Tech Insights

【CVE-2024-11667】Zyxelの複数ファームウェアにディレクトリトラバーサルの脆弱性、CVSSスコア7.5の高リスク

【CVE-2024-11667】Zyxelの複数ファームウェアにディレクトリトラバーサルの脆弱...

Zyxel Corporationは2024年11月27日、ATP seriesやUSG FLEX seriesなど4シリーズのファームウェアにディレクトリトラバーサルの脆弱性が存在することを公表した。この脆弱性により、攻撃者は細工されたURLを使用して対象システム上のファイルを不正に操作することが可能となる。CVSSスコアは7.5と高く、早急な対策が求められている。

【CVE-2024-11667】Zyxelの複数ファームウェアにディレクトリトラバーサルの脆弱...

Zyxel Corporationは2024年11月27日、ATP seriesやUSG FLEX seriesなど4シリーズのファームウェアにディレクトリトラバーサルの脆弱性が存在することを公表した。この脆弱性により、攻撃者は細工されたURLを使用して対象システム上のファイルを不正に操作することが可能となる。CVSSスコアは7.5と高く、早急な対策が求められている。

【CVE-2024-9763】Tungsten AutomationのPower PDFに情報漏洩の脆弱性、悪意のあるPDFファイルによる攻撃の可能性

【CVE-2024-9763】Tungsten AutomationのPower PDFに情報...

Zero Day InitiativeはTungsten AutomationのPower PDFにPDFファイル解析時のOut-Of-Bounds Read脆弱性を発見した。この脆弱性はCVE-2024-9763として識別され、バージョン5.0.0.10.0.23307に影響を与える。深刻度はCVSS v3.0で3.3(Low)と評価されているが、他の脆弱性と組み合わせることで任意のコード実行につながる可能性があり、特に企業環境での注意が必要だ。

【CVE-2024-9763】Tungsten AutomationのPower PDFに情報...

Zero Day InitiativeはTungsten AutomationのPower PDFにPDFファイル解析時のOut-Of-Bounds Read脆弱性を発見した。この脆弱性はCVE-2024-9763として識別され、バージョン5.0.0.10.0.23307に影響を与える。深刻度はCVSS v3.0で3.3(Low)と評価されているが、他の脆弱性と組み合わせることで任意のコード実行につながる可能性があり、特に企業環境での注意が必要だ。

KnowBe4がAIディフェンスエージェントAIDAを発表、ヒューマンリスク管理の自動化と高度化を実現する新システム

KnowBe4がAIディフェンスエージェントAIDAを発表、ヒューマンリスク管理の自動化と高度...

KnowBe4が新しいAIネイティブセキュリティエージェントスイート「AIDA」を発表した。AIDAは316の指標を活用して個別最適化されたセキュリティトレーニングを提供し、4種類の特化型エージェントによってヒューマンリスク管理を自動化・強化する。LastPass社の調査でAIによるフィッシング検知の困難さが指摘される中、組織のセキュリティ対策の進化を支援する。

KnowBe4がAIディフェンスエージェントAIDAを発表、ヒューマンリスク管理の自動化と高度...

KnowBe4が新しいAIネイティブセキュリティエージェントスイート「AIDA」を発表した。AIDAは316の指標を活用して個別最適化されたセキュリティトレーニングを提供し、4種類の特化型エージェントによってヒューマンリスク管理を自動化・強化する。LastPass社の調査でAIによるフィッシング検知の困難さが指摘される中、組織のセキュリティ対策の進化を支援する。

HANATOUR JAPANがSecurifyを導入、グローバル開発におけるセキュリティテストの効率化を実現

HANATOUR JAPANがSecurifyを導入、グローバル開発におけるセキュリティテスト...

株式会社スリーシェイクは、インバウンド専門の総合旅行会社HANATOUR JAPANへのセキュリティツールSecurifyの導入事例を公開した。BtoBtoCサイト運営における開発速度とセキュリティテストの両立、日本とベトナムでの同時利用という課題に対し、SaaS型のセキュリティツールによって効率的な運用を実現。IT資産の棚卸しから脆弱性診断まで、包括的なセキュリティ対策を提供している。

HANATOUR JAPANがSecurifyを導入、グローバル開発におけるセキュリティテスト...

株式会社スリーシェイクは、インバウンド専門の総合旅行会社HANATOUR JAPANへのセキュリティツールSecurifyの導入事例を公開した。BtoBtoCサイト運営における開発速度とセキュリティテストの両立、日本とベトナムでの同時利用という課題に対し、SaaS型のセキュリティツールによって効率的な運用を実現。IT資産の棚卸しから脆弱性診断まで、包括的なセキュリティ対策を提供している。

【CVE-2024-53059】Linuxカーネルのiwlwifiドライバーに脆弱性、パケット処理の不備が修正される

【CVE-2024-53059】Linuxカーネルのiwlwifiドライバーに脆弱性、パケット...

Linuxカーネルのwifiドライバー「iwlwifi」において、レスポンスパケットのサイズ検証不足とバッファー解放の不備が発見された。この脆弱性は「iwl_mvm_send_recovery_cmd()」関数に存在し、「iwl_mvm_send_cmd_status()」関数への切り替えによって修正された。影響を受けるバージョンは5.1以降の複数のLinuxバージョンであり、各バージョン向けの修正パッチが提供されている。

【CVE-2024-53059】Linuxカーネルのiwlwifiドライバーに脆弱性、パケット...

Linuxカーネルのwifiドライバー「iwlwifi」において、レスポンスパケットのサイズ検証不足とバッファー解放の不備が発見された。この脆弱性は「iwl_mvm_send_recovery_cmd()」関数に存在し、「iwl_mvm_send_cmd_status()」関数への切り替えによって修正された。影響を受けるバージョンは5.1以降の複数のLinuxバージョンであり、各バージョン向けの修正パッチが提供されている。

【CVE-2024-11971】jpress 5.1.2のアバターアップロード機能にクロスサイトスクリプティングの脆弱性、遠隔からの攻撃が可能に

【CVE-2024-11971】jpress 5.1.2のアバターアップロード機能にクロスサイ...

Guizhou Xiaoma Technology社のjpress 5.1.2において、Avatar Handler機能のファイルアップロードにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11971として識別されるこの脆弱性は、CVSS 4.0で5.3(Medium)と評価され、リモートからの攻撃が可能で、特権レベルは低く、ユーザーインタラクションも不要とされている。

【CVE-2024-11971】jpress 5.1.2のアバターアップロード機能にクロスサイ...

Guizhou Xiaoma Technology社のjpress 5.1.2において、Avatar Handler機能のファイルアップロードにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11971として識別されるこの脆弱性は、CVSS 4.0で5.3(Medium)と評価され、リモートからの攻撃が可能で、特権レベルは低く、ユーザーインタラクションも不要とされている。

【CVE-2024-11996】code-projectsのFarmacia 1.0にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2024-11996】code-projectsのFarmacia 1.0にクロスサ...

code-projects社のFarmacia 1.0において、editar-fornecedor.phpファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。cidadeパラメータを操作することでリモートからの攻撃が可能で、CVSS 4.0でMediumレベルの深刻度5.3を記録している。この脆弱性は一般に公開されており、他のパラメータにも影響を及ぼす可能性があるため、早急な対応が求められる。

【CVE-2024-11996】code-projectsのFarmacia 1.0にクロスサ...

code-projects社のFarmacia 1.0において、editar-fornecedor.phpファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。cidadeパラメータを操作することでリモートからの攻撃が可能で、CVSS 4.0でMediumレベルの深刻度5.3を記録している。この脆弱性は一般に公開されており、他のパラメータにも影響を及ぼす可能性があるため、早急な対応が求められる。

【CVE-2024-11966】PHPGurukul CMS 1.0にSQLインジェクションの脆弱性、管理画面での認証バイパスのリスクが深刻化

【CVE-2024-11966】PHPGurukul CMS 1.0にSQLインジェクションの...

PHPGurukulのComplaint Management System 1.0において、admin/index.phpのusernameパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5と高い深刻度を示しており、リモートからの攻撃が可能な状態。既に公開されているため、早急な対策が必要とされている。管理画面での認証機能に関わる脆弱性であり、データベースの不正操作や情報漏洩のリスクが懸念される。

【CVE-2024-11966】PHPGurukul CMS 1.0にSQLインジェクションの...

PHPGurukulのComplaint Management System 1.0において、admin/index.phpのusernameパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5と高い深刻度を示しており、リモートからの攻撃が可能な状態。既に公開されているため、早急な対策が必要とされている。管理画面での認証機能に関わる脆弱性であり、データベースの不正操作や情報漏洩のリスクが懸念される。

【CVE-2024-11959】D-Link DIR-605L 2.13B01にバッファオーバーフロー脆弱性、リモートからの攻撃が可能に

【CVE-2024-11959】D-Link DIR-605L 2.13B01にバッファオーバ...

D-Link DIR-605L 2.13B01において、formResetStatistic関数に関連するバッファオーバーフロー脆弱性が発見された。この脆弱性はCVE-2024-11959として識別され、curTime引数の操作によってバッファオーバーフローが発生する可能性がある。CVSSスコアは8.7-8.8と高く評価されており、リモートからの攻撃が可能で既に公開された状態となっている。

【CVE-2024-11959】D-Link DIR-605L 2.13B01にバッファオーバ...

D-Link DIR-605L 2.13B01において、formResetStatistic関数に関連するバッファオーバーフロー脆弱性が発見された。この脆弱性はCVE-2024-11959として識別され、curTime引数の操作によってバッファオーバーフローが発生する可能性がある。CVSSスコアは8.7-8.8と高く評価されており、リモートからの攻撃が可能で既に公開された状態となっている。

【CVE-2024-11675】CodeAstro Hospital Management System 1.0にXSS脆弱性、患者情報の安全性に懸念

【CVE-2024-11675】CodeAstro Hospital Management S...

CodeAstro Hospital Management System 1.0において、患者情報登録ページ(his_admin_register_patient.php)に重大なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3を記録するこの脆弱性は、複数の患者情報入力パラメータに影響を及ぼし、リモートからの攻撃が可能な状態である。すでに一般公開されており、早急な対策が必要とされている。

【CVE-2024-11675】CodeAstro Hospital Management S...

CodeAstro Hospital Management System 1.0において、患者情報登録ページ(his_admin_register_patient.php)に重大なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.3を記録するこの脆弱性は、複数の患者情報入力パラメータに影響を及ぼし、リモートからの攻撃が可能な状態である。すでに一般公開されており、早急な対策が必要とされている。

【CVE-2024-8844】PDF-XChange Editorで情報漏洩の脆弱性が発見、メモリ読み取りの問題で修正が必要に

【CVE-2024-8844】PDF-XChange Editorで情報漏洩の脆弱性が発見、メ...

Zero Day InitiativeはPDF-XChange Editorのバージョン10.3.0.386に情報漏洩の脆弱性が存在することを報告した。CVE-2024-8844として識別されるこの問題は、PDFファイルの解析時にメモリの範囲外読み取りが発生する可能性があり、他の脆弱性と組み合わせることで任意のコード実行につながる危険性がある。深刻度はCVSS v3.0で3.3(Low)と評価されている。

【CVE-2024-8844】PDF-XChange Editorで情報漏洩の脆弱性が発見、メ...

Zero Day InitiativeはPDF-XChange Editorのバージョン10.3.0.386に情報漏洩の脆弱性が存在することを報告した。CVE-2024-8844として識別されるこの問題は、PDFファイルの解析時にメモリの範囲外読み取りが発生する可能性があり、他の脆弱性と組み合わせることで任意のコード実行につながる危険性がある。深刻度はCVSS v3.0で3.3(Low)と評価されている。

【CVE-2024-8820】PDF-XChange Editor 10.3.0.386にU3Dファイル解析の脆弱性、情報漏洩のリスクに注意

【CVE-2024-8820】PDF-XChange Editor 10.3.0.386にU3...

PDF-XChange Editor 10.3.0.386においてU3Dファイルの解析処理に関連する境界外読み取りの脆弱性が発見された。CVE-2024-8820として識別されるこの脆弱性は、ユーザーが提供するデータの適切な検証が行われていないことに起因する。攻撃者は割り当てられたバッファの範囲外を読み取ることが可能となり、他の脆弱性と組み合わせることで任意のコード実行につながる可能性がある。

【CVE-2024-8820】PDF-XChange Editor 10.3.0.386にU3...

PDF-XChange Editor 10.3.0.386においてU3Dファイルの解析処理に関連する境界外読み取りの脆弱性が発見された。CVE-2024-8820として識別されるこの脆弱性は、ユーザーが提供するデータの適切な検証が行われていないことに起因する。攻撃者は割り当てられたバッファの範囲外を読み取ることが可能となり、他の脆弱性と組み合わせることで任意のコード実行につながる可能性がある。

【CVE-2024-8824】PDF-XChange EditorにJB2ファイル解析の脆弱性、情報漏洩のリスクに注意

【CVE-2024-8824】PDF-XChange EditorにJB2ファイル解析の脆弱性...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editor 10.3.0.386においてJB2ファイル解析の脆弱性を発見したことを公開した。CVE-2024-8824として識別されるこの脆弱性は、ユーザーが悪意のあるページやファイルにアクセスすることで情報漏洩が発生する可能性がある。CVSSスコアは3.3(Low)と評価されているものの、他の脆弱性と組み合わせることで任意のコード実行につながる危険性もある。

【CVE-2024-8824】PDF-XChange EditorにJB2ファイル解析の脆弱性...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editor 10.3.0.386においてJB2ファイル解析の脆弱性を発見したことを公開した。CVE-2024-8824として識別されるこの脆弱性は、ユーザーが悪意のあるページやファイルにアクセスすることで情報漏洩が発生する可能性がある。CVSSスコアは3.3(Low)と評価されているものの、他の脆弱性と組み合わせることで任意のコード実行につながる危険性もある。

【CVE-2024-8817】PDF-XChange Editor 10.3.0.386にU3Dファイル解析の脆弱性、任意のコード実行が可能に

【CVE-2024-8817】PDF-XChange Editor 10.3.0.386にU3...

Zero Day Initiativeは、PDF-XChange Editorバージョン10.3.0.386においてU3Dファイル解析時の脆弱性を公開した。この脆弱性は【CVE-2024-8817】として識別され、CVSS 3.0で7.8(High)と評価されている。ユーザーが悪意のあるページを訪問するか、悪意のあるファイルを開くことで、攻撃者による任意のコード実行が可能となる重大な脅威である。

【CVE-2024-8817】PDF-XChange Editor 10.3.0.386にU3...

Zero Day Initiativeは、PDF-XChange Editorバージョン10.3.0.386においてU3Dファイル解析時の脆弱性を公開した。この脆弱性は【CVE-2024-8817】として識別され、CVSS 3.0で7.8(High)と評価されている。ユーザーが悪意のあるページを訪問するか、悪意のあるファイルを開くことで、攻撃者による任意のコード実行が可能となる重大な脅威である。

【CVE-2024-8814】PDF-XChange Editor 10.3.0.386にリモートコード実行の脆弱性、U3Dファイル解析時の深刻な問題に注意

【CVE-2024-8814】PDF-XChange Editor 10.3.0.386にリモ...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editor 10.3.0.386にリモートコード実行を可能にする深刻な脆弱性を発見したことを公開した。U3Dファイルの解析処理におけるバッファオーバーリードの脆弱性により、攻撃者は細工したファイルを通じて任意のコードを実行できる可能性がある。CVSSスコアは7.8で深刻度は高く、早急な対応が必要とされている。

【CVE-2024-8814】PDF-XChange Editor 10.3.0.386にリモ...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editor 10.3.0.386にリモートコード実行を可能にする深刻な脆弱性を発見したことを公開した。U3Dファイルの解析処理におけるバッファオーバーリードの脆弱性により、攻撃者は細工したファイルを通じて任意のコードを実行できる可能性がある。CVSSスコアは7.8で深刻度は高く、早急な対応が必要とされている。

【CVE-2024-11997】code-projects Farmacia 1.0に深刻な脆弱性、クロスサイトスクリプティング攻撃が可能に

【CVE-2024-11997】code-projects Farmacia 1.0に深刻な脆...

code-projects社のFarmacia 1.0において、/vendas.phpファイル内のnotaFiscal引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11997として識別されるこの脆弱性は、リモートからの攻撃が可能で既に一般に公開されている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価されており、早急な対策が必要とされている。

【CVE-2024-11997】code-projects Farmacia 1.0に深刻な脆...

code-projects社のFarmacia 1.0において、/vendas.phpファイル内のnotaFiscal引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-11997として識別されるこの脆弱性は、リモートからの攻撃が可能で既に一般に公開されている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価されており、早急な対策が必要とされている。

【CVE-2024-11995】code-projects Farmacia 1.0にXSS脆弱性が発見、決済処理ページに深刻な影響のおそれ

【CVE-2024-11995】code-projects Farmacia 1.0にXSS脆...

VulDBは2024年11月29日、code-projects Farmacia 1.0のpagamento.phpファイルにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア5.3で評価されるこの脆弱性は、total引数の不適切な処理に起因しており、リモートからの攻撃が可能とされている。既に一般公開されており、早急な対応が求められる事態となっている。

【CVE-2024-11995】code-projects Farmacia 1.0にXSS脆...

VulDBは2024年11月29日、code-projects Farmacia 1.0のpagamento.phpファイルにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア5.3で評価されるこの脆弱性は、total引数の不適切な処理に起因しており、リモートからの攻撃が可能とされている。既に一般公開されており、早急な対応が求められる事態となっている。

【CVE-2024-11960】D-Link DIR-605L 2.13B01でバッファオーバーフロー脆弱性、リモート攻撃のリスクが深刻化

【CVE-2024-11960】D-Link DIR-605L 2.13B01でバッファオーバ...

D-Link DIR-605L 2.13B01において、formSetPortTr機能に関連する重大なバッファオーバーフローの脆弱性が発見された。この脆弱性はリモートからの攻撃が可能で、CVSS 4.0で8.7の高スコアを記録。curTime引数の操作によってバッファオーバーフローが発生する可能性があり、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。早急な対応が求められる状況となっている。

【CVE-2024-11960】D-Link DIR-605L 2.13B01でバッファオーバ...

D-Link DIR-605L 2.13B01において、formSetPortTr機能に関連する重大なバッファオーバーフローの脆弱性が発見された。この脆弱性はリモートからの攻撃が可能で、CVSS 4.0で8.7の高スコアを記録。curTime引数の操作によってバッファオーバーフローが発生する可能性があり、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。早急な対応が求められる状況となっている。

【CVE-2024-11743】SourceCodester Best House Rental System 1.0に深刻な脆弱性、クロスサイトリクエストフォージェリの問題が発覚

【CVE-2024-11743】SourceCodester Best House Renta...

セキュリティ研究者により、SourceCodester Best House Rental Management System 1.0に重大な脆弱性が発見された。この脆弱性はCVE-2024-11743として識別され、/rental/ajax.php?action=delete_userファイルのPOSTリクエストハンドラに関連するクロスサイトリクエストフォージェリの問題を含んでいる。CVSSスコアは最大で6.9(中程度)を記録し、遠隔からの攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-11743】SourceCodester Best House Renta...

セキュリティ研究者により、SourceCodester Best House Rental Management System 1.0に重大な脆弱性が発見された。この脆弱性はCVE-2024-11743として識別され、/rental/ajax.php?action=delete_userファイルのPOSTリクエストハンドラに関連するクロスサイトリクエストフォージェリの問題を含んでいる。CVSSスコアは最大で6.9(中程度)を記録し、遠隔からの攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-11742】Best House Rental Management System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクが発生

【CVE-2024-11742】Best House Rental Management Sy...

SourceCodester社のBest House Rental Management System 1.0において、ajax.phpファイルに関連するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-11742として識別されるこの脆弱性は、lastnameやfirstname、middlenameといったパラメータの処理に起因しており、リモートからの攻撃が可能である点が深刻だ。既に公開されている脆弱性のため、早急な対応が求められる。

【CVE-2024-11742】Best House Rental Management Sy...

SourceCodester社のBest House Rental Management System 1.0において、ajax.phpファイルに関連するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-11742として識別されるこの脆弱性は、lastnameやfirstname、middlenameといったパラメータの処理に起因しており、リモートからの攻撃が可能である点が深刻だ。既に公開されている脆弱性のため、早急な対応が求められる。

【CVE-2024-11664】eNMS version 4.2にパストラバーサルの脆弱性、深刻度の高いリスクに緊急対応が必要

【CVE-2024-11664】eNMS version 4.2にパストラバーサルの脆弱性、深...

eNMSのversion 4.2以前のバージョンにおいて、TGZファイルハンドラーのmultiselect_filtering機能にパストラバーサルの脆弱性が発見された。CVSSスコアは最大8.8と高く、リモートからの攻撃が可能で低権限での実行も可能なため、早急なパッチ適用が推奨される。パッチIDは22b0b443acca740fc83b5544165c1f53eff3f529として提供されている。

【CVE-2024-11664】eNMS version 4.2にパストラバーサルの脆弱性、深...

eNMSのversion 4.2以前のバージョンにおいて、TGZファイルハンドラーのmultiselect_filtering機能にパストラバーサルの脆弱性が発見された。CVSSスコアは最大8.8と高く、リモートからの攻撃が可能で低権限での実行も可能なため、早急なパッチ適用が推奨される。パッチIDは22b0b443acca740fc83b5544165c1f53eff3f529として提供されている。

【CVE-2024-11998】code-projects Farmacia 1.0にSQL injection脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11998】code-projects Farmacia 1.0にSQL ...

2024年11月30日、VulDBはcode-projects Farmacia 1.0のvisualizer-forneccedor.chpファイルにSQL injection脆弱性が存在することを公開した。CVE-2024-11998として識別されるこの脆弱性は、リモートから攻撃可能でありCVSS 4.0スコアは5.3(Medium)と評価されている。既に攻撃コードが公開されており、早急な対応が必要とされる。

【CVE-2024-11998】code-projects Farmacia 1.0にSQL ...

2024年11月30日、VulDBはcode-projects Farmacia 1.0のvisualizer-forneccedor.chpファイルにSQL injection脆弱性が存在することを公開した。CVE-2024-11998として識別されるこの脆弱性は、リモートから攻撃可能でありCVSS 4.0スコアは5.3(Medium)と評価されている。既に攻撃コードが公開されており、早急な対応が必要とされる。

code-projects Simple Car Rental System 1.0にSQL injection脆弱性、リモートからの攻撃が可能に

code-projects Simple Car Rental System 1.0にSQL ...

code-projects Simple Car Rental System 1.0のlogin.phpファイルにSQL injection脆弱性が発見され、CVE-2024-11962として公開された。unameパラメータの不適切な処理により、リモートからの攻撃が可能となっている。CVSSスコアは最大7.3(HIGH)を記録しており、早急な対応が必要とされている。

code-projects Simple Car Rental System 1.0にSQL ...

code-projects Simple Car Rental System 1.0のlogin.phpファイルにSQL injection脆弱性が発見され、CVE-2024-11962として公開された。unameパラメータの不適切な処理により、リモートからの攻撃が可能となっている。CVSSスコアは最大7.3(HIGH)を記録しており、早急な対応が必要とされている。

【CVE-2024-9675】BuildahでRUN命令によるホストディレクトリの任意マウントが可能な脆弱性が発見、対策パッチのアップデートを推奨

【CVE-2024-9675】BuildahでRUN命令によるホストディレクトリの任意マウント...

Red Hat社が開発するコンテナビルドツールBuildahで、キャッシュマウントの検証が適切に行われていない脆弱性が発見された。CVE-2024-9675として識別されるこの脆弱性では、ContainerfileのRUN命令を利用してホスト上の任意のディレクトリをコンテナにマウントできる状態になっており、データ漏洩やシステムの改ざんなどのリスクが存在する。CVSSスコアは4.4(MEDIUM)と評価されている。

【CVE-2024-9675】BuildahでRUN命令によるホストディレクトリの任意マウント...

Red Hat社が開発するコンテナビルドツールBuildahで、キャッシュマウントの検証が適切に行われていない脆弱性が発見された。CVE-2024-9675として識別されるこの脆弱性では、ContainerfileのRUN命令を利用してホスト上の任意のディレクトリをコンテナにマウントできる状態になっており、データ漏洩やシステムの改ざんなどのリスクが存在する。CVSSスコアは4.4(MEDIUM)と評価されている。

【CVE-2024-8846】PDF-XChange Editor 10.3.1.387にTIFファイル解析の脆弱性、情報漏洩のリスクに注意

【CVE-2024-8846】PDF-XChange Editor 10.3.1.387にTI...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editorに存在する情報漏洩の脆弱性を公開した。TIFファイルの解析処理における不適切なユーザー入力の検証により、メモリ領域外の読み取りが可能となる脆弱性が発見された。CVSSスコアは3.3(Low)と評価されており、ユーザーの操作を必要とする条件付きの脆弱性だが、他の脆弱性と組み合わせることで深刻な影響を及ぼす可能性がある。

【CVE-2024-8846】PDF-XChange Editor 10.3.1.387にTI...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editorに存在する情報漏洩の脆弱性を公開した。TIFファイルの解析処理における不適切なユーザー入力の検証により、メモリ領域外の読み取りが可能となる脆弱性が発見された。CVSSスコアは3.3(Low)と評価されており、ユーザーの操作を必要とする条件付きの脆弱性だが、他の脆弱性と組み合わせることで深刻な影響を及ぼす可能性がある。

【CVE-2024-11787】Fuji Electric Monitouch V-SFT V10にリモートコード実行の脆弱性、製造現場のセキュリティリスクが深刻化

【CVE-2024-11787】Fuji Electric Monitouch V-SFT V...

Fuji Electric Monitouch V-SFT V10にスタックベースのバッファオーバーフローの脆弱性が発見された。CVE-2024-11787として識別されるこの脆弱性は、CVSSスコア7.8の高リスク評価となっている。悪意のあるファイルを開くことで任意のコード実行が可能となり、産業用制御システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-11787】Fuji Electric Monitouch V-SFT V...

Fuji Electric Monitouch V-SFT V10にスタックベースのバッファオーバーフローの脆弱性が発見された。CVE-2024-11787として識別されるこの脆弱性は、CVSSスコア7.8の高リスク評価となっている。悪意のあるファイルを開くことで任意のコード実行が可能となり、産業用制御システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-11745】Tenda AC8に重大な脆弱性、リモートからの攻撃でシステム全体に影響の恐れ

【CVE-2024-11745】Tenda AC8に重大な脆弱性、リモートからの攻撃でシステム...

Tenda AC8 16.03.34.09においてroute_static_check関数に重大な脆弱性が発見された。この脆弱性は/goform/SetStaticRouteCfgファイル内に存在し、リモートからの攻撃が可能なスタックベースバッファオーバーフローを引き起こす可能性がある。CVSSスコアは8.7-9.0と高く、機密性・整合性・可用性すべてに深刻な影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-11745】Tenda AC8に重大な脆弱性、リモートからの攻撃でシステム...

Tenda AC8 16.03.34.09においてroute_static_check関数に重大な脆弱性が発見された。この脆弱性は/goform/SetStaticRouteCfgファイル内に存在し、リモートからの攻撃が可能なスタックベースバッファオーバーフローを引き起こす可能性がある。CVSSスコアは8.7-9.0と高く、機密性・整合性・可用性すべてに深刻な影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-46905】WhatsUp GoldにSQLインジェクションの脆弱性、管理者権限昇格のリスクが判明

【CVE-2024-46905】WhatsUp GoldにSQLインジェクションの脆弱性、管理...

Progress Software社のネットワーク監視ツールWhatsUp Goldにおいて、2024.0.1より前のバージョンにSQLインジェクションの脆弱性が発見された。Network Manager以上の権限を持つユーザーが管理者権限に昇格可能で、CVSSスコア8.8と高い深刻度に分類されている。Trend Micro Zero Day Initiativeと協力するSummoning Teamによって発見されたこの脆弱性は、最新版への更新で対処可能となっている。

【CVE-2024-46905】WhatsUp GoldにSQLインジェクションの脆弱性、管理...

Progress Software社のネットワーク監視ツールWhatsUp Goldにおいて、2024.0.1より前のバージョンにSQLインジェクションの脆弱性が発見された。Network Manager以上の権限を持つユーザーが管理者権限に昇格可能で、CVSSスコア8.8と高い深刻度に分類されている。Trend Micro Zero Day Initiativeと協力するSummoning Teamによって発見されたこの脆弱性は、最新版への更新で対処可能となっている。

【CVE-2024-7510】Trimble SketchUp 22.0.354.0にuse-after-free脆弱性、リモートコード実行の危険性が浮上

【CVE-2024-7510】Trimble SketchUp 22.0.354.0にuse-...

Trimble SketchUpのSKPファイル解析機能において、use-after-free脆弱性(CVE-2024-7510)が発見された。CVSSスコア7.8の高リスク脆弱性として評価され、悪意のあるページやファイルを通じて任意のコード実行が可能となる。影響を受けるバージョンは22.0.354.0で、攻撃にはユーザーの操作が必要だが特権は不要とされている。

【CVE-2024-7510】Trimble SketchUp 22.0.354.0にuse-...

Trimble SketchUpのSKPファイル解析機能において、use-after-free脆弱性(CVE-2024-7510)が発見された。CVSSスコア7.8の高リスク脆弱性として評価され、悪意のあるページやファイルを通じて任意のコード実行が可能となる。影響を受けるバージョンは22.0.354.0で、攻撃にはユーザーの操作が必要だが特権は不要とされている。

【CVE-2024-8848】PDF-XChange Editorに範囲外読み取りの脆弱性、情報漏洩のリスクに注意

【CVE-2024-8848】PDF-XChange Editorに範囲外読み取りの脆弱性、情...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editor 10.3.1.387にAcroForm処理における範囲外読み取りの脆弱性を発見したと報告した。CVE-2024-8848として識別されたこの脆弱性は、CVSSスコア3.3のLow評価だが、悪意のあるPDFファイルを開くことで攻撃者が機密情報を取得できる可能性がある。

【CVE-2024-8848】PDF-XChange Editorに範囲外読み取りの脆弱性、情...

Zero Day Initiativeは2024年11月22日、PDF-XChange Editor 10.3.1.387にAcroForm処理における範囲外読み取りの脆弱性を発見したと報告した。CVE-2024-8848として識別されたこの脆弱性は、CVSSスコア3.3のLow評価だが、悪意のあるPDFファイルを開くことで攻撃者が機密情報を取得できる可能性がある。