Tech Insights

【CVE-2024-10122】Topdata Inner Rep Plus WebServe...

2024年11月9日

Topdata社のInner Rep Plus WebServer 2.01において、InnerRepPlus.htmlファイルのOperator Details Formコンポーネントにパスワードフィールドマスキングが実装されていない脆弱性が発見された。この脆弱性はCVE-2024-10122として識別され、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能であり、高度な権限を持つ攻撃者による悪用のリスクが存在する。

【CVE-2024-10122】Topdata Inner Rep Plus WebServe...

2024年11月9日

Topdata社のInner Rep Plus WebServer 2.01において、InnerRepPlus.htmlファイルのOperator Details Formコンポーネントにパスワードフィールドマスキングが実装されていない脆弱性が発見された。この脆弱性はCVE-2024-10122として識別され、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能であり、高度な権限を持つ攻撃者による悪用のリスクが存在する。

Wasmer 5.0が複数バックエンドとiOS対応を追加、WebAssembly実行環境の拡張...

2024年11月8日

Wasmer社が最新版のWasmer 5.0を発表し、V8、Wasmi、WAMRなどの新しいバックエンドのサポートとiOSデバイスでの実行を可能にした。コードベースの最適化により20,000行のコード削減を実現し、モジュールのデシリアライゼーションが最大50%高速化。ChromeデベロッパーツールとのデバッグやWebAssembly例外処理など、高度な機能の統合も期待される。

Wasmer 5.0が複数バックエンドとiOS対応を追加、WebAssembly実行環境の拡張...

2024年11月8日

Wasmer社が最新版のWasmer 5.0を発表し、V8、Wasmi、WAMRなどの新しいバックエンドのサポートとiOSデバイスでの実行を可能にした。コードベースの最適化により20,000行のコード削減を実現し、モジュールのデシリアライゼーションが最大50%高速化。ChromeデベロッパーツールとのデバッグやWebAssembly例外処理など、高度な機能の統合も期待される。

フルスピードが海外アフィリエイトコンサルティングを開始、DeepTrackとWebridgeの...

2024年11月8日

フルスピードがフォーイットと連携し海外アフィリエイト運用コンサルティングサービスを開始。独自のワンタグプラットフォームDeepTrackとグローバルアフィリエイトプラットフォームWebridgeを接続し、越境EC市場での効率的な顧客獲得を実現。APAC地域を中心とした広範なネットワークと成果報酬型モデルにより、企業のグローバル展開を支援する。

フルスピードが海外アフィリエイトコンサルティングを開始、DeepTrackとWebridgeの...

2024年11月8日

フルスピードがフォーイットと連携し海外アフィリエイト運用コンサルティングサービスを開始。独自のワンタグプラットフォームDeepTrackとグローバルアフィリエイトプラットフォームWebridgeを接続し、越境EC市場での効率的な顧客獲得を実現。APAC地域を中心とした広範なネットワークと成果報酬型モデルにより、企業のグローバル展開を支援する。

株式会社CINCがMarketing Native Fes miniを開催、トップマーケターに...

2024年11月8日

株式会社CINCは2024年11月15日に事業会社のマーケティング部門責任者を対象としたリアルイベント「Marketing Native Fes mini」を開催する。コメ兵やユナイテッドアローズでの経験を持つ藤原義昭氏と年間20社の成長を支援する菅原健一氏が登壇し、壁打ち形式で事業成長に関する悩みにアドバイスを提供する。40名限定で事前審査による招待制となっている。

株式会社CINCがMarketing Native Fes miniを開催、トップマーケターに...

2024年11月8日

株式会社CINCは2024年11月15日に事業会社のマーケティング部門責任者を対象としたリアルイベント「Marketing Native Fes mini」を開催する。コメ兵やユナイテッドアローズでの経験を持つ藤原義昭氏と年間20社の成長を支援する菅原健一氏が登壇し、壁打ち形式で事業成長に関する悩みにアドバイスを提供する。40名限定で事前審査による招待制となっている。

LINE FRIENDSがRIIZEとGood Luck Trollsのコラボポップアップスト...

2024年11月8日

LINE Friends Japan株式会社がLINE FRIENDS SQUARE SHIBUYAにて2024年11月6日から17日まで[RIIZE X Good Luck Trolls] POP-UP STOREを開催する。RIIZEの日本デビュー記念となる本イベントでは、Good Luck Trollsとコラボレーションした商品販売やメディアゾーン、韓国発のレシート写真機など多彩な体験型コンテンツを提供。5,500円以上の購入者にはオリジナルフォトカードをプレゼントする特典も用意された。

LINE FRIENDSがRIIZEとGood Luck Trollsのコラボポップアップスト...

2024年11月8日

LINE Friends Japan株式会社がLINE FRIENDS SQUARE SHIBUYAにて2024年11月6日から17日まで[RIIZE X Good Luck Trolls] POP-UP STOREを開催する。RIIZEの日本デビュー記念となる本イベントでは、Good Luck Trollsとコラボレーションした商品販売やメディアゾーン、韓国発のレシート写真機など多彩な体験型コンテンツを提供。5,500円以上の購入者にはオリジナルフォトカードをプレゼントする特典も用意された。

ダイテックが建設業向け現場Plus TF最新版をリリース、ネットワーク工程表作成機能と写真貼付...

2024年11月8日

株式会社ダイテックは建設業向けクラウドサービス現場Plus TFの最新バージョンを2024年11月7日にリリースした。新機能としてネットワーク工程表作成機能と出来高曲線表示機能を搭載し、さらに図面ファイルへの写真貼り付け機能も実装。これにより建設現場における施工計画の詳細な管理と進捗状況の把握が可能になり、生産性向上と働き方改革の実現に貢献する。

ダイテックが建設業向け現場Plus TF最新版をリリース、ネットワーク工程表作成機能と写真貼付...

2024年11月8日

株式会社ダイテックは建設業向けクラウドサービス現場Plus TFの最新バージョンを2024年11月7日にリリースした。新機能としてネットワーク工程表作成機能と出来高曲線表示機能を搭載し、さらに図面ファイルへの写真貼り付け機能も実装。これにより建設現場における施工計画の詳細な管理と進捗状況の把握が可能になり、生産性向上と働き方改革の実現に貢献する。

ビジコムがWindows OSキオスク端末MAZIC Kを発売、省スペース設計と高性能で多目的...

2024年11月8日

株式会社ビジコムは、Intel N97プロセッサと15.6インチタッチディスプレイを搭載したWindows OSキオスク端末MAZIC Kの販売を開始。QRコードリーダーとレシートプリンターを内蔵しながら重量8.7kgを実現し、Windows 10 IoT Enterprise 2021 LTSCの採用で10年間の安定運用を確保。券売機やセルフレジ、受付端末など多目的な用途に対応し、店舗運営の効率化を支援する。

ビジコムがWindows OSキオスク端末MAZIC Kを発売、省スペース設計と高性能で多目的...

2024年11月8日

株式会社ビジコムは、Intel N97プロセッサと15.6インチタッチディスプレイを搭載したWindows OSキオスク端末MAZIC Kの販売を開始。QRコードリーダーとレシートプリンターを内蔵しながら重量8.7kgを実現し、Windows 10 IoT Enterprise 2021 LTSCの採用で10年間の安定運用を確保。券売機やセルフレジ、受付端末など多目的な用途に対応し、店舗運営の効率化を支援する。

【CVE-2024-9883】WordPressプラグインPods 3.2.7.1未満にXSS...

2024年11月8日

WPScanがWordPressプラグインPodsのバージョン3.2.7.1未満において、Stored XSS脆弱性を発見した。この脆弱性は設定項目の不適切なサニタイズとエスケープに起因し、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.8でMedium（中程度）に分類され、マルチサイト環境でも攻撃が成立する可能性がある。

【CVE-2024-9883】WordPressプラグインPods 3.2.7.1未満にXSS...

2024年11月8日

WPScanがWordPressプラグインPodsのバージョン3.2.7.1未満において、Stored XSS脆弱性を発見した。この脆弱性は設定項目の不適切なサニタイズとエスケープに起因し、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.8でMedium（中程度）に分類され、マルチサイト環境でも攻撃が成立する可能性がある。

【CVE-2024-9846】Enable Shortcodesプラグインに認証不要な任意コー...

2024年11月8日

WordPressプラグインEnable Shortcodes inside Widgets,Comments and Expertsのバージョン1.0.0以前において、認証不要で任意のショートコードを実行可能な脆弱性が発見された。CVSSスコア7.3のハイリスク脆弱性として報告されており、攻撃の複雑性は低く特権も不要とされている。機密性と整合性、可用性のすべてに影響があるため、早急な対応が必要だ。

【CVE-2024-9846】Enable Shortcodesプラグインに認証不要な任意コー...

2024年11月8日

WordPressプラグインEnable Shortcodes inside Widgets,Comments and Expertsのバージョン1.0.0以前において、認証不要で任意のショートコードを実行可能な脆弱性が発見された。CVSSスコア7.3のハイリスク脆弱性として報告されており、攻撃の複雑性は低く特権も不要とされている。機密性と整合性、可用性のすべてに影響があるため、早急な対応が必要だ。

【CVE-2024-9689】WordPressプラグインPost From Frontend...

2024年11月8日

WordPressプラグインPost From Frontend 1.0.0以前にCSRF脆弱性が発見され、CVE-2024-9689として報告された。WPScanによって発見されたこの脆弱性は、投稿削除機能にCSRFチェックが実装されていないことが原因で、管理者権限を持つユーザーが意図せず投稿を削除してしまう可能性がある。CVSSスコアは4.8でMedium（中程度）の深刻度に分類されている。

【CVE-2024-9689】WordPressプラグインPost From Frontend...

2024年11月8日

WordPressプラグインPost From Frontend 1.0.0以前にCSRF脆弱性が発見され、CVE-2024-9689として報告された。WPScanによって発見されたこの脆弱性は、投稿削除機能にCSRFチェックが実装されていないことが原因で、管理者権限を持つユーザーが意図せず投稿を削除してしまう可能性がある。CVSSスコアは4.8でMedium（中程度）の深刻度に分類されている。

【CVE-2024-9686】Order Notification for Telegram ...

2024年11月8日

WordPressプラグインのOrder Notification for Telegramにおいて、バージョン1.0.1以前に重大な認証機能の不備が発見された。CVE-2024-9686として識別されたこの脆弱性により、未認証の攻撃者がTelegram Bot APIを介してテストメッセージを送信可能な状態となっている。CVSSスコアは5.3で中程度の深刻度とされ、早急な対応が推奨される。

【CVE-2024-9686】Order Notification for Telegram ...

2024年11月8日

WordPressプラグインのOrder Notification for Telegramにおいて、バージョン1.0.1以前に重大な認証機能の不備が発見された。CVE-2024-9686として識別されたこの脆弱性により、未認証の攻撃者がTelegram Bot APIを介してテストメッセージを送信可能な状態となっている。CVSSスコアは5.3で中程度の深刻度とされ、早急な対応が推奨される。

【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...

2024年11月8日

WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。

【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...

2024年11月8日

WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。

【CVE-2024-9459】ManageEngine Exchange Reporter P...

2024年11月8日

ManageEngine Exchange Reporter Plusのバージョン5718以前に、認証済みSQL Injectionの脆弱性が発見された。CVSSスコア8.3の高リスク脆弱性として報告されており、攻撃の難易度は低く評価されている。機密性と完全性への高い影響が指摘されており、早急なバージョン5719へのアップデートが推奨される。レポートモジュールを介した攻撃により、データベースの改ざんや情報漏洩のリスクがある。

【CVE-2024-9459】ManageEngine Exchange Reporter P...

2024年11月8日

ManageEngine Exchange Reporter Plusのバージョン5718以前に、認証済みSQL Injectionの脆弱性が発見された。CVSSスコア8.3の高リスク脆弱性として報告されており、攻撃の難易度は低く評価されている。機密性と完全性への高い影響が指摘されており、早急なバージョン5719へのアップデートが推奨される。レポートモジュールを介した攻撃により、データベースの改ざんや情報漏洩のリスクがある。

【CVE-2024-9147】Bna InformaticsのPosPratikにXSS脆弱性...

2024年11月8日

TR-CERTは2024年11月4日、Bna InformaticsのPosPratikにHTMLインジェクションの脆弱性【CVE-2024-9147】が発見されたことを公開した。v3.2.1未満のバージョンでは、HTTPクエリ文字列を介してXSS攻撃が可能となる脆弱性が確認されており、CVSSスコアは6.9（Medium）と評価されている。この脆弱性はCWE-80に分類され、既存の技術での悪用は困難だが、自動化された攻撃が可能とされている。

【CVE-2024-9147】Bna InformaticsのPosPratikにXSS脆弱性...

2024年11月8日

TR-CERTは2024年11月4日、Bna InformaticsのPosPratikにHTMLインジェクションの脆弱性【CVE-2024-9147】が発見されたことを公開した。v3.2.1未満のバージョンでは、HTTPクエリ文字列を介してXSS攻撃が可能となる脆弱性が確認されており、CVSSスコアは6.9（Medium）と評価されている。この脆弱性はCWE-80に分類され、既存の技術での悪用は困難だが、自動化された攻撃が可能とされている。

【CVE-2024-9109】WooCommerce UPS Shipping 2.3.11以...

2024年11月8日

WordfenceはWooCommerce UPS Shipping – Live Rates and Access Pointsプラグインのバージョン2.3.11以前に認証バイパスの脆弱性が存在することを公開した。delete_oauth_data関数に適切な権限チェックが実装されていないため、Subscriber以上の権限を持つユーザーがAPIキーを削除可能となっている。CVSSスコアは4.3（MEDIUM）で、攻撃の実行は容易だが影響は限定的とされている。

【CVE-2024-9109】WooCommerce UPS Shipping 2.3.11以...

2024年11月8日

WordfenceはWooCommerce UPS Shipping – Live Rates and Access Pointsプラグインのバージョン2.3.11以前に認証バイパスの脆弱性が存在することを公開した。delete_oauth_data関数に適切な権限チェックが実装されていないため、Subscriber以上の権限を持つユーザーがAPIキーを削除可能となっている。CVSSスコアは4.3（MEDIUM）で、攻撃の実行は容易だが影響は限定的とされている。

【CVE-2024-8792】Subscribe to Comments 2.3に反射型XSS...

2024年11月8日

WordPressプラグインのSubscribe to Comments 2.3以前のバージョンにおいて、反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコアは6.1のMedium評価で、認証不要でURLパラメータを介した攻撃が可能となっている。ユーザーインタラクションは必要だが、攻撃成功時には重大な影響を及ぼす可能性があるため、早急な対策が必要だ。

【CVE-2024-8792】Subscribe to Comments 2.3に反射型XSS...

2024年11月8日

WordPressプラグインのSubscribe to Comments 2.3以前のバージョンにおいて、反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコアは6.1のMedium評価で、認証不要でURLパラメータを介した攻撃が可能となっている。ユーザーインタラクションは必要だが、攻撃成功時には重大な影響を及ぼす可能性があるため、早急な対策が必要だ。

【CVE-2024-7877】Appointment Booking Calendarプラグイ...

2024年11月8日

WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に重大な脆弱性が発見された。通知設定の不適切なサニタイズとエスケープにより、管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行可能な状態となっている。CVSSスコアは4.8でMedium評価、早急なアップデートが推奨される。

【CVE-2024-7877】Appointment Booking Calendarプラグイ...

2024年11月8日

WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に重大な脆弱性が発見された。通知設定の不適切なサニタイズとエスケープにより、管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行可能な状態となっている。CVSSスコアは4.8でMedium評価、早急なアップデートが推奨される。

【CVE-2024-7876】Appointment Booking Calendar 1.6...

2024年11月8日

WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に深刻な脆弱性が発見された。この脆弱性は管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行できる状態にあり、CVSSスコアは4.8でMedium評価となっている。unfiltered_htmlが無効化されている環境でも攻撃が可能であり、早急なアップデートが推奨される。

【CVE-2024-7876】Appointment Booking Calendar 1.6...

2024年11月8日

WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に深刻な脆弱性が発見された。この脆弱性は管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行できる状態にあり、CVSSスコアは4.8でMedium評価となっている。unfiltered_htmlが無効化されている環境でも攻撃が可能であり、早急なアップデートが推奨される。

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...

2024年11月8日

lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...

2024年11月8日

lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。

【CVE-2024-5764】Nexus Repository 3の暗号化パスフレーズ脆弱性、...

2024年11月8日

Sonatype社のNexus Repositoryにおいて、静的なハードコード暗号化パスフレーズが使用されている脆弱性が発見された。CVE-2024-5764として識別されるこの問題は、バージョン3.0.0から3.72.0に影響を与え、SMTPやHTTPプロキシの認証情報、ユーザートークンなどの暗号化に関わる重要な脆弱性となっている。CVSSスコアは5.9（MEDIUM）と評価され、早急な対応が推奨される。

【CVE-2024-5764】Nexus Repository 3の暗号化パスフレーズ脆弱性、...

2024年11月8日

Sonatype社のNexus Repositoryにおいて、静的なハードコード暗号化パスフレーズが使用されている脆弱性が発見された。CVE-2024-5764として識別されるこの問題は、バージョン3.0.0から3.72.0に影響を与え、SMTPやHTTPプロキシの認証情報、ユーザートークンなどの暗号化に関わる重要な脆弱性となっている。CVSSスコアは5.9（MEDIUM）と評価され、早急な対応が推奨される。

【CVE-2024-5578】Table Of Contents Plus 2408以前のバー...

2024年11月8日

WordPressプラグインのTable Of Contents Plusにおいて、バージョン2408以前に深刻な脆弱性が発見された。設定項目の不適切なサニタイズにより、エディタ以上の権限を持つユーザーがクロスサイトスクリプティング攻撃を実行可能な状態となっている。CVSS3.1スコアは4.8で、高権限が必要だが攻撃の複雑さは低いとされている。

【CVE-2024-5578】Table Of Contents Plus 2408以前のバー...

2024年11月8日

WordPressプラグインのTable Of Contents Plusにおいて、バージョン2408以前に深刻な脆弱性が発見された。設定項目の不適切なサニタイズにより、エディタ以上の権限を持つユーザーがクロスサイトスクリプティング攻撃を実行可能な状態となっている。CVSS3.1スコアは4.8で、高権限が必要だが攻撃の複雑さは低いとされている。

【CVE-2024-51685】WordPressプラグインAccordion title f...

2024年11月8日

WordPressプラグインAccordion title for Elementorにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51685として識別されるこの脆弱性は、バージョン1.2.1以下に影響を与え、CVSSスコア5.9（Medium）と評価された。対策としてバージョン1.2.2がリリースされ、開発者は影響を受けるユーザーに対して最新バージョンへのアップデートを推奨している。

【CVE-2024-51685】WordPressプラグインAccordion title f...

2024年11月8日

WordPressプラグインAccordion title for Elementorにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51685として識別されるこの脆弱性は、バージョン1.2.1以下に影響を与え、CVSSスコア5.9（Medium）と評価された。対策としてバージョン1.2.2がリリースされ、開発者は影響を受けるユーザーに対して最新バージョンへのアップデートを推奨している。

【CVE-2024-51582】WP Hotel Booking 2.1.4にパストラバーサル...

2024年11月8日

ThimPress社のWordPressプラグイン「WP Hotel Booking 2.1.4」以前のバージョンにおいて、ローカルファイルインクルージョンの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性として報告され、ネットワークからの攻撃により、機密性・完全性・可用性に重大な影響を及ぼす可能性がある。特権レベルが低くてもユーザー操作なしで攻撃が可能となっており、早急な対応が求められる。

【CVE-2024-51582】WP Hotel Booking 2.1.4にパストラバーサル...

2024年11月8日

ThimPress社のWordPressプラグイン「WP Hotel Booking 2.1.4」以前のバージョンにおいて、ローカルファイルインクルージョンの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性として報告され、ネットワークからの攻撃により、機密性・完全性・可用性に重大な影響を及ぼす可能性がある。特権レベルが低くてもユーザー操作なしで攻撃が可能となっており、早急な対応が求められる。

【CVE-2024-51561】AeroにおけるOTP検証の脆弱性が発見、他ユーザーアカウント...

2024年11月8日

Brokerage Technology Solutions社のAeroにおいて、OTP検証メカニズムの不適切な実装による認証バイパスの脆弱性が発見された。CVE-2024-51561として識別されたこの脆弱性は、CVSS v4.0で9.3（CRITICAL）と評価されており、攻撃者による他のユーザーアカウントへの不正アクセスを可能にする。影響を受けるバージョンは120820241550より前のバージョンであり、早急なアップデートが推奨される。

【CVE-2024-51561】AeroにおけるOTP検証の脆弱性が発見、他ユーザーアカウント...

2024年11月8日

Brokerage Technology Solutions社のAeroにおいて、OTP検証メカニズムの不適切な実装による認証バイパスの脆弱性が発見された。CVE-2024-51561として識別されたこの脆弱性は、CVSS v4.0で9.3（CRITICAL）と評価されており、攻撃者による他のユーザーアカウントへの不正アクセスを可能にする。影響を受けるバージョンは120820241550より前のバージョンであり、早急なアップデートが推奨される。

【CVE-2024-51329】Agile-Board 1.0にHost header inj...

2024年11月8日

Agile-Board 1.0において、Host header injectionの脆弱性が発見された。CVE-2024-51329として識別されるこの脆弱性は、パスワードリセット機能を標的とし、攻撃者がリセットトークンを不正に取得可能。CVSSスコア8.1のハイリスクと評価され、ユーザー操作は必要だが特別な権限は不要である。認証システムの根幹に関わる部分への攻撃であり、早急な対応が求められている。

【CVE-2024-51329】Agile-Board 1.0にHost header inj...

2024年11月8日

Agile-Board 1.0において、Host header injectionの脆弱性が発見された。CVE-2024-51329として識別されるこの脆弱性は、パスワードリセット機能を標的とし、攻撃者がリセットトークンを不正に取得可能。CVSSスコア8.1のハイリスクと評価され、ユーザー操作は必要だが特別な権限は不要である。認証システムの根幹に関わる部分への攻撃であり、早急な対応が求められている。

【CVE-2024-51327】Travel Management System v1.0に認...

2024年11月8日

ProjectWorldsのTravel Management System v1.0において、loginform.phpのユーザー名とパスワードフィールドにSQLインジェクションの脆弱性が発見された。CVSSスコア9.8を記録する重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。CISAの評価では攻撃の自動化も可能とされ、早急な対策が必要な状況だ。

【CVE-2024-51327】Travel Management System v1.0に認...

2024年11月8日

ProjectWorldsのTravel Management System v1.0において、loginform.phpのユーザー名とパスワードフィールドにSQLインジェクションの脆弱性が発見された。CVSSスコア9.8を記録する重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。CISAの評価では攻撃の自動化も可能とされ、早急な対策が必要な状況だ。

【CVE-2024-51127】HornetQ v2.4.9にパストラバーサルの脆弱性、機密情...

2024年11月8日

HornetQ v2.4.9のcreateTempFileメソッドに重大な脆弱性が発見され、CVE-2024-51127として公開された。CVSSスコア9.1のCriticalレベルと評価されており、攻撃者による任意のファイル上書きや機密情報へのアクセスが可能となる。特別な権限や利用者の操作を必要とせず、ネットワークを介した攻撃が可能なため、早急な対策が求められている。

【CVE-2024-51127】HornetQ v2.4.9にパストラバーサルの脆弱性、機密情...

2024年11月8日

HornetQ v2.4.9のcreateTempFileメソッドに重大な脆弱性が発見され、CVE-2024-51127として公開された。CVSSスコア9.1のCriticalレベルと評価されており、攻撃者による任意のファイル上書きや機密情報へのアクセスが可能となる。特別な権限や利用者の操作を必要とせず、ネットワークを介した攻撃が可能なため、早急な対策が求められている。

【CVE-2024-50531】RSVPMaker for Toastmasters 6.2....

2024年11月8日

WordPress用プラグイン「RSVPMaker for Toastmasters」のバージョン6.2.4以前に、Webシェルをサーバーにアップロードできる深刻な脆弱性が発見された。CVSSスコア10.0の最高レベルの危険度で、攻撃者が特権なしでシステムに侵入可能。バージョン6.2.5で修正されており、管理者は早急なアップデートが推奨される。Patchstack Allianceが発見したこの脆弱性は、機密性・整合性・可用性すべてに高いリスクがある。

【CVE-2024-50531】RSVPMaker for Toastmasters 6.2....

2024年11月8日

WordPress用プラグイン「RSVPMaker for Toastmasters」のバージョン6.2.4以前に、Webシェルをサーバーにアップロードできる深刻な脆弱性が発見された。CVSSスコア10.0の最高レベルの危険度で、攻撃者が特権なしでシステムに侵入可能。バージョン6.2.5で修正されており、管理者は早急なアップデートが推奨される。Patchstack Allianceが発見したこの脆弱性は、機密性・整合性・可用性すべてに高いリスクがある。

【CVE-2024-49368】Nginx UIにおけるlogrotate設定の脆弱性が発見、...

2024年11月8日

Nginx UIの重大な脆弱性【CVE-2024-49368】が2024年10月21日に公開された。バージョン2.0.0-beta.36未満に影響を与えるこの脆弱性は、logrotate設定時の入力検証の不備により任意のコマンド実行を許可してしまう問題を引き起こす。CVSSスコア8.9のHIGH評価で、ネットワーク経由での攻撃が可能であり、早急な対応が求められている。

【CVE-2024-49368】Nginx UIにおけるlogrotate設定の脆弱性が発見、...

2024年11月8日

Nginx UIの重大な脆弱性【CVE-2024-49368】が2024年10月21日に公開された。バージョン2.0.0-beta.36未満に影響を与えるこの脆弱性は、logrotate設定時の入力検証の不備により任意のコマンド実行を許可してしまう問題を引き起こす。CVSSスコア8.9のHIGH評価で、ネットワーク経由での攻撃が可能であり、早急な対応が求められている。

【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、シ...

2024年11月8日

IceWhaleTechが開発するZimaOSのバージョン1.2.4以前において、APIエンドポイントに深刻なディレクトリトラバーサルの脆弱性が発見された。この脆弱性により、認証済みユーザーが任意のディレクトリ内容を一覧表示可能となり、重要なシステム設定ファイルが露出するリスクが確認されている。CVSSスコアは7.5（High）と評価され、現時点で修正パッチは未提供の状態である。

【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、シ...

2024年11月8日

IceWhaleTechが開発するZimaOSのバージョン1.2.4以前において、APIエンドポイントに深刻なディレクトリトラバーサルの脆弱性が発見された。この脆弱性により、認証済みユーザーが任意のディレクトリ内容を一覧表示可能となり、重要なシステム設定ファイルが露出するリスクが確認されている。CVSSスコアは7.5（High）と評価され、現時点で修正パッチは未提供の状態である。