Tech Insights

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

2024年11月24日

イオンカードは2024年11月22日、不正利用被害に対するセキュリティ対応の声明を発表した。カード利用停止後もオフライン取引による不正利用が継続する問題に対し、照会基準の見直しや店舗端末への停止情報登録などの対策を実施。24時間365日の異常検知モニタリングや本人認証サービスの導入など、セキュリティ体制の強化を進めている。

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

2024年11月24日

イオンカードは2024年11月22日、不正利用被害に対するセキュリティ対応の声明を発表した。カード利用停止後もオフライン取引による不正利用が継続する問題に対し、照会基準の見直しや店舗端末への停止情報登録などの対策を実施。24時間365日の異常検知モニタリングや本人認証サービスの導入など、セキュリティ体制の強化を進めている。

三菱UFJ銀行が元行員による貸金庫からの資産窃取を公表、被害総額は十数億円で約60人の顧客に影響

2024年11月24日

三菱UFJ銀行は2024年11月22日、元行員による貸金庫からの顧客資産窃取事案を公表した。練馬支店と玉川支店で2020年4月から2024年10月まで続いた不正行為により、約60人の顧客に被害が発生。被害総額は元行員の供述に基づき時価十数億円程度とされるが、現在も詳細な調査を継続中である。銀行は対策本部を設置し、全容解明と再発防止に向けた取り組みを進めている。

三菱UFJ銀行が元行員による貸金庫からの資産窃取を公表、被害総額は十数億円で約60人の顧客に影響

2024年11月24日

三菱UFJ銀行は2024年11月22日、元行員による貸金庫からの顧客資産窃取事案を公表した。練馬支店と玉川支店で2020年4月から2024年10月まで続いた不正行為により、約60人の顧客に被害が発生。被害総額は元行員の供述に基づき時価十数億円程度とされるが、現在も詳細な調査を継続中である。銀行は対策本部を設置し、全容解明と再発防止に向けた取り組みを進めている。

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...

2024年11月24日

Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...

2024年11月24日

Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。

【CVE-2024-50065】Linux kernelのntfs3にメモリアロケーション脆弱...

2024年11月24日

Linux kernelのntfs3コンポーネントで重大な脆弱性が発見された。ntfs_d_hash関数内のメモリアロケーション処理において、__get_name()関数がGFP_KERNELを使用することでメモリ圧迫時にスリープする可能性があり、rcu-walk中の予期せぬ動作を引き起こす可能性がある。この問題に対し、アロケーション方式をGFP_NOWAITに変更することで対策を実施。Linux 6.6.57以降および6.11.4以降のバージョンで修正が適用された。

【CVE-2024-50065】Linux kernelのntfs3にメモリアロケーション脆弱...

2024年11月24日

Linux kernelのntfs3コンポーネントで重大な脆弱性が発見された。ntfs_d_hash関数内のメモリアロケーション処理において、__get_name()関数がGFP_KERNELを使用することでメモリ圧迫時にスリープする可能性があり、rcu-walk中の予期せぬ動作を引き起こす可能性がある。この問題に対し、アロケーション方式をGFP_NOWAITに変更することで対策を実施。Linux 6.6.57以降および6.11.4以降のバージョンで修正が適用された。

【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...

2024年11月24日

LinuxカーネルのTDR（Timeout Detection and Recovery）において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF（Use After Free）の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。

【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...

2024年11月24日

LinuxカーネルのTDR（Timeout Detection and Recovery）において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF（Use After Free）の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。

【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョ...

2024年11月24日

Microsoftは2024年11月12日、WindowsのNTLMハッシュ開示に関する脆弱性【CVE-2024-43451】を公開した。この脆弱性はWindows Server 2025からWindows Server 2008まで、Windows 11からWindows 10の広範なバージョンに影響を与えることが判明。CISAによる評価では攻撃の自動化は不可能とされているものの、CVSSスコア6.5の中程度の深刻度が付けられており、早急な対応が求められている。

【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョ...

2024年11月24日

Microsoftは2024年11月12日、WindowsのNTLMハッシュ開示に関する脆弱性【CVE-2024-43451】を公開した。この脆弱性はWindows Server 2025からWindows Server 2008まで、Windows 11からWindows 10の広範なバージョンに影響を与えることが判明。CISAによる評価では攻撃の自動化は不可能とされているものの、CVSSスコア6.5の中程度の深刻度が付けられており、早急な対応が求められている。

【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読...

2024年11月24日

SAPのS/4 HANA Manage Bank Statementsアプリケーションにおいて、読み取り専用フィールドがMERGEメソッドによって改変可能な脆弱性が発見された。CVE-2024-45282として識別されたこの脆弱性は、CVSS v3.1で中程度（4.3）と評価され、S4CORE 102から107までの広範なバージョンに影響を与える。整合性への影響が指摘されているが、機密性とアベイラビリティへの影響はない。

【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読...

2024年11月24日

SAPのS/4 HANA Manage Bank Statementsアプリケーションにおいて、読み取り専用フィールドがMERGEメソッドによって改変可能な脆弱性が発見された。CVE-2024-45282として識別されたこの脆弱性は、CVSS v3.1で中程度（4.3）と評価され、S4CORE 102から107までの広範なバージョンに影響を与える。整合性への影響が指摘されているが、機密性とアベイラビリティへの影響はない。

【CVE-2024-38203】Windows Package Library Manager...

2024年11月24日

MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。

【CVE-2024-38203】Windows Package Library Manager...

2024年11月24日

MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。

EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...

2024年11月22日

イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。

EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...

2024年11月22日

イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。

CyCraftがITmedia Security Week 2024秋で講演、ASMによるセキ...

2024年11月22日

CyCraftは11月29日開催のITmedia Security Week 2024秋にてASM（アタック・サーフェイス・マネジメント）の重要性について講演を実施する。情報セキュリティ人材不足をテーマに、AIによる自動化技術を活用したセキュリティリスク管理の手法を解説。サプライチェーン全体のセキュリティ統制実現に向けた具体的な強化策を提示する予定だ。

CyCraftがITmedia Security Week 2024秋で講演、ASMによるセキ...

2024年11月22日

CyCraftは11月29日開催のITmedia Security Week 2024秋にてASM（アタック・サーフェイス・マネジメント）の重要性について講演を実施する。情報セキュリティ人材不足をテーマに、AIによる自動化技術を活用したセキュリティリスク管理の手法を解説。サプライチェーン全体のセキュリティ統制実現に向けた具体的な強化策を提示する予定だ。

Re-grit Partnersが品質不正対策セミナーを開催、実践的な対応策と点検シートの提供...

2024年11月22日

株式会社Re-grit Partnersが2024年12月19日に品質不正対策の無料セミナーを開催する。セミナーでは品質不正の原因分析と実効性のある対応策を提示し、参加者には支援実績に基づいて作成された品質不正リスク点検シートが提供される。様々な業種での支援経験を活かした実践的な解説により、企業の具体的な課題解決を支援する。

Re-grit Partnersが品質不正対策セミナーを開催、実践的な対応策と点検シートの提供...

2024年11月22日

株式会社Re-grit Partnersが2024年12月19日に品質不正対策の無料セミナーを開催する。セミナーでは品質不正の原因分析と実効性のある対応策を提示し、参加者には支援実績に基づいて作成された品質不正リスク点検シートが提供される。様々な業種での支援経験を活かした実践的な解説により、企業の具体的な課題解決を支援する。

GMOサイバーセキュリティ byイエラエがモンゴル国最大級の商業銀行ゴロムト銀行へ脆弱性診断サ...

2024年11月22日

GMOサイバーセキュリティ byイエラエは、モンゴル国最大級の商業銀行であるゴロムト銀行のWebサイトとスマートフォンアプリに対する脆弱性診断サービスを2024年8月5日から8月23日まで提供した。モンゴル国・ウランバートル市との基本合意書に基づき、デジタル化が進む同国の金融インフラのセキュリティ強化を推進している。国内最大規模のホワイトハッカー組織としての技術力を活かし、サイバー攻撃対策の重要な役割を担っていく。

GMOサイバーセキュリティ byイエラエがモンゴル国最大級の商業銀行ゴロムト銀行へ脆弱性診断サ...

2024年11月22日

GMOサイバーセキュリティ byイエラエは、モンゴル国最大級の商業銀行であるゴロムト銀行のWebサイトとスマートフォンアプリに対する脆弱性診断サービスを2024年8月5日から8月23日まで提供した。モンゴル国・ウランバートル市との基本合意書に基づき、デジタル化が進む同国の金融インフラのセキュリティ強化を推進している。国内最大規模のホワイトハッカー組織としての技術力を活かし、サイバー攻撃対策の重要な役割を担っていく。

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCo...

2024年11月22日

AppleはiOS 18.1.1およびiPadOS 18.1.1で、JavaScriptCoreとWebKitの2つの重要な脆弱性を修正した。GoogleのThreat Analysis Groupが発見した脆弱性は、Intel搭載Macで既に悪用の可能性があり、任意のコード実行やクロスサイトスクリプト攻撃のリスクが存在していた。iPhone XS以降などの対象デバイスに対し、チェック機能の改善とクッキー管理の強化で対策を実施している。

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCo...

2024年11月22日

AppleはiOS 18.1.1およびiPadOS 18.1.1で、JavaScriptCoreとWebKitの2つの重要な脆弱性を修正した。GoogleのThreat Analysis Groupが発見した脆弱性は、Intel搭載Macで既に悪用の可能性があり、任意のコード実行やクロスサイトスクリプト攻撃のリスクが存在していた。iPhone XS以降などの対象デバイスに対し、チェック機能の改善とクッキー管理の強化で対策を実施している。

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...

2024年11月22日

JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...

2024年11月22日

JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。

【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...

2024年11月22日

Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。

【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...

2024年11月22日

Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...

2024年11月22日

Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...

2024年11月22日

Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。

【CVE-2024-11214】SourceCodester Best Employee Ma...

2024年11月22日

SourceCodester Best Employee Management System 1.0のprofile.phpファイルに重大な脆弱性が発見された。【CVE-2024-11214】として識別されるこの脆弱性は、website_image引数を介した無制限アップロードを可能にし、リモートからの攻撃実行のリスクがある。CVSSスコアは最新のバージョン4.0で中程度の5.1を記録し、既に公開されて攻撃に利用される可能性が指摘されている。

【CVE-2024-11214】SourceCodester Best Employee Ma...

2024年11月22日

SourceCodester Best Employee Management System 1.0のprofile.phpファイルに重大な脆弱性が発見された。【CVE-2024-11214】として識別されるこの脆弱性は、website_image引数を介した無制限アップロードを可能にし、リモートからの攻撃実行のリスクがある。CVSSスコアは最新のバージョン4.0で中程度の5.1を記録し、既に公開されて攻撃に利用される可能性が指摘されている。

【CVE-2024-10877】AFI 1.92.0以前にXSS脆弱性、未認証攻撃者によるスク...

2024年11月22日

WordPressプラグインAFI – The Easiest Integration Plugin 1.92.0以前のバージョンにReflected Cross-Site Scriptingの脆弱性が発見された。add_query_argとremove_query_argのURL処理における不適切なエスケープが原因で、未認証の攻撃者が細工したURLを介して任意のスクリプトを実行可能。CVSSスコア6.1のMedium評価で、ユーザーの操作を必要とする攻撃手法となっている。

【CVE-2024-10877】AFI 1.92.0以前にXSS脆弱性、未認証攻撃者によるスク...

2024年11月22日

WordPressプラグインAFI – The Easiest Integration Plugin 1.92.0以前のバージョンにReflected Cross-Site Scriptingの脆弱性が発見された。add_query_argとremove_query_argのURL処理における不適切なエスケープが原因で、未認証の攻撃者が細工したURLを介して任意のスクリプトを実行可能。CVSSスコア6.1のMedium評価で、ユーザーの操作を必要とする攻撃手法となっている。

【CVE-2024-10571】WordPressのChartifyプラグインに重大な脆弱性、...

2024年11月22日

WordPressのChartifyプラグインにおいて、バージョン2.9.5以前に重大な脆弱性が発見された。CVE-2024-10571として特定されたこの脆弱性は、未認証の攻撃者がソースパラメータを介してローカルファイルインクルージョン攻撃を実行可能とするもので、CVSSスコア9.8と非常に高い危険度を示している。攻撃者はサーバー上の任意のファイルを実行でき、アクセス制御の回避や機密データの取得が可能となる。

【CVE-2024-10571】WordPressのChartifyプラグインに重大な脆弱性、...

2024年11月22日

WordPressのChartifyプラグインにおいて、バージョン2.9.5以前に重大な脆弱性が発見された。CVE-2024-10571として特定されたこの脆弱性は、未認証の攻撃者がソースパラメータを介してローカルファイルインクルージョン攻撃を実行可能とするもので、CVSSスコア9.8と非常に高い危険度を示している。攻撃者はサーバー上の任意のファイルを実行でき、アクセス制御の回避や機密データの取得が可能となる。

【CVE-2024-10443】SynologyのBeePhotosとPhotosに深刻な脆弱...

2024年11月22日

SynologyのBeePhotosとSynology Photosの複数バージョンにおいて、Task Managerコンポーネントに重大なコマンドインジェクション脆弱性が発見された。CVSSスコア9.8の最高レベルの深刻度を持つこの脆弱性により、リモートからの任意コード実行が可能となる。PWN2OWN 2024で発見されたこの問題に対し、Synologyは修正版の適用を強く推奨している。

【CVE-2024-10443】SynologyのBeePhotosとPhotosに深刻な脆弱...

2024年11月22日

SynologyのBeePhotosとSynology Photosの複数バージョンにおいて、Task Managerコンポーネントに重大なコマンドインジェクション脆弱性が発見された。CVSSスコア9.8の最高レベルの深刻度を持つこの脆弱性により、リモートからの任意コード実行が可能となる。PWN2OWN 2024で発見されたこの問題に対し、Synologyは修正版の適用を強く推奨している。

【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...

2024年11月22日

lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。

【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...

2024年11月22日

lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。

【CVE-2024-42391】Mongoose Web Server v7.14に発見された...

2024年11月22日

Nozomi Networks Inc.がCesanta社のMongoose Web Server v7.14において範囲外のポインタオフセット使用の脆弱性を発見。攻撃者が特別に細工したTLSパケットを送信することで、意図しないヒープメモリ空間の読み取りが可能となる。CVSSスコア4.3の中程度の深刻度と評価され、バージョン0から7.14までの全てのバージョンが影響を受ける。

【CVE-2024-42391】Mongoose Web Server v7.14に発見された...

2024年11月22日

Nozomi Networks Inc.がCesanta社のMongoose Web Server v7.14において範囲外のポインタオフセット使用の脆弱性を発見。攻撃者が特別に細工したTLSパケットを送信することで、意図しないヒープメモリ空間の読み取りが可能となる。CVSSスコア4.3の中程度の深刻度と評価され、バージョン0から7.14までの全てのバージョンが影響を受ける。

【CVE-2024-42385】Mongoose Web Server v7.14でPEM証明...

2024年11月22日

Nozomi Networks社がCesanta社のMongoose Web Server v7.14において、PEM証明書の区切り文字処理に関する脆弱性を発見した。CVE-2024-42385として識別されるこの脆弱性は、予期しない文字を含むPEM証明書によって境界外メモリ書き込みを引き起こす可能性がある。CVSSスコア4.0のMEDIUM評価であり、v7.14以前のバージョンが影響を受ける。

【CVE-2024-42385】Mongoose Web Server v7.14でPEM証明...

2024年11月22日

Nozomi Networks社がCesanta社のMongoose Web Server v7.14において、PEM証明書の区切り文字処理に関する脆弱性を発見した。CVE-2024-42385として識別されるこの脆弱性は、予期しない文字を含むPEM証明書によって境界外メモリ書き込みを引き起こす可能性がある。CVSSスコア4.0のMEDIUM評価であり、v7.14以前のバージョンが影響を受ける。

【CVE-2024-52613】tsMuxerにヒープバッファ不足の脆弱性、MOV動画ファイル...

2024年11月22日

tsMuxer version nightly-2024-05-12-02-01-18において、ヒープベースのバッファ不足の脆弱性が発見された。この脆弱性は特殊に細工されたMOV形式の動画ファイルを介してサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは5.5のミディアムレベルで、攻撃には特権は不要だがユーザーの関与が必要とされる。SSVCによる評価では技術的影響は部分的で、自動化された攻撃は不可能とされている。

【CVE-2024-52613】tsMuxerにヒープバッファ不足の脆弱性、MOV動画ファイル...

2024年11月22日

tsMuxer version nightly-2024-05-12-02-01-18において、ヒープベースのバッファ不足の脆弱性が発見された。この脆弱性は特殊に細工されたMOV形式の動画ファイルを介してサービス拒否攻撃を引き起こす可能性がある。CVSSスコアは5.5のミディアムレベルで、攻撃には特権は不要だがユーザーの関与が必要とされる。SSVCによる評価では技術的影響は部分的で、自動化された攻撃は不可能とされている。

【CVE-2024-8979】Essential Addons for Elementor 6...

2024年11月22日

WordPressプラグイン「Essential Addons for Elementor」のバージョン6.0.9以前に深刻な脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーが管理者を含む任意のユーザーの認証情報を抽出可能とするもので、CVSSスコア8.0と高い危険度が報告されている。特権昇格につながる可能性があり、早急なアップデートが推奨される。

【CVE-2024-8979】Essential Addons for Elementor 6...

2024年11月22日

WordPressプラグイン「Essential Addons for Elementor」のバージョン6.0.9以前に深刻な脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーが管理者を含む任意のユーザーの認証情報を抽出可能とするもので、CVSSスコア8.0と高い危険度が報告されている。特権昇格につながる可能性があり、早急なアップデートが推奨される。

【CVE-2024-9474】Palo Alto NetworksのPAN-OSに特権昇格の脆...

2024年11月22日

Palo Alto NetworksのPAN-OSソフトウェアの管理Webインターフェースに特権昇格の脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーがルート権限で操作を実行できる状態となっており、PAN-OS 10.1.0から11.2.4未満のバージョンが影響を受ける。Cloud NGFWとPrisma Accessは影響を受けないことが確認されており、各バージョン向けのホットフィックスが提供されている。

【CVE-2024-9474】Palo Alto NetworksのPAN-OSに特権昇格の脆...

2024年11月22日

Palo Alto NetworksのPAN-OSソフトウェアの管理Webインターフェースに特権昇格の脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーがルート権限で操作を実行できる状態となっており、PAN-OS 10.1.0から11.2.4未満のバージョンが影響を受ける。Cloud NGFWとPrisma Accessは影響を受けないことが確認されており、各バージョン向けのホットフィックスが提供されている。

【CVE-2024-41167】Intel Server Board M10JNP2SBファミ...

2024年11月22日

Intel社がServer Board M10JNP2SBファミリーのUEFIファームウェアに存在する重大な脆弱性を公開した。CVE-2024-41167として識別されるこの脆弱性は、特権ユーザーがローカルアクセスを通じて権限昇格を引き起こす可能性がある。CVSSスコアは3.1で7.5、4.0で8.7とHighレベルの深刻度を示しており、早急な対応が求められる。

【CVE-2024-41167】Intel Server Board M10JNP2SBファミ...

2024年11月22日

Intel社がServer Board M10JNP2SBファミリーのUEFIファームウェアに存在する重大な脆弱性を公開した。CVE-2024-41167として識別されるこの脆弱性は、特権ユーザーがローカルアクセスを通じて権限昇格を引き起こす可能性がある。CVSSスコアは3.1で7.5、4.0で8.7とHighレベルの深刻度を示しており、早急な対応が求められる。

【CVE-2024-50148】Linuxカーネルのbnepモジュールで発見された深刻なメモリ...

2024年11月22日

Linuxカーネルの開発チームが、Bluetoothスタックのbnepモジュールに存在する重大な脆弱性【CVE-2024-50148】の修正を公開した。この問題はproto_unregister関数での野性メモリアクセスに関連しており、システムの安定性とセキュリティに深刻な影響を及ぼす可能性がある。修正は2.6.12以降の影響を受けるすべてのバージョンで実施され、各メジャーバージョンで適切なパッチが提供される。

【CVE-2024-50148】Linuxカーネルのbnepモジュールで発見された深刻なメモリ...

2024年11月22日

Linuxカーネルの開発チームが、Bluetoothスタックのbnepモジュールに存在する重大な脆弱性【CVE-2024-50148】の修正を公開した。この問題はproto_unregister関数での野性メモリアクセスに関連しており、システムの安定性とセキュリティに深刻な影響を及ぼす可能性がある。修正は2.6.12以降の影響を受けるすべてのバージョンで実施され、各メジャーバージョンで適切なパッチが提供される。

【CVE-2024-50202】Linuxカーネルnilfs2のディレクトリ読み取りエラー、重...

2024年11月22日

Linuxカーネルのnilfs2ファイルシステムで発見されたディレクトリ読み取りエラーの問題に対する重要な修正がリリースされた。nilfs_find_entry()関数でのエラー処理の不備により、特定の条件下でタスクがハングする可能性があった問題が解決され、エラーの適切な伝播機能が実装された。この修正により、ファイルシステムの信頼性と安定性が大幅に向上することが期待される。

【CVE-2024-50202】Linuxカーネルnilfs2のディレクトリ読み取りエラー、重...

2024年11月22日

Linuxカーネルのnilfs2ファイルシステムで発見されたディレクトリ読み取りエラーの問題に対する重要な修正がリリースされた。nilfs_find_entry()関数でのエラー処理の不備により、特定の条件下でタスクがハングする可能性があった問題が解決され、エラーの適切な伝播機能が実装された。この修正により、ファイルシステムの信頼性と安定性が大幅に向上することが期待される。

【CVE-2024-43462】Microsoft SQL Server 2016-2019に...

2024年11月22日

MicrosoftがSQL Server Native Clientにおけるリモートコード実行の脆弱性を公開。CVSSスコア8.8の高リスクと評価され、SQL Server 2016 Service Pack 3からSQL Server 2019まで広範なバージョンに影響。攻撃成功時は機密性と整合性、可用性に重大な影響を与える可能性があり、システム管理者による速やかなアップデート適用が推奨される。

【CVE-2024-43462】Microsoft SQL Server 2016-2019に...

2024年11月22日

MicrosoftがSQL Server Native Clientにおけるリモートコード実行の脆弱性を公開。CVSSスコア8.8の高リスクと評価され、SQL Server 2016 Service Pack 3からSQL Server 2019まで広範なバージョンに影響。攻撃成功時は機密性と整合性、可用性に重大な影響を与える可能性があり、システム管理者による速やかなアップデート適用が推奨される。