Tech Insights

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタクラッシュの脆弱性を修正、複数バージョンでアップデートが必要に

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタ...

LinuxカーネルのLoongArchアーキテクチャにおいて、vDSOがマッピングされていないタスクでstack_top()関数を呼び出した際にシステムがクラッシュする重大な脆弱性が発見された。この問題は特にkthreadなどで発生し、バージョン5.19から6.11の間で影響を受ける。開発チームは6.1.115以降などの複数バージョンで修正パッチをリリースしており、早急なアップデートが推奨される。

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタ...

LinuxカーネルのLoongArchアーキテクチャにおいて、vDSOがマッピングされていないタスクでstack_top()関数を呼び出した際にシステムがクラッシュする重大な脆弱性が発見された。この問題は特にkthreadなどで発生し、バージョン5.19から6.11の間で影響を受ける。開発チームは6.1.115以降などの複数バージョンで修正パッチをリリースしており、早急なアップデートが推奨される。

【CVE-2024-50129】Linuxカーネルにおける境界外アクセスの脆弱性、PSE-PDデバイスのループ処理に関する不具合を修正へ

【CVE-2024-50129】Linuxカーネルにおける境界外アクセスの脆弱性、PSE-PD...

Linuxカーネルの開発チームが、PSE-PDデバイスのループ処理における境界外アクセスの脆弱性を修正するパッチをリリースした。この脆弱性は【CVE-2024-50129】として識別され、Linux 6.10から6.11.5までのバージョンに影響を与える。修正パッチではpcdev->nr_lines変数を用いてループの上限を正確に設定することで、メモリの境界外アクセスによる問題を防止する。

【CVE-2024-50129】Linuxカーネルにおける境界外アクセスの脆弱性、PSE-PD...

Linuxカーネルの開発チームが、PSE-PDデバイスのループ処理における境界外アクセスの脆弱性を修正するパッチをリリースした。この脆弱性は【CVE-2024-50129】として識別され、Linux 6.10から6.11.5までのバージョンに影響を与える。修正パッチではpcdev->nr_lines変数を用いてループの上限を正確に設定することで、メモリの境界外アクセスによる問題を防止する。

【CVE-2024-50121】Linuxカーネルのnfsdモジュールに脆弱性、リソース解放の競合問題に対処完了

【CVE-2024-50121】Linuxカーネルのnfsdモジュールに脆弱性、リソース解放の...

Linuxカーネルにおいて、nfsdモジュールのリソース解放処理に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50121】として識別され、nfsd_client_shrinkerとnfs4_state_shutdown_netの同時実行時に競合状態が発生し、use-after-free errorを引き起こす可能性があった。Linux 6.2以降のバージョンに影響し、6.6.59、6.11.6、6.12-rc5で修正が適用されている。

【CVE-2024-50121】Linuxカーネルのnfsdモジュールに脆弱性、リソース解放の...

Linuxカーネルにおいて、nfsdモジュールのリソース解放処理に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50121】として識別され、nfsd_client_shrinkerとnfs4_state_shutdown_netの同時実行時に競合状態が発生し、use-after-free errorを引き起こす可能性があった。Linux 6.2以降のバージョンに影響し、6.6.59、6.11.6、6.12-rc5で修正が適用されている。

【CVE-2024-50109】Linuxカーネルのraid10に深刻な脆弱性、ヌルポインタ参照によるシステム異常終了の可能性

【CVE-2024-50109】Linuxカーネルのraid10に深刻な脆弱性、ヌルポインタ参...

Linuxカーネルのraid10実装において、raid10_run()関数内でraid10_set_queue_limits()が成功した後に後続の処理が失敗した場合、mddevのprivateメンバーがNULLのままraid10_size()関数が呼び出される脆弱性が発見された。この問題はCVE-2024-50109として識別され、Linux 6.9からLinux 6.11.6までのバージョンに影響を及ぼす。システムの安定性に関わる重要な問題として、早急な対応が求められている。

【CVE-2024-50109】Linuxカーネルのraid10に深刻な脆弱性、ヌルポインタ参...

Linuxカーネルのraid10実装において、raid10_run()関数内でraid10_set_queue_limits()が成功した後に後続の処理が失敗した場合、mddevのprivateメンバーがNULLのままraid10_size()関数が呼び出される脆弱性が発見された。この問題はCVE-2024-50109として識別され、Linux 6.9からLinux 6.11.6までのバージョンに影響を及ぼす。システムの安定性に関わる重要な問題として、早急な対応が求められている。

【CVE-2024-50093】Linux kernelのthermal driverにモジュールアンロード時の警告問題、最新バージョンで修正完了

【CVE-2024-50093】Linux kernelのthermal driverにモジュ...

Linux kernelのprocessor_thermal driverにおいて、モジュールアンロード時に警告が発生する問題が修正された。この問題は、PCIデバイスの二重無効化に起因しており、pcim_device_enable()による自動無効化とpci_disable_device()の明示的な呼び出しが重複することで発生していた。最新のカーネルバージョンでは、PCI デバイスリソース管理の改善により、この問題が解消されている。

【CVE-2024-50093】Linux kernelのthermal driverにモジュ...

Linux kernelのprocessor_thermal driverにおいて、モジュールアンロード時に警告が発生する問題が修正された。この問題は、PCIデバイスの二重無効化に起因しており、pcim_device_enable()による自動無効化とpci_disable_device()の明示的な呼び出しが重複することで発生していた。最新のカーネルバージョンでは、PCI デバイスリソース管理の改善により、この問題が解消されている。

【CVE-2024-50127】Linuxカーネルでuse-after-free脆弱性、taprio_change()関数の修正でメモリ管理を強化

【CVE-2024-50127】Linuxカーネルでuse-after-free脆弱性、tap...

Linuxカーネルのnet schedモジュールで重大な脆弱性が発見された。taprio_change()関数においてadminポインタがdanglingになる可能性があり、KASANによってuse-after-freeの脆弱性が検出された。この問題に対し、rcu_replace_pointer()を使用した即時更新による対策が実施され、Linux 6.1.115以降、6.6.59以降、6.11.6以降のバージョンで修正が適用された。

【CVE-2024-50127】Linuxカーネルでuse-after-free脆弱性、tap...

Linuxカーネルのnet schedモジュールで重大な脆弱性が発見された。taprio_change()関数においてadminポインタがdanglingになる可能性があり、KASANによってuse-after-freeの脆弱性が検出された。この問題に対し、rcu_replace_pointer()を使用した即時更新による対策が実施され、Linux 6.1.115以降、6.6.59以降、6.11.6以降のバージョンで修正が適用された。

【CVE-2024-8614】WP JobSearchプラグインに深刻な脆弱性、任意のファイルアップロードによるリモートコード実行の危険性

【CVE-2024-8614】WP JobSearchプラグインに深刻な脆弱性、任意のファイル...

WordPressのプラグインWP JobSearchの2.6.7以前のバージョンにおいて、jobsearch_wp_handle_upload()関数のファイルタイプ検証の不備により、認証済みユーザーが任意のファイルをアップロード可能な脆弱性が発見された。CVSSスコア9.9の深刻な脆弱性であり、リモートコード実行の可能性を含むため、早急な対応が必要とされている。

【CVE-2024-8614】WP JobSearchプラグインに深刻な脆弱性、任意のファイル...

WordPressのプラグインWP JobSearchの2.6.7以前のバージョンにおいて、jobsearch_wp_handle_upload()関数のファイルタイプ検証の不備により、認証済みユーザーが任意のファイルをアップロード可能な脆弱性が発見された。CVSSスコア9.9の深刻な脆弱性であり、リモートコード実行の可能性を含むため、早急な対応が必要とされている。

【CVE-2024-10715】MapPress Maps for WordPress 2.94.1に重大な脆弱性、XSS攻撃のリスクが浮上

【CVE-2024-10715】MapPress Maps for WordPress 2.9...

WordPressプラグイン「MapPress Maps for WordPress」のバージョン2.94.1以前において、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2024-10715として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態となっており、CVSSスコアは6.4(Medium)と評価されている。

【CVE-2024-10715】MapPress Maps for WordPress 2.9...

WordPressプラグイン「MapPress Maps for WordPress」のバージョン2.94.1以前において、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2024-10715として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態となっており、CVSSスコアは6.4(Medium)と評価されている。

【CVE-2024-52043】HumHub 1.16.2にユーザー列挙の脆弱性、エラーメッセージによる情報漏洩のリスクに警戒

【CVE-2024-52043】HumHub 1.16.2にユーザー列挙の脆弱性、エラーメッセ...

VULSec LabsがHumHub GmbH & Co. KGのHumHubに存在するユーザー列挙の脆弱性を発見した。Linux環境の全バージョンからバージョン1.16.2まで影響を受け、CVSSスコア6.9のミディアム深刻度に分類されている。認証不要でアクセス可能な本脆弱性は、エラーメッセージを通じた機密情報の露出により、追加攻撃の足がかりとなる可能性がある。

【CVE-2024-52043】HumHub 1.16.2にユーザー列挙の脆弱性、エラーメッセ...

VULSec LabsがHumHub GmbH & Co. KGのHumHubに存在するユーザー列挙の脆弱性を発見した。Linux環境の全バージョンからバージョン1.16.2まで影響を受け、CVSSスコア6.9のミディアム深刻度に分類されている。認証不要でアクセス可能な本脆弱性は、エラーメッセージを通じた機密情報の露出により、追加攻撃の足がかりとなる可能性がある。

【CVE-2024-9307】mFolio Lite 1.2.1に認証不備の脆弱性、リモートコード実行の危険性が浮上

【CVE-2024-9307】mFolio Lite 1.2.1に認証不備の脆弱性、リモートコ...

WordPressプラグインのmFolio Lite 1.2.1以前のバージョンにおいて、ファイルアップロードに関する重大な脆弱性が発見された。Author以上の権限を持つユーザーが任意のSVGファイルやEXEファイルをアップロード可能な状態となっており、リモートコード実行の危険性が指摘されている。CVSSスコア9.9のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。

【CVE-2024-9307】mFolio Lite 1.2.1に認証不備の脆弱性、リモートコ...

WordPressプラグインのmFolio Lite 1.2.1以前のバージョンにおいて、ファイルアップロードに関する重大な脆弱性が発見された。Author以上の権限を持つユーザーが任意のSVGファイルやEXEファイルをアップロード可能な状態となっており、リモートコード実行の危険性が指摘されている。CVSSスコア9.9のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。

【CVE-2024-10535】Video Gallery for WooCommerce 1.31に認証回避の脆弱性、サムネイル削除のリスクが発生

【CVE-2024-10535】Video Gallery for WooCommerce 1...

WordfenceはVideo Gallery for WooCommerceプラグインのバージョン1.31以下に深刻な脆弱性が存在することを報告した。remove_unused_thumbnails()関数に権限チェックが欠如しており、未認証の攻撃者がvideo-wc-gallery-thumbディレクトリ内のサムネイル画像を削除できる状態となっている。CVE-2024-10535として識別されたこの脆弱性は、CVSS基本値5.3のMEDIUMレベルと評価されている。

【CVE-2024-10535】Video Gallery for WooCommerce 1...

WordfenceはVideo Gallery for WooCommerceプラグインのバージョン1.31以下に深刻な脆弱性が存在することを報告した。remove_unused_thumbnails()関数に権限チェックが欠如しており、未認証の攻撃者がvideo-wc-gallery-thumbディレクトリ内のサムネイル画像を削除できる状態となっている。CVE-2024-10535として識別されたこの脆弱性は、CVSS基本値5.3のMEDIUMレベルと評価されている。

【CVE-2024-8615】JobSearch WP Job Board 2.6.7に認証不要の任意ファイルアップロード脆弱性、リモートコード実行の危険性が発覚

【CVE-2024-8615】JobSearch WP Job Board 2.6.7に認証不...

WordPressプラグインのJobSearch WP Job Board 2.6.7以前のバージョンで、認証不要で任意のファイルをアップロードできる脆弱性が発見された。jobsearch_location_load_excel_file_callback()関数でのファイルタイプ検証の不備が原因で、リモートコード実行の可能性があるため深刻度はCriticalレベル。CVSSスコア10.0と評価され、早急な対応が必要とされている。

【CVE-2024-8615】JobSearch WP Job Board 2.6.7に認証不...

WordPressプラグインのJobSearch WP Job Board 2.6.7以前のバージョンで、認証不要で任意のファイルをアップロードできる脆弱性が発見された。jobsearch_location_load_excel_file_callback()関数でのファイルタイプ検証の不備が原因で、リモートコード実行の可能性があるため深刻度はCriticalレベル。CVSSスコア10.0と評価され、早急な対応が必要とされている。

コンテナランタイムcontainerd 2.0が正式リリース、プラグイン統合とサンドボックス機能が大幅に強化

コンテナランタイムcontainerd 2.0が正式リリース、プラグイン統合とサンドボックス機...

コンテナランタイムの代表的な実装であるcontainerdの初のメジャーバージョンアップとなるcontainerd 2.0が正式リリースされた。プラグインセクションのマージ機能やサンドボックスコントローラーの更新API、OpenTelemetryの環境変数設定、CDIのデフォルト有効化など、多岐にわたる機能強化が実施されている。セキュリティ面でもio_uringシステムコールの制限が追加され、より安全なコンテナ実行環境を提供する。

コンテナランタイムcontainerd 2.0が正式リリース、プラグイン統合とサンドボックス機...

コンテナランタイムの代表的な実装であるcontainerdの初のメジャーバージョンアップとなるcontainerd 2.0が正式リリースされた。プラグインセクションのマージ機能やサンドボックスコントローラーの更新API、OpenTelemetryの環境変数設定、CDIのデフォルト有効化など、多岐にわたる機能強化が実施されている。セキュリティ面でもio_uringシステムコールの制限が追加され、より安全なコンテナ実行環境を提供する。

国内初のブランド許諾管理SaaSロゴラボがStartup JAPAN EXPO 2024秋に出展、AIを活用した最新機能のデモを実施

国内初のブランド許諾管理SaaSロゴラボがStartup JAPAN EXPO 2024秋に出...

株式会社ロゴラボが提供する国内初のブランド許諾管理SaaS「ロゴラボ」が、2024年11月20日から21日に東京ビッグサイトで開催される日本最大級のスタートアップ展示会「Startup JAPAN EXPO 2024 - 秋 -」に出展する。約300社が出展予定の同展示会で、AIを活用したブランド与信チェック機能など最新バージョンのデモンストレーションを実施。ブース訪問特典も用意している。

国内初のブランド許諾管理SaaSロゴラボがStartup JAPAN EXPO 2024秋に出...

株式会社ロゴラボが提供する国内初のブランド許諾管理SaaS「ロゴラボ」が、2024年11月20日から21日に東京ビッグサイトで開催される日本最大級のスタートアップ展示会「Startup JAPAN EXPO 2024 - 秋 -」に出展する。約300社が出展予定の同展示会で、AIを活用したブランド与信チェック機能など最新バージョンのデモンストレーションを実施。ブース訪問特典も用意している。

ReviCoが10月のレビューマーケティング実績を公開、月間投稿数と閲覧数が過去最高を記録

ReviCoが10月のレビューマーケティング実績を公開、月間投稿数と閲覧数が過去最高を記録

株式会社ReviCoが2024年10月の実績を公開し、月間レビュー投稿件数75,027件、レビュー投稿率9.94%、月間レビュー閲覧数1,947万PV、レビュー閲覧から商品購入に至った件数28.8万件と、全ての指標で過去最高値を記録した。300サイト弱まで増加した導入サイトの中で、最も高いサイトでは投稿率39.8%を達成している。

ReviCoが10月のレビューマーケティング実績を公開、月間投稿数と閲覧数が過去最高を記録

株式会社ReviCoが2024年10月の実績を公開し、月間レビュー投稿件数75,027件、レビュー投稿率9.94%、月間レビュー閲覧数1,947万PV、レビュー閲覧から商品購入に至った件数28.8万件と、全ての指標で過去最高値を記録した。300サイト弱まで増加した導入サイトの中で、最も高いサイトでは投稿率39.8%を達成している。

【CVE-2024-10543】Tumult Hype Animations 1.9.14以前に認可不備の脆弱性が発見、アニメーション情報の取得が可能に

【CVE-2024-10543】Tumult Hype Animations 1.9.14以前...

WordPressプラグインのTumult Hype Animationsにおいて、バージョン1.9.14以前に認可不備の脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つ認証済み攻撃者がアニメーション情報を取得可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、攻撃条件の複雑さは低く、特権レベルも低いとされており、早急な対応が推奨される。

【CVE-2024-10543】Tumult Hype Animations 1.9.14以前...

WordPressプラグインのTumult Hype Animationsにおいて、バージョン1.9.14以前に認可不備の脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つ認証済み攻撃者がアニメーション情報を取得可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、攻撃条件の複雑さは低く、特権レベルも低いとされており、早急な対応が推奨される。

【CVE-2024-10916】D-Link NAS製品に情報漏洩の脆弱性、DNS-320など4機種で深刻な影響の可能性

【CVE-2024-10916】D-Link NAS製品に情報漏洩の脆弱性、DNS-320など...

D-LinkのNAS製品であるDNS-320、DNS-320LW、DNS-325、DNS-340Lに情報漏洩の脆弱性が発見された。この脆弱性は/xml/info.xmlコンポーネントのHTTP GETリクエストハンドラーに関連しており、認証不要でリモートから攻撃可能な状態となっている。CVSS 4.0で6.9のスコアが付けられ、既に攻撃手法が公開されていることから、早急な対応が必要とされている。

【CVE-2024-10916】D-Link NAS製品に情報漏洩の脆弱性、DNS-320など...

D-LinkのNAS製品であるDNS-320、DNS-320LW、DNS-325、DNS-340Lに情報漏洩の脆弱性が発見された。この脆弱性は/xml/info.xmlコンポーネントのHTTP GETリクエストハンドラーに関連しており、認証不要でリモートから攻撃可能な状態となっている。CVSS 4.0で6.9のスコアが付けられ、既に攻撃手法が公開されていることから、早急な対応が必要とされている。

【CVE-2024-10915】D-Link NASデバイスに深刻な脆弱性、コマンドインジェクション攻撃のリスクが浮上

【CVE-2024-10915】D-Link NASデバイスに深刻な脆弱性、コマンドインジェク...

D-LinkのNASデバイス(DNS-320、DNS-320LW、DNS-325、DNS-340L)において、OSコマンドインジェクションの重大な脆弱性が発見された。account_mgr.cgiのcgi_user_add機能でgroupパラメータを操作することで、認証なしでリモートからの攻撃が可能となる。CVSSスコア9.2のクリティカルな脆弱性として報告され、早急な対策が必要とされている。

【CVE-2024-10915】D-Link NASデバイスに深刻な脆弱性、コマンドインジェク...

D-LinkのNASデバイス(DNS-320、DNS-320LW、DNS-325、DNS-340L)において、OSコマンドインジェクションの重大な脆弱性が発見された。account_mgr.cgiのcgi_user_add機能でgroupパラメータを操作することで、認証なしでリモートからの攻撃が可能となる。CVSSスコア9.2のクリティカルな脆弱性として報告され、早急な対策が必要とされている。

【CVE-2024-10647】WS Form LITE 1.9.244以前のバージョンに反射型クロスサイトスクリプティングの脆弱性が発見、早急な対応が必要に

【CVE-2024-10647】WS Form LITE 1.9.244以前のバージョンに反射...

WordPressプラグインのWS Form LITE – Drag & Drop Contact Form Builderにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。バージョン1.9.244以前のすべてのバージョンが影響を受け、非認証の攻撃者がユーザーを騙してリンクをクリックさせることで任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)と評価され、早急な対策が必要とされている。

【CVE-2024-10647】WS Form LITE 1.9.244以前のバージョンに反射...

WordPressプラグインのWS Form LITE – Drag & Drop Contact Form Builderにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。バージョン1.9.244以前のすべてのバージョンが影響を受け、非認証の攻撃者がユーザーを騙してリンクをクリックさせることで任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)と評価され、早急な対策が必要とされている。

【CVE-2024-9946】WordPress用プラグインSuper Socializerに認証バイパスの脆弱性、既存ユーザーアカウントへの不正アクセスのリスク

【CVE-2024-9946】WordPress用プラグインSuper Socializerに...

WordPressプラグインSuper Socializerのバージョン7.13.68以前に認証バイパスの脆弱性が発見された。ソーシャルログイントークンの検証不足により、攻撃者は既存ユーザーのメールアドレスを使用して不正アクセスが可能となる。CVSSスコア8.1のHigh評価で、管理者アカウントも設定次第で影響を受ける可能性がある。バージョン7.13.68で部分的な修正が実施されている。

【CVE-2024-9946】WordPress用プラグインSuper Socializerに...

WordPressプラグインSuper Socializerのバージョン7.13.68以前に認証バイパスの脆弱性が発見された。ソーシャルログイントークンの検証不足により、攻撃者は既存ユーザーのメールアドレスを使用して不正アクセスが可能となる。CVSSスコア8.1のHigh評価で、管理者アカウントも設定次第で影響を受ける可能性がある。バージョン7.13.68で部分的な修正が実施されている。

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フォーム送信データの不正閲覧が可能に

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フ...

WordPressプラグインのEleForms 2.9.9.9以前のバージョンに、認証機能の欠如による重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がフォーム送信データを閲覧可能な状態となっている。CVE-2024-6626として識別され、CVSSスコアは5.3(Medium)と評価されている。影響を受けるバージョンを使用している場合は、速やかなアップデートが推奨される。

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フ...

WordPressプラグインのEleForms 2.9.9.9以前のバージョンに、認証機能の欠如による重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がフォーム送信データを閲覧可能な状態となっている。CVE-2024-6626として識別され、CVSSスコアは5.3(Medium)と評価されている。影響を受けるバージョンを使用している場合は、速やかなアップデートが推奨される。

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジェクションの脆弱性、リモート攻撃が可能な状態に

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-10168】Active Products Tables for WooCommerceにXSS脆弱性、貢献者権限で任意のスクリプト実行が可能に

【CVE-2024-10168】Active Products Tables for WooC...

WordfenceによってActive Products Tables for WooCommerceプラグインのバージョン1.0.6.4以前に深刻な脆弱性が発見された。woot_buttonショートコードを介した格納型XSSの脆弱性により、contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4のMedium評価で、早急な対応が必要とされている。

【CVE-2024-10168】Active Products Tables for WooC...

WordfenceによってActive Products Tables for WooCommerceプラグインのバージョン1.0.6.4以前に深刻な脆弱性が発見された。woot_buttonショートコードを介した格納型XSSの脆弱性により、contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4のMedium評価で、早急な対応が必要とされている。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性、Contributor権限での悪用が可能に

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱性、複数製品のアップデートで対応完了

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱...

F5 NetworksはNGINX OpenID Connect実装において、ログイン時のnonceチェックが行われないセッション固定の脆弱性を公開した。この問題により攻撃者は被害者のセッションを制御下のアカウントに固定可能となる。NGINX Instance Manager、NGINX API Connectivity Manager、NGINX Ingress Controllerなど複数製品への影響が判明し、各製品のアップデートで対応を完了している。

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱...

F5 NetworksはNGINX OpenID Connect実装において、ログイン時のnonceチェックが行われないセッション固定の脆弱性を公開した。この問題により攻撃者は被害者のセッションを制御下のアカウントに固定可能となる。NGINX Instance Manager、NGINX API Connectivity Manager、NGINX Ingress Controllerなど複数製品への影響が判明し、各製品のアップデートで対応を完了している。

【CVE-2024-10020】Heateor Social Login WordPress 1.1.35で認証バイパスの脆弱性が発見、管理者アカウントも危険に

【CVE-2024-10020】Heateor Social Login WordPress ...

WordPressプラグインのHeateor Social Login WordPress 1.1.35以前のバージョンで認証バイパスの脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者が任意のユーザーとしてログイン可能。管理者アカウントもソーシャルログイン認証が許可されている場合は危険にさらされる。早急なアップデートと認証設定の見直しが推奨される。

【CVE-2024-10020】Heateor Social Login WordPress ...

WordPressプラグインのHeateor Social Login WordPress 1.1.35以前のバージョンで認証バイパスの脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者が任意のユーザーとしてログイン可能。管理者アカウントもソーシャルログイン認証が許可されている場合は危険にさらされる。早急なアップデートと認証設定の見直しが推奨される。

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻な脆弱性、任意コード実行の危険性が浮上

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻...

Adobeが3DペイントソフトウェアSubstance3D - Painter 10.0.1以前のバージョンにOut-of-bounds Write脆弱性を確認。CVSSスコア7.8(High)で、悪意あるファイルを開くことで任意コードが実行される可能性。機密性・完全性・可用性すべてで高レベルの影響。CISA-ADPも確認し、早急な対応を推奨している。

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻...

Adobeが3DペイントソフトウェアSubstance3D - Painter 10.0.1以前のバージョンにOut-of-bounds Write脆弱性を確認。CVSSスコア7.8(High)で、悪意あるファイルを開くことで任意コードが実行される可能性。機密性・完全性・可用性すべてで高レベルの影響。CISA-ADPも確認し、早急な対応を推奨している。

【CVE-2024-10329】Ultimate Bootstrap Elements for Elementor 1.4.6に機密情報漏洩の脆弱性、認証済みユーザーからの攻撃に注意

【CVE-2024-10329】Ultimate Bootstrap Elements for...

WordPressプラグインUltimate Bootstrap Elements for Elementor 1.4.6以前のバージョンに機密情報漏洩の脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが非公開テンプレートの内容を閲覧可能な状態となっている。CVSS v3.1で4.3(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-10329】Ultimate Bootstrap Elements for...

WordPressプラグインUltimate Bootstrap Elements for Elementor 1.4.6以前のバージョンに機密情報漏洩の脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが非公開テンプレートの内容を閲覧可能な状態となっている。CVSS v3.1で4.3(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-10319】Xpro Addons For Elementor FREE 1.4.6の脆弱性発見、認証済みユーザーによる機密情報へのアクセスが可能に

【CVE-2024-10319】Xpro Addons For Elementor FREE ...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6以前に深刻な情報漏洩の脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートデータや下書きコンテンツにアクセス可能となる。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低いとされている。

【CVE-2024-10319】Xpro Addons For Elementor FREE ...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6以前に深刻な情報漏洩の脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートデータや下書きコンテンツにアクセス可能となる。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低いとされている。

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保存される脆弱性が発覚、物理アクセスによる情報漏洩のリスクに

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保...

TP-Link Tapo H100 IoT Smart Hubにおいて、Wi-Fi認証情報が平文でファームウェアに保存される重大な脆弱性が発見された。CERT-Inが公開したこの脆弱性は物理的なアクセス権を持つ攻撃者によって悪用される可能性があり、CVSSスコア4.4(MEDIUM)と評価されている。影響を受けるバージョンは1.5.22未満で、早急なアップデートが推奨される。

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保...

TP-Link Tapo H100 IoT Smart Hubにおいて、Wi-Fi認証情報が平文でファームウェアに保存される重大な脆弱性が発見された。CERT-Inが公開したこの脆弱性は物理的なアクセス権を持つ攻撃者によって悪用される可能性があり、CVSSスコア4.4(MEDIUM)と評価されている。影響を受けるバージョンは1.5.22未満で、早急なアップデートが推奨される。

HOT TOPICS

新着順
ITニュース
イベント・セミナー
カテゴリ別
JLab初のタッチ&スワイプ操作対応スポーツイヤホンJBUDS SPORT ANC 4を12,800円で発売、IP66防水防塵性能とノイズキャンセリング機能で使い勝手が向上
  • XEXEQ編集部
  • XEXEQ編集部
ピジョンクラウドのコネクト機能がASPICクラウドアワード2024でDX貢献賞を受賞、ノーコードによる業務効率化を実現
  • XEXEQ編集部
  • XEXEQ編集部
NXワンビシアーカイブズのWAN-RECORD PlusがASPICクラウドアワードで先進ビジネスモデル賞を受賞、DX推進基盤の実現に貢献
  • XEXEQ編集部
  • XEXEQ編集部
PBADAOと東急が渋谷で環境貢献型ポイントサービスを開始、歩行でカーボンクレジット創出へ
  • XEXEQ編集部
  • XEXEQ編集部
経理担当者の金銭管理実態調査、計画的な支出管理と職業病による正確性重視の傾向が明らかに
  • XEXEQ編集部
  • XEXEQ編集部
クリーク・アンド・リバー社がBIM利用技術者試験の実態解説ウェビナーを開催、建築業界のデジタル人材育成を加速
  • XEXEQ編集部
  • XEXEQ編集部
DICが全方位マルチコプターHAGAMOSphereを開発、CES2025で革新的な機能とともに世界初公開へ
  • XEXEQ編集部
  • XEXEQ編集部
サイバーエージェントとPARTYが合弁会社を新たな細胞として始動、4つの主要サービスで企業の課題解決へ
  • XEXEQ編集部
  • XEXEQ編集部
クリーク・アンド・リバー社がRevitとDynamoの連携セミナーを無料配信、BIMオペレーターのスキルアップを支援
  • XEXEQ編集部
  • XEXEQ編集部
PELTECHが電動アシストクロスバイクTDA-207Zplus+を発売、USBポート搭載で利便性が大幅に向上
  • XEXEQ編集部
  • XEXEQ編集部
光通信グループのHBDが起業家支援イベントを開催、ROXXの中嶋汰朗氏がSaaS成長戦略を講演
  • XEXEQ編集部
  • XEXEQ編集部
文化庁が日本遺産全104件のショートムービーを公開、インフルエンサーとのコラボで魅力を発信
  • XEXEQ編集部
  • XEXEQ編集部
日本広報教育センターがPRブレーンストーミング特別解説会を開催、広報実務者の効率的なスキル習得を支援
  • XEXEQ編集部
  • XEXEQ編集部
アイスマイリーが製造・物流DXウェビナーを開催、最新AI活用で属人化課題の解決を目指す
  • XEXEQ編集部
  • XEXEQ編集部
ソリマチが会計王24シリーズを発売、電子帳簿保存法対応とAIメニュー搭載でDX化を加速
  • XEXEQ編集部
  • XEXEQ編集部
まくらるがオーダーメイド枕の調査結果を公開、認知度83.8%に対し利用率は7.8%と普及に課題
  • XEXEQ編集部
  • XEXEQ編集部
赤鹿地所が組織改革で離職率が12.6%から3.7%に改善、ワークライフバランス推進企業として認定取得
  • XEXEQ編集部
  • XEXEQ編集部
Deeper Japanがインバウンド向け伝統文化体験7商品を首都圏でリリース、職人との深い交流による本質的な日本文化体験を提供
  • XEXEQ編集部
  • XEXEQ編集部
enishがブロックチェーンゲームのリリース100日記念キャンペーンを開始、最大11万円分のアマギフなど7大特典を提供
  • XEXEQ編集部
  • XEXEQ編集部
BelkinがGaN搭載11-in-1 Proドックを発売、8K出力と3画面4K対応で作業効率が向上
  • XEXEQ編集部
  • XEXEQ編集部
Nozomi NetworksがEdgeTech+ 2024で講演、DX時代のOT環境におけるセキュリティ対策と事業継続について解説
  • XEXEQ編集部
  • XEXEQ編集部
sakamotocommonがGinza Sony Parkで初プログラムを開催、坂本龍一氏の遺産を次世代へと継承する取り組みが本格始動
  • XEXEQ編集部
  • XEXEQ編集部
AndTechがベイズ最適化のZoomウェビナーを開講、適応的実験計画の基礎から実践までを網羅的に解説
  • XEXEQ編集部
  • XEXEQ編集部
岡崎市内製造業2社がAUBAにて共創パートナー募集、製造業のデジタル化とイノベーション推進へ
  • XEXEQ編集部
  • XEXEQ編集部
ピースウィンズ・ジャパンと高知県が災害時連携協定を締結、医療支援船とヘリによる救助活動体制が強化
  • XEXEQ編集部
  • XEXEQ編集部
楽天とEarth hacksがデカボスコア付き商品の特設ページを公開、環境配慮型商品の選択促進へ向け新たな指標を導入
  • XEXEQ編集部
  • XEXEQ編集部
DJIが物流向けドローンFLYCART 30を発表、最大積載量30kgで物流困難エリアの課題解決へ向け無料セミナーを開催
  • XEXEQ編集部
  • XEXEQ編集部
食べチョク初のPBブランドVivid TABLEがecforceを導入、ECサイトの効率化と顧客体験向上を実現
  • XEXEQ編集部
  • XEXEQ編集部
TASCAMのSonicviewシリーズとIF-ST2110がINTER BEE AWARDグランプリを受賞、放送局向け小型音声卓の進化が加速
  • XEXEQ編集部
  • XEXEQ編集部
流通科学大学が阪神・淡路大震災30年シンポジウムを2025年1月に開催、社会インフラとしての流通の役割を議論
  • XEXEQ編集部
  • XEXEQ編集部
すべての最新情報を見る
ITニュースの最新情報を見る
イベント・セミナーの最新情報を見る

#AI

#SEO

#SNS

#広告

#デザイン

#コンピュータ

#セキュリティ

#プログラミング

#ビジネススキル

#マーケティング

#経営

#経済

#資格

#職業

#職種

#心理学

#ブロックチェーン

#IoT

#インターネット

#VR

#AR

#MR

#ソフトウェア

#ハードウェア

#ゲーム

#DX