日

AutodeskのAutoCAD 2025.1において、STPファイルの解析時にメモリ破損を引き起こす重大な脆弱性が発見された。【CVE-2024-8598】として識別されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、悪意のあるSTPファイルによってシステムのクラッシュや任意のコード実行が可能となる。Windows版のみが影響を受け、ユーザーの操作を必要とするものの、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-8594】AutoCAD 2025.1でMODELファイル解析の脆弱性を確...

2024年11月6日

Autodeskは2024年10月29日、AutoCAD 2025.1のMODELファイル解析における重大な脆弱性【CVE-2024-8594】を公開した。libodxdll.dllで発生するHeap-Based Bufferオーバーフロー脆弱性により、悪意のある攻撃者によるシステムクラッシュや機密データの漏洩、任意コード実行などのリスクが確認された。CVSS 3.1で深刻度7.8のハイリスクと評価されており、早急な対応が推奨される。

【CVE-2024-8594】AutoCAD 2025.1でMODELファイル解析の脆弱性を確...

2024年11月6日

Autodeskは2024年10月29日、AutoCAD 2025.1のMODELファイル解析における重大な脆弱性【CVE-2024-8594】を公開した。libodxdll.dllで発生するHeap-Based Bufferオーバーフロー脆弱性により、悪意のある攻撃者によるシステムクラッシュや機密データの漏洩、任意コード実行などのリスクが確認された。CVSS 3.1で深刻度7.8のハイリスクと評価されており、早急な対応が推奨される。

【CVE-2024-8591】AutoCAD 2025.1に深刻な脆弱性、3DMファイル解析時...

2024年11月6日

AutodeskはAutoCAD 2025.1のWindows版において、3DMファイルの解析時にHeap-Based Buffer Overflowの脆弱性が発見されたことを公開した。CVE-2024-8591として識別されるこの脆弱性は、悪意のある3DMファイルをAcTranslators.exeで解析する際に発生し、攻撃者による任意のコード実行やシステムクラッシュを引き起こす可能性がある。CVSSスコアは7.8と高い値を示しており、早急な対応が求められる。

【CVE-2024-8591】AutoCAD 2025.1に深刻な脆弱性、3DMファイル解析時...

2024年11月6日

AutodeskはAutoCAD 2025.1のWindows版において、3DMファイルの解析時にHeap-Based Buffer Overflowの脆弱性が発見されたことを公開した。CVE-2024-8591として識別されるこの脆弱性は、悪意のある3DMファイルをAcTranslators.exeで解析する際に発生し、攻撃者による任意のコード実行やシステムクラッシュを引き起こす可能性がある。CVSSスコアは7.8と高い値を示しており、早急な対応が求められる。

【CVE-2024-6674】parisneo/lollms-webuiでCORS設定の脆弱性...

2024年11月6日

parisneo/lollms-webuiのversion 10より前のバージョンにおいて、CORS設定の不備による重大な脆弱性が発見された。CVE-2024-6674として特定されたこの脆弱性により、攻撃者はユーザーの機密情報を窃取し、不正な操作を実行することが可能となる。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。

【CVE-2024-6674】parisneo/lollms-webuiでCORS設定の脆弱性...

2024年11月6日

parisneo/lollms-webuiのversion 10より前のバージョンにおいて、CORS設定の不備による重大な脆弱性が発見された。CVE-2024-6674として特定されたこの脆弱性により、攻撃者はユーザーの機密情報を窃取し、不正な操作を実行することが可能となる。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。

【CVE-2024-49664】WordPressプラグインchatplusjp 1.02にX...

2024年11月6日

WordPressプラグインchatplusjpのバージョン1.02以前において、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価され、Webページ生成時の入力値の不適切な無害化処理が問題となっている。Patchstack Allianceの研究者により発見されたこの脆弱性は、ユーザーの関与が必要であるものの、機密性や整合性、可用性に影響を及ぼす可能性がある。

【CVE-2024-49664】WordPressプラグインchatplusjp 1.02にX...

2024年11月6日

WordPressプラグインchatplusjpのバージョン1.02以前において、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価され、Webページ生成時の入力値の不適切な無害化処理が問題となっている。Patchstack Allianceの研究者により発見されたこの脆弱性は、ユーザーの関与が必要であるものの、機密性や整合性、可用性に影響を及ぼす可能性がある。

【CVE-2024-7474】lunary-ai/lunary 1.3.2にIDOR脆弱性が発...

2024年11月6日

Protect AIはlunary-ai/lunaryバージョン1.3.2に存在するIDOR（Insecure Direct Object Reference）の脆弱性を公開した。この脆弱性により、リクエストURLのidパラメータを操作することで外部ユーザーの情報を閲覧または削除できる状態となっていた。CVSSスコアは9.1のクリティカルと評価されており、バージョン1.3.4で修正が行われている。

【CVE-2024-7474】lunary-ai/lunary 1.3.2にIDOR脆弱性が発...

2024年11月6日

Protect AIはlunary-ai/lunaryバージョン1.3.2に存在するIDOR（Insecure Direct Object Reference）の脆弱性を公開した。この脆弱性により、リクエストURLのidパラメータを操作することで外部ユーザーの情報を閲覧または削除できる状態となっていた。CVSSスコアは9.1のクリティカルと評価されており、バージョン1.3.4で修正が行われている。

【CVE-2024-10474】Focus for iOS 132未満にディープリンクの脆弱性...

2024年11月6日

Mozilla Corporationが2024年10月29日にFocus for iOSのバージョン132未満における重大な脆弱性を公開した。CVE-2024-10474として識別されるこの脆弱性は、ディープリンクのappスキームを介してURL安全性チェックを迂回できる問題を含んでおり、CVSSスコア9.1のCRITICALと評価されている。CISAの分析では技術的影響が大きく、攻撃の自動化も可能とされている。

【CVE-2024-10474】Focus for iOS 132未満にディープリンクの脆弱性...

2024年11月6日

Mozilla Corporationが2024年10月29日にFocus for iOSのバージョン132未満における重大な脆弱性を公開した。CVE-2024-10474として識別されるこの脆弱性は、ディープリンクのappスキームを介してURL安全性チェックを迂回できる問題を含んでおり、CVSSスコア9.1のCRITICALと評価されている。CISAの分析では技術的影響が大きく、攻撃の自動化も可能とされている。