Tech Insights

【CVE-2024-11021】Grand Vice Info WebopacでStored XSS脆弱性を発見、複数のバージョンで影響

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting(XSS)の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4(Medium)で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11021】Grand Vice Info WebopacでStored ...

TWCERTはGrand Vice Info Webopacに存在するStored Cross-site Scripting(XSS)の脆弱性【CVE-2024-11021】を公開した。影響を受けるバージョンはWebopac 6.5.3未満と7.2.1未満で、通常の権限を持つリモート攻撃者が任意のJavaScriptコードを注入可能。CVSSv3.1スコアは5.4(Medium)で、TWCERTとCISA-ADPの評価により自動化された攻撃の可能性は低いと判断されている。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。

【CVE-2024-11017】Grand Vice InfoのWebopacに深刻な脆弱性、...

Grand Vice InfoのWebopacにおいて、ファイルアップロードの検証不備による重大な脆弱性が発見された。この脆弱性により、攻撃者は通常の権限でWebshellをアップロードし、サーバー上で任意のコードを実行することが可能となる。影響を受けるバージョンは6.0.0から6.5.0および7.0.0から7.2.2で、CVSS v3.1で8.8(High)と評価されており、早急な対応が求められている。

【CVE-2024-10531】Kognetiks Chatbot for WordPressに認証機能の脆弱性、購読者レベルのユーザーによるアシスタント更新が可能に

【CVE-2024-10531】Kognetiks Chatbot for WordPress...

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-10531】Kognetiks Chatbot for WordPress...

WordPressプラグインのKognetiks Chatbot for WordPressにおいて、バージョン2.1.7以下に認証に関する重大な脆弱性が発見された。update_assistant()関数における権限チェックの欠如により、購読者レベル以上の認証済みユーザーがGTPアシスタントを更新できる状態となっている。CVSSスコアは5.3で中程度の深刻度と評価されており、早急な対応が推奨される。

東陽テクニカがゲーム開発者向けパネルディスカッションを開催、業界第一線の開発者が登壇しツールとキャリアを解説

東陽テクニカがゲーム開発者向けパネルディスカッションを開催、業界第一線の開発者が登壇しツールと...

東陽テクニカは2024年11月23日、CEDEC+KYUSHU 2024でゲーム業界の第一線で活躍する開発者5名を招いたパネルディスカッションを実施する。Cygames、サイバーコネクトツー、セガなどから登壇者を迎え、ゲーム開発に必要なツールの活用法とキャリア形成について解説。また会場ではHelix CoreとHelix DAMの展示も行われ、最新のデジタルアセット管理ソリューションを紹介する。

東陽テクニカがゲーム開発者向けパネルディスカッションを開催、業界第一線の開発者が登壇しツールと...

東陽テクニカは2024年11月23日、CEDEC+KYUSHU 2024でゲーム業界の第一線で活躍する開発者5名を招いたパネルディスカッションを実施する。Cygames、サイバーコネクトツー、セガなどから登壇者を迎え、ゲーム開発に必要なツールの活用法とキャリア形成について解説。また会場ではHelix CoreとHelix DAMの展示も行われ、最新のデジタルアセット管理ソリューションを紹介する。

MatrixFlowが生成AIの新機能RAGとプロンプト管理を実装、企業のDX推進を加速させる技術として注目

MatrixFlowが生成AIの新機能RAGとプロンプト管理を実装、企業のDX推進を加速させる...

株式会社MatrixFlowが生成AIの精度向上と効率的なプロンプト管理を実現する新機能としてRAG機能とプロンプト管理機能をリリースした。RAG機能は外部データベースからの情報を参照してAIが回答を生成する技術で、ハルシネーション問題を大幅に軽減する。プロンプト管理機能は企業内のプロンプトを一元管理し、組織内での再利用性を高めることでAI回答の一貫性と効率性を向上させる。

MatrixFlowが生成AIの新機能RAGとプロンプト管理を実装、企業のDX推進を加速させる...

株式会社MatrixFlowが生成AIの精度向上と効率的なプロンプト管理を実現する新機能としてRAG機能とプロンプト管理機能をリリースした。RAG機能は外部データベースからの情報を参照してAIが回答を生成する技術で、ハルシネーション問題を大幅に軽減する。プロンプト管理機能は企業内のプロンプトを一元管理し、組織内での再利用性を高めることでAI回答の一貫性と効率性を向上させる。

Recursionが27卒エンジニア向け就職サポートプログラムを開始、バックエンド開発スキルの習得と就職支援を提供

Recursionが27卒エンジニア向け就職サポートプログラムを開始、バックエンド開発スキルの...

Recursion, Incが2027年卒業予定の学生を対象に、メガベンチャー企業でのインターン・内定獲得を目指す就職サポートプログラムを開始。元Metaエンジニアが作成したカリキュラムでバックエンド開発スキルを学び、チーム開発や面接対策など充実のサポートを提供。12月7日から開始され、料金はRecursion受講料のみで参加可能。プログラミングスキルと就職活動、両面での成長を支援する。

Recursionが27卒エンジニア向け就職サポートプログラムを開始、バックエンド開発スキルの...

Recursion, Incが2027年卒業予定の学生を対象に、メガベンチャー企業でのインターン・内定獲得を目指す就職サポートプログラムを開始。元Metaエンジニアが作成したカリキュラムでバックエンド開発スキルを学び、チーム開発や面接対策など充実のサポートを提供。12月7日から開始され、料金はRecursion受講料のみで参加可能。プログラミングスキルと就職活動、両面での成長を支援する。

【CVE-2024-50152】Linuxカーネルのsmb2_set_ea()で発見された二重解放の脆弱性、複数バージョンに影響

【CVE-2024-50152】Linuxカーネルのsmb2_set_ea()で発見された二重...

Linuxカーネルのsmb2_set_ea()関数において二重解放の脆弱性が発見され、CVE-2024-50152として公開された。この脆弱性はLinux 6.8から6.11.*までの複数バージョンに影響を与えており、Clang静的解析ツールによって検出された。メモリ管理の問題に起因する重大な脆弱性であり、replay_againラベル付近でのeaの再初期化による修正パッチが提供されている。

【CVE-2024-50152】Linuxカーネルのsmb2_set_ea()で発見された二重...

Linuxカーネルのsmb2_set_ea()関数において二重解放の脆弱性が発見され、CVE-2024-50152として公開された。この脆弱性はLinux 6.8から6.11.*までの複数バージョンに影響を与えており、Clang静的解析ツールによって検出された。メモリ管理の問題に起因する重大な脆弱性であり、replay_againラベル付近でのeaの再初期化による修正パッチが提供されている。

【CVE-2024-50159】Linuxカーネルのarm_scmi二重解放脆弱性、複数バージョンに影響が判明し修正パッチを緊急公開

【CVE-2024-50159】Linuxカーネルのarm_scmi二重解放脆弱性、複数バージ...

Linuxカーネルの開発チームは、arm_scmiコンポーネントにおける二重解放の脆弱性【CVE-2024-50159】を修正。この問題は、scmi_debugfs_common_setup()関数内でdevm_add_action_or_reset()が失敗した際に発生し、Linux 6.3から6.6.59までの複数バージョンに影響。静的解析ツールによって発見され、冗長なcleanup処理の削除による修正が実装された。

【CVE-2024-50159】Linuxカーネルのarm_scmi二重解放脆弱性、複数バージ...

Linuxカーネルの開発チームは、arm_scmiコンポーネントにおける二重解放の脆弱性【CVE-2024-50159】を修正。この問題は、scmi_debugfs_common_setup()関数内でdevm_add_action_or_reset()が失敗した際に発生し、Linux 6.3から6.6.59までの複数バージョンに影響。静的解析ツールによって発見され、冗長なcleanup処理の削除による修正が実装された。

【CVE-2024-45277】SAP HANA Client 2.21.31未満にPrototype Pollution脆弱性、アプリケーションの可用性に影響

【CVE-2024-45277】SAP HANA Client 2.21.31未満にProto...

SAP HANA Node.jsクライアントパッケージのバージョン2.0.0から2.21.31未満において、Prototype Pollution脆弱性が発見された。nestTables機能でのユーザー入力検証の不備により、攻撃者がグローバルオブジェクトのプロトタイプに任意のプロパティを追加可能となり、アプリケーションの可用性に影響を与える可能性がある。CVSSスコアは4.3で、機密性と完全性への影響はないとされている。

【CVE-2024-45277】SAP HANA Client 2.21.31未満にProto...

SAP HANA Node.jsクライアントパッケージのバージョン2.0.0から2.21.31未満において、Prototype Pollution脆弱性が発見された。nestTables機能でのユーザー入力検証の不備により、攻撃者がグローバルオブジェクトのプロトタイプに任意のプロパティを追加可能となり、アプリケーションの可用性に影響を与える可能性がある。CVSSスコアは4.3で、機密性と完全性への影響はないとされている。

バーチャレクスのinspirX 5.8がPKSHA FAQと連携、コンタクトセンターの顧客対応効率が向上へ

バーチャレクスのinspirX 5.8がPKSHA FAQと連携、コンタクトセンターの顧客対応...

バーチャレクス・コンサルティングは、コンタクトセンターCRMソフト「inspirX」の最新バージョン5.8で外部FAQシステムとのAPI連携機能を実装。第一弾としてPKSHA CommunicationのFAQシステム「PKSHA FAQ」との標準連携を開始し、公開用FAQと内部FAQの統合管理を実現。従来のiframe連携と比較して、ユーザビリティとメンテナンス効率の大幅な向上が期待される。

バーチャレクスのinspirX 5.8がPKSHA FAQと連携、コンタクトセンターの顧客対応...

バーチャレクス・コンサルティングは、コンタクトセンターCRMソフト「inspirX」の最新バージョン5.8で外部FAQシステムとのAPI連携機能を実装。第一弾としてPKSHA CommunicationのFAQシステム「PKSHA FAQ」との標準連携を開始し、公開用FAQと内部FAQの統合管理を実現。従来のiframe連携と比較して、ユーザビリティとメンテナンス効率の大幅な向上が期待される。

【CVE-2024-49772】SuiteCRM 7.14.4にSQL injection脆弱性、認証済みユーザーによるデータベース情報漏洩のリスクが発生

【CVE-2024-49772】SuiteCRM 7.14.4にSQL injection脆弱...

SalesagilityのCRMソフトウェアSuiteCRM 7.14.4において、AM_ProjectTemplatesコントローラーにSQL injectionの脆弱性が発見された。CVSSスコア8.8(High)と評価されるこの脆弱性により、認証済みの低権限ユーザーがデータベース全体の情報を漏洩させることが可能となっている。対応バージョンとなる7.14.6および8.7.1へのアップデートが推奨される。

【CVE-2024-49772】SuiteCRM 7.14.4にSQL injection脆弱...

SalesagilityのCRMソフトウェアSuiteCRM 7.14.4において、AM_ProjectTemplatesコントローラーにSQL injectionの脆弱性が発見された。CVSSスコア8.8(High)と評価されるこの脆弱性により、認証済みの低権限ユーザーがデータベース全体の情報を漏洩させることが可能となっている。対応バージョンとなる7.14.6および8.7.1へのアップデートが推奨される。

【CVE-2024-49404】Samsung Video Playerに不適切なアクセス制御の脆弱性、他ユーザーの動画ファイルへのアクセスが可能に

【CVE-2024-49404】Samsung Video Playerに不適切なアクセス制御...

Samsungは2024年11月6日、Samsung Video Playerの一部バージョンにおける不適切なアクセス制御の脆弱性を公開した。Android 12では7.3.29.1より前のバージョン、Android 13では7.3.36.1より前のバージョン、Android 14では7.3.41.230より前のバージョンが影響を受け、物理的な攻撃者による他ユーザーの動画ファイルへのアクセスが可能となる。CVSSスコアは5.5(Medium)と評価されている。

【CVE-2024-49404】Samsung Video Playerに不適切なアクセス制御...

Samsungは2024年11月6日、Samsung Video Playerの一部バージョンにおける不適切なアクセス制御の脆弱性を公開した。Android 12では7.3.29.1より前のバージョン、Android 13では7.3.36.1より前のバージョン、Android 14では7.3.41.230より前のバージョンが影響を受け、物理的な攻撃者による他ユーザーの動画ファイルへのアクセスが可能となる。CVSSスコアは5.5(Medium)と評価されている。

【CVE-2024-43312】WPC Frequently Bought Together for WooCommerceに認可制御の脆弱性、バージョン7.2.0で修正完了

【CVE-2024-43312】WPC Frequently Bought Together ...

WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4(Medium)と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。

【CVE-2024-43312】WPC Frequently Bought Together ...

WordPressプラグインWPC Frequently Bought Together for WooCommerceのバージョン7.1.9以前に認可制御の脆弱性が発見された。CVE-2024-43312として識別されるこの脆弱性は、CVSSスコア5.4(Medium)と評価され、アクセス制御の設定不備により外部からの攻撃の可能性が指摘されている。WPClever社はバージョン7.2.0で修正パッチをリリースし、セキュリティ強化を図った。

【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの危険性に対処

【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの...

kernel.orgは、Linuxカーネル2.6.30から6.12-rc2に存在するSCTPの重要な脆弱性を修正した。この脆弱性は、sctp_listen_start関数内でautobindが失敗した際の状態遷移の問題に起因しており、特定条件下でシステムクラッシュを引き起こす可能性がある。Linux 4.19.323以降の各安定版で修正が提供され、セキュリティが強化された。

【CVE-2024-49944】LinuxカーネルのSCTP脆弱性が修正、システムクラッシュの...

kernel.orgは、Linuxカーネル2.6.30から6.12-rc2に存在するSCTPの重要な脆弱性を修正した。この脆弱性は、sctp_listen_start関数内でautobindが失敗した際の状態遷移の問題に起因しており、特定条件下でシステムクラッシュを引き起こす可能性がある。Linux 4.19.323以降の各安定版で修正が提供され、セキュリティが強化された。

Sky株式会社がEdgeTech+ 2024でAIセミナーを開催、汎用マシンでのAI活用テクニックを解説

Sky株式会社がEdgeTech+ 2024でAIセミナーを開催、汎用マシンでのAI活用テクニ...

Sky株式会社は2024年11月21日開催のEdgeTech+ 2024において、「汎用マシンにおけるAI活用のテクニック」セミナーを実施する。AIモデル開発とMLOpsのシステム開発に関する実践的な知見を共有し、x86アーキテクチャCPU搭載の汎用マシンでのAI推論環境構築について詳しく解説する。専用ハードウェアに頼らないAI活用の新たな可能性を提示する内容となっている。

Sky株式会社がEdgeTech+ 2024でAIセミナーを開催、汎用マシンでのAI活用テクニ...

Sky株式会社は2024年11月21日開催のEdgeTech+ 2024において、「汎用マシンにおけるAI活用のテクニック」セミナーを実施する。AIモデル開発とMLOpsのシステム開発に関する実践的な知見を共有し、x86アーキテクチャCPU搭載の汎用マシンでのAI推論環境構築について詳しく解説する。専用ハードウェアに頼らないAI活用の新たな可能性を提示する内容となっている。

高機能ファイラーFilesがパッケージマネージャーScoopに対応、コマンドラインからの導入が可能に

高機能ファイラーFilesがパッケージマネージャーScoopに対応、コマンドラインからの導入が可能に

モダンなデザインが特徴のファイラーFilesが、WindowsのパッケージマネージャーであるScoopへの対応を発表した。これによりコマンドラインからの簡単なインストールが可能となり、開発者やパワーユーザーの利便性が向上。ただしWinGetへの対応については技術的な問題で現在非対応となっている。

高機能ファイラーFilesがパッケージマネージャーScoopに対応、コマンドラインからの導入が可能に

モダンなデザインが特徴のファイラーFilesが、WindowsのパッケージマネージャーであるScoopへの対応を発表した。これによりコマンドラインからの簡単なインストールが可能となり、開発者やパワーユーザーの利便性が向上。ただしWinGetへの対応については技術的な問題で現在非対応となっている。

TailorがTerraform Providerをリリース、Infrastructure as Codeによるインフラ管理の効率化を実現

TailorがTerraform Providerをリリース、Infrastructure a...

Tailor Technologies, Inc.は2024年11月12日、Tailor PlatformのリソースをTerraformで管理できる新ツールTailor Terraform Providerをリリースした。15種類のリソースをサポートし、ワークスペース管理からOAuth2クライアント定義まで幅広い機能を提供。Infrastructure as Codeのワークフローに統合することで、インフラ管理の効率化とスケーラビリティの向上を実現している。

TailorがTerraform Providerをリリース、Infrastructure a...

Tailor Technologies, Inc.は2024年11月12日、Tailor PlatformのリソースをTerraformで管理できる新ツールTailor Terraform Providerをリリースした。15種類のリソースをサポートし、ワークスペース管理からOAuth2クライアント定義まで幅広い機能を提供。Infrastructure as Codeのワークフローに統合することで、インフラ管理の効率化とスケーラビリティの向上を実現している。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロスサイトスクリプティング脆弱性が発見、修正版のアップデートを推奨

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-50440】WordPress用プラグインCodePen Embedded Pens Shortcodeにクロスサイトスクリプティングの脆弱性が発見、バージョン1.0.3で修正完了

【CVE-2024-50440】WordPress用プラグインCodePen Embedded...

Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明した。CVSSスコアは6.5(中)で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。

【CVE-2024-50440】WordPress用プラグインCodePen Embedded...

Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明した。CVSSスコアは6.5(中)で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、フリースペースツリーの処理に問題

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、...

Linuxカーネルの開発チームが、btrfsファイルシステムにおけるro->rw再構成時の重大な脆弱性を修正した。この脆弱性は、read-onlyからread-writeモードへの切り替え時にNULLポインタ参照を引き起こし、カーネルOopsを発生させる可能性がある。影響を受けるのはLinux 6.8未満のすべてのバージョンで、6.11.6以降および6.12-rc5以降で修正が適用されている。

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、...

Linuxカーネルの開発チームが、btrfsファイルシステムにおけるro->rw再構成時の重大な脆弱性を修正した。この脆弱性は、read-onlyからread-writeモードへの切り替え時にNULLポインタ参照を引き起こし、カーネルOopsを発生させる可能性がある。影響を受けるのはLinux 6.8未満のすべてのバージョンで、6.11.6以降および6.12-rc5以降で修正が適用されている。

【CVE-2024-9657】Element Pack Elementor Addons 5.10.2以前に認証済みXSS脆弱性が発見、深刻度は中程度と評価

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-49670】WordPress用プラグインClient Power Tools Portal 1.8.6に反射型XSS脆弱性が発見、早急な対応が必要に

【CVE-2024-49670】WordPress用プラグインClient Power Too...

WordPressプラグインClient Power Tools Portal 1.8.6以前のバージョンで反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価を受けており、攻撃条件の複雑さは低く特権も不要とされている。Patchstack OÜが2024年10月29日に公開し、【CVE-2024-49670】として識別された本脆弱性への対応が急務となっている。

【CVE-2024-49670】WordPress用プラグインClient Power Too...

WordPressプラグインClient Power Tools Portal 1.8.6以前のバージョンで反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価を受けており、攻撃条件の複雑さは低く特権も不要とされている。Patchstack OÜが2024年10月29日に公開し、【CVE-2024-49670】として識別された本脆弱性への対応が急務となっている。

【CVE-2024-49673】WordPress LaTeX2HTML 2.5.4にXSS脆弱性が発見、迅速な対応が必要に

【CVE-2024-49673】WordPress LaTeX2HTML 2.5.4にXSS脆...

WordPress用プラグインLaTeX2HTMLのバージョン2.5.4以前に、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価され、攻撃者は特権なしで攻撃を実行できる可能性がある。Webページ生成時の入力データの適切な無害化処理が実装されておらず、ユーザーの個人情報やセッション情報が窃取される危険性があるため、早急な対策が必要とされている。

【CVE-2024-49673】WordPress LaTeX2HTML 2.5.4にXSS脆...

WordPress用プラグインLaTeX2HTMLのバージョン2.5.4以前に、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価され、攻撃者は特権なしで攻撃を実行できる可能性がある。Webページ生成時の入力データの適切な無害化処理が実装されておらず、ユーザーの個人情報やセッション情報が窃取される危険性があるため、早急な対策が必要とされている。

Crenaがkintoneプラグインマネージャーをリリース、プラグイン管理の効率化と他環境への移行が容易に

Crenaがkintoneプラグインマネージャーをリリース、プラグイン管理の効率化と他環境への...

株式会社Crenaは、kintoneプラグインの導入や管理、設定移行を効率化する新サービス「プラグインマネージャー」を2024年11月7日にリリースした。プラグインの検索や一括インストール、最新バージョンの管理、異なるkintone環境への設定情報のスムーズな移行が可能となり、kintoneユーザーの業務効率向上に貢献する。

Crenaがkintoneプラグインマネージャーをリリース、プラグイン管理の効率化と他環境への...

株式会社Crenaは、kintoneプラグインの導入や管理、設定移行を効率化する新サービス「プラグインマネージャー」を2024年11月7日にリリースした。プラグインの検索や一括インストール、最新バージョンの管理、異なるkintone環境への設定情報のスムーズな移行が可能となり、kintoneユーザーの業務効率向上に貢献する。

【CVE-2024-7876】Appointment Booking Calendar 1.6.7.55未満にXSS脆弱性、管理者権限で攻撃可能な状態に

【CVE-2024-7876】Appointment Booking Calendar 1.6...

WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に深刻な脆弱性が発見された。この脆弱性は管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行できる状態にあり、CVSSスコアは4.8でMedium評価となっている。unfiltered_htmlが無効化されている環境でも攻撃が可能であり、早急なアップデートが推奨される。

【CVE-2024-7876】Appointment Booking Calendar 1.6...

WordPressプラグインのAppointment Booking Calendarにおいて、バージョン1.6.7.55未満に深刻な脆弱性が発見された。この脆弱性は管理者権限を持つユーザーがクロスサイトスクリプティング攻撃を実行できる状態にあり、CVSSスコアは4.8でMedium評価となっている。unfiltered_htmlが無効化されている環境でも攻撃が可能であり、早急なアップデートが推奨される。

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性、データ改変や喪失のリスクが深刻に

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...

lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。

【CVE-2024-7456】lunary-ai/lunaryにSQLインジェクションの脆弱性...

lunary-ai/lunaryバージョン1.4.2の/api/v1/external-usersルートでSQLインジェクションの脆弱性が発見された。order by句のSQL文でsql.unsafeを使用する際にサニタイズ処理が実装されておらず、CVSSスコア9.8のCRITICALに分類される重大な脆弱性として報告されている。データの完全な喪失や改変、破損などの深刻な被害をもたらす可能性があり、開発者は速やかなアップデートが推奨される。

【CVE-2024-50531】RSVPMaker for Toastmasters 6.2.4にWebシェルアップロードの脆弱性、早急な更新が必要

【CVE-2024-50531】RSVPMaker for Toastmasters 6.2....

WordPress用プラグイン「RSVPMaker for Toastmasters」のバージョン6.2.4以前に、Webシェルをサーバーにアップロードできる深刻な脆弱性が発見された。CVSSスコア10.0の最高レベルの危険度で、攻撃者が特権なしでシステムに侵入可能。バージョン6.2.5で修正されており、管理者は早急なアップデートが推奨される。Patchstack Allianceが発見したこの脆弱性は、機密性・整合性・可用性すべてに高いリスクがある。

【CVE-2024-50531】RSVPMaker for Toastmasters 6.2....

WordPress用プラグイン「RSVPMaker for Toastmasters」のバージョン6.2.4以前に、Webシェルをサーバーにアップロードできる深刻な脆弱性が発見された。CVSSスコア10.0の最高レベルの危険度で、攻撃者が特権なしでシステムに侵入可能。バージョン6.2.5で修正されており、管理者は早急なアップデートが推奨される。Patchstack Allianceが発見したこの脆弱性は、機密性・整合性・可用性すべてに高いリスクがある。

【CVE-2024-20114】MediaTek製品のCCUに脆弱性、Android12.0から15.0まで影響範囲が拡大

【CVE-2024-20114】MediaTek製品のCCUに脆弱性、Android12.0か...

MediaTek社は同社製品のCCUに関する重大な脆弱性【CVE-2024-20114】を公開した。MT6765、MT6768など複数の製品で境界チェックの不備が発見され、特権昇格によるシステム実行権限の取得が可能となる。Android 12.0から15.0までの広範なバージョンに影響を与え、ユーザー操作不要で攻撃可能な点が深刻な問題となっている。

【CVE-2024-20114】MediaTek製品のCCUに脆弱性、Android12.0か...

MediaTek社は同社製品のCCUに関する重大な脆弱性【CVE-2024-20114】を公開した。MT6765、MT6768など複数の製品で境界チェックの不備が発見され、特権昇格によるシステム実行権限の取得が可能となる。Android 12.0から15.0までの広範なバージョンに影響を与え、ユーザー操作不要で攻撃可能な点が深刻な問題となっている。

【CVE-2024-10616】Tongda OAのwebSignSubmit.phpにSQL injection脆弱性が発見、複数バージョンに影響

【CVE-2024-10616】Tongda OAのwebSignSubmit.phpにSQL...

Tongda OAのバージョン11.2から11.9において、/pda/workflow/webSignSubmit.phpファイル内のsaleIdパラメータに関連するSQL injection脆弱性が発見された。リモートからの攻撃が可能で、CVSS v4.0で中程度の深刻度に分類されている。すでに技術情報とPoCが公開されており、早急な対応が必要な状況である。

【CVE-2024-10616】Tongda OAのwebSignSubmit.phpにSQL...

Tongda OAのバージョン11.2から11.9において、/pda/workflow/webSignSubmit.phpファイル内のsaleIdパラメータに関連するSQL injection脆弱性が発見された。リモートからの攻撃が可能で、CVSS v4.0で中程度の深刻度に分類されている。すでに技術情報とPoCが公開されており、早急な対応が必要な状況である。

【CVE-2024-6674】parisneo/lollms-webuiでCORS設定の脆弱性が発見、version 10で修正完了へ

【CVE-2024-6674】parisneo/lollms-webuiでCORS設定の脆弱性...

parisneo/lollms-webuiのversion 10より前のバージョンにおいて、CORS設定の不備による重大な脆弱性が発見された。CVE-2024-6674として特定されたこの脆弱性により、攻撃者はユーザーの機密情報を窃取し、不正な操作を実行することが可能となる。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。

【CVE-2024-6674】parisneo/lollms-webuiでCORS設定の脆弱性...

parisneo/lollms-webuiのversion 10より前のバージョンにおいて、CORS設定の不備による重大な脆弱性が発見された。CVE-2024-6674として特定されたこの脆弱性により、攻撃者はユーザーの機密情報を窃取し、不正な操作を実行することが可能となる。CVSSスコアは8.1と高く評価され、早急な対応が必要とされている。