Tech Insights

【CVE-2024-45099】IBM Security ReaQta 3.12に深刻なクロスサイトスクリプティングの脆弱性が発見、特権ユーザーによる攻撃のリスクに

【CVE-2024-45099】IBM Security ReaQta 3.12に深刻なクロス...

IBMは2024年11月14日、IBM Security ReaQta 3.12においてクロスサイトスクリプティングの脆弱性を発見したことを公開した。CVE-2024-45099として識別されるこの脆弱性は、特権ユーザーによる任意のJavaScriptコードの埋め込みを可能にし、Web UIの機能改変や認証情報の漏洩につながる可能性がある。CVSSスコアは3.1(Low)と評価されているものの、早急な対応が推奨される。

【CVE-2024-45099】IBM Security ReaQta 3.12に深刻なクロス...

IBMは2024年11月14日、IBM Security ReaQta 3.12においてクロスサイトスクリプティングの脆弱性を発見したことを公開した。CVE-2024-45099として識別されるこの脆弱性は、特権ユーザーによる任意のJavaScriptコードの埋め込みを可能にし、Web UIの機能改変や認証情報の漏洩につながる可能性がある。CVSSスコアは3.1(Low)と評価されているものの、早急な対応が推奨される。

【CVE-2024-49510】Adobe InDesign Desktopに境界外読み取りの脆弱性、機密メモリ開示のリスクが判明

【CVE-2024-49510】Adobe InDesign Desktopに境界外読み取りの...

Adobe InDesign DesktopのID18.5.3、ID19.5以前のバージョンに境界外読み取りの脆弱性が発見された。CVSSスコア5.5の中程度の脆弱性として【CVE-2024-49510】が割り当てられ、機密メモリの開示やASLRバイパスのリスクが指摘されている。攻撃には悪意のあるファイルを開く必要があり、ユーザーの操作が不可欠となる。早急なアップデートと不審なファイルの取り扱いに注意が必要だ。

【CVE-2024-49510】Adobe InDesign Desktopに境界外読み取りの...

Adobe InDesign DesktopのID18.5.3、ID19.5以前のバージョンに境界外読み取りの脆弱性が発見された。CVSSスコア5.5の中程度の脆弱性として【CVE-2024-49510】が割り当てられ、機密メモリの開示やASLRバイパスのリスクが指摘されている。攻撃には悪意のあるファイルを開く必要があり、ユーザーの操作が不可欠となる。早急なアップデートと不審なファイルの取り扱いに注意が必要だ。

【CVE-2024-52352】WordPress Postcasa Shortcode 1.0にXSS脆弱性が発見、中程度の深刻度で対策が必要に

【CVE-2024-52352】WordPress Postcasa Shortcode 1....

WordPressプラグインPostcasa Shortcode 1.0以下にクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-52352として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されており、特権レベルとユーザーインタラクションが必要となる。機密性・整合性・可用性のすべてに低レベルの影響が想定されており、早急な対策が求められる。

【CVE-2024-52352】WordPress Postcasa Shortcode 1....

WordPressプラグインPostcasa Shortcode 1.0以下にクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-52352として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されており、特権レベルとユーザーインタラクションが必要となる。機密性・整合性・可用性のすべてに低レベルの影響が想定されており、早急な対策が求められる。

【CVE-2024-51604】WordPressのMedia Modalプラグインに脆弱性、バージョン1.0.2以前のユーザーに影響

【CVE-2024-51604】WordPressのMedia Modalプラグインに脆弱性、...

WordPressのMedia Modalプラグインにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51604として識別されるこの脆弱性は、バージョン1.0.2以前に影響を及ぼし、CVSS3.1でベーススコア6.5のミディアムレベルと評価されている。Patchstack Allianceに所属するSOPROBROによって発見され、機密性や整合性、可用性に限定的な影響を及ぼす可能性がある。

【CVE-2024-51604】WordPressのMedia Modalプラグインに脆弱性、...

WordPressのMedia Modalプラグインにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51604として識別されるこの脆弱性は、バージョン1.0.2以前に影響を及ぼし、CVSS3.1でベーススコア6.5のミディアムレベルと評価されている。Patchstack Allianceに所属するSOPROBROによって発見され、機密性や整合性、可用性に限定的な影響を及ぼす可能性がある。

【CVE-2024-51592】WordPress用プラグインMeta Store Elementsにクロスサイトスクリプティングの脆弱性、早急な対応が必要に

【CVE-2024-51592】WordPress用プラグインMeta Store Eleme...

Patchstack OÜは2024年11月9日、WordPress用プラグインMeta Store Elementsにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。この脆弱性はバージョン1.0.9以前に存在しており、DOM-BasedのXSSが可能な状態であることが判明。CVSSスコアは6.5でMedium(中程度)と評価されており、早急な対応が求められる。

【CVE-2024-51592】WordPress用プラグインMeta Store Eleme...

Patchstack OÜは2024年11月9日、WordPress用プラグインMeta Store Elementsにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。この脆弱性はバージョン1.0.9以前に存在しており、DOM-BasedのXSSが可能な状態であることが判明。CVSSスコアは6.5でMedium(中程度)と評価されており、早急な対応が求められる。

【CVE-2024-49381】Plentiの任意のファイル削除の脆弱性が発見、バージョン0.7.2で修正完了

【CVE-2024-49381】Plentiの任意のファイル削除の脆弱性が発見、バージョン0....

静的サイトジェネレーターPlentiにおいて、バージョン0.7.2未満に任意のファイル削除の脆弱性が発見された。/postLocalエンドポイントが影響を受けており、CVSSスコアは7.7(HIGH)と評価されている。この脆弱性は【CVE-2024-49381】として識別され、攻撃に特権レベルは不要だが利用者の関与が必要とされている。影響を受けるバージョンを使用しているユーザーは速やかにバージョン0.7.2へのアップデートが推奨される。

【CVE-2024-49381】Plentiの任意のファイル削除の脆弱性が発見、バージョン0....

静的サイトジェネレーターPlentiにおいて、バージョン0.7.2未満に任意のファイル削除の脆弱性が発見された。/postLocalエンドポイントが影響を受けており、CVSSスコアは7.7(HIGH)と評価されている。この脆弱性は【CVE-2024-49381】として識別され、攻撃に特権レベルは不要だが利用者の関与が必要とされている。影響を受けるバージョンを使用しているユーザーは速やかにバージョン0.7.2へのアップデートが推奨される。

【CVE-2024-11065】D-Link DSL6740Cモデムに重大な脆弱性、管理者権限でのコマンド実行が可能に

【CVE-2024-11065】D-Link DSL6740Cモデムに重大な脆弱性、管理者権限...

D-Link DSL6740CモデムにおいてOSコマンドインジェクションの脆弱性が発見された。CVE-2024-11065として識別されるこの脆弱性は、管理者権限を持つ攻撃者がSSHとTelnetを介して任意のシステムコマンドを実行可能。CVSSスコア7.2の高リスク脆弱性として評価され、早急な対策が必要とされている。影響範囲は機密性・完全性・可用性に及ぶ可能性がある。

【CVE-2024-11065】D-Link DSL6740Cモデムに重大な脆弱性、管理者権限...

D-Link DSL6740CモデムにおいてOSコマンドインジェクションの脆弱性が発見された。CVE-2024-11065として識別されるこの脆弱性は、管理者権限を持つ攻撃者がSSHとTelnetを介して任意のシステムコマンドを実行可能。CVSSスコア7.2の高リスク脆弱性として評価され、早急な対策が必要とされている。影響範囲は機密性・完全性・可用性に及ぶ可能性がある。

【CVE-2024-11063】D-Link DSL6740CモデムにOS Command Injection脆弱性、管理者権限で任意コマンド実行が可能に

【CVE-2024-11063】D-Link DSL6740CモデムにOS Command I...

D-Link DSL6740CモデムにOS Command Injection脆弱性が発見され、管理者権限を持つ攻撃者がSSHやTelnetを介して任意のシステムコマンドを実行できる問題が明らかになった。CVE-2024-11063として識別されるこの脆弱性は、CVSS v3.1で7.2のスコアを記録し、機密性・整合性・可用性のすべてに高レベルの影響が想定される深刻な問題となっている。

【CVE-2024-11063】D-Link DSL6740CモデムにOS Command I...

D-Link DSL6740CモデムにOS Command Injection脆弱性が発見され、管理者権限を持つ攻撃者がSSHやTelnetを介して任意のシステムコマンドを実行できる問題が明らかになった。CVE-2024-11063として識別されるこの脆弱性は、CVSS v3.1で7.2のスコアを記録し、機密性・整合性・可用性のすべてに高レベルの影響が想定される深刻な問題となっている。

【CVE-2024-9539】GitHub Enterprise Serverで情報漏洩の脆弱性、SVGファイルを利用した攻撃に注意

【CVE-2024-9539】GitHub Enterprise Serverで情報漏洩の脆弱...

GitHubはGitHub Enterprise Serverにおいて、攻撃者がアップロードしたアセットURLを介してユーザーのメタデータ情報を取得できる情報漏洩の脆弱性を公開した。この脆弱性はCVE-2024-9539として識別され、CVSSスコア5.7(MEDIUM)と評価された。バージョン3.14.2、3.13.5、3.12.10、3.11.16でパッチが提供され、修正が完了している。

【CVE-2024-9539】GitHub Enterprise Serverで情報漏洩の脆弱...

GitHubはGitHub Enterprise Serverにおいて、攻撃者がアップロードしたアセットURLを介してユーザーのメタデータ情報を取得できる情報漏洩の脆弱性を公開した。この脆弱性はCVE-2024-9539として識別され、CVSSスコア5.7(MEDIUM)と評価された。バージョン3.14.2、3.13.5、3.12.10、3.11.16でパッチが提供され、修正が完了している。

【CVE-2024-8376】Eclipse Mosquitto 2.0.18にメモリリークの脆弱性、セキュリティアップデートで対応完了

【CVE-2024-8376】Eclipse Mosquitto 2.0.18にメモリリークの...

Eclipse Foundationは2024年10月11日、Eclipse Mosquittoのバージョン2.0.18以前に深刻な脆弱性を確認した。特定のパケットシーケンスによってメモリリークやセグメンテーション違反、ヒープメモリの使用後解放などの問題が発生する可能性がある。CVSSスコアは7.2で深刻度「HIGH」と評価され、10月31日にリリースされたバージョン2.0.19で修正された。

【CVE-2024-8376】Eclipse Mosquitto 2.0.18にメモリリークの...

Eclipse Foundationは2024年10月11日、Eclipse Mosquittoのバージョン2.0.18以前に深刻な脆弱性を確認した。特定のパケットシーケンスによってメモリリークやセグメンテーション違反、ヒープメモリの使用後解放などの問題が発生する可能性がある。CVSSスコアは7.2で深刻度「HIGH」と評価され、10月31日にリリースされたバージョン2.0.19で修正された。

【CVE-2024-51662】WordPress用プラグインBlack Widgets For Elementorに深刻な脆弱性が発見、早急なアップデートの適用が必要に

【CVE-2024-51662】WordPress用プラグインBlack Widgets Fo...

WordPress用プラグインBlack Widgets For Elementorのバージョン1.3.6以前に、重大な格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が発見された。CVE-2024-51662として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されている。開発元のModernaweb Studioは既にバージョン1.3.7で修正を実施しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2024-51662】WordPress用プラグインBlack Widgets Fo...

WordPress用プラグインBlack Widgets For Elementorのバージョン1.3.6以前に、重大な格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が発見された。CVE-2024-51662として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されている。開発元のModernaweb Studioは既にバージョン1.3.7で修正を実施しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度化を実現へ

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度...

NTTコミュニケーションズが開発したAI Advisorは、NTTの大規模言語モデルtsuzumiを活用し、セキュリティ運用を支援するソリューションだ。2025年1月からの提供開始を予定しており、セキュリティアラートを95%削減可能。顧客独自の情報をもとにチューニングされ、NTTの独自ノウハウやIoC情報も学習することで、より高度な回答を生成する。

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度...

NTTコミュニケーションズが開発したAI Advisorは、NTTの大規模言語モデルtsuzumiを活用し、セキュリティ運用を支援するソリューションだ。2025年1月からの提供開始を予定しており、セキュリティアラートを95%削減可能。顧客独自の情報をもとにチューニングされ、NTTの独自ノウハウやIoC情報も学習することで、より高度な回答を生成する。

【CVE-2024-37365】FactoryTalk View MEにリモートコード実行の脆弱性、製造プロセスへの影響が懸念される事態に

【CVE-2024-37365】FactoryTalk View MEにリモートコード実行の脆...

Rockwell AutomationのFactoryTalk View Machine Editionにリモートコード実行の脆弱性が発見された。CVE-2024-37365として識別されたこの脆弱性は、パブリックディレクトリへのプロジェクト保存とマクロを介した任意のコード実行を可能にし、製造プロセスに重大な影響を及ぼす可能性がある。CVSSスコアは7.3と高く、早急な対応が必要とされている。

【CVE-2024-37365】FactoryTalk View MEにリモートコード実行の脆...

Rockwell AutomationのFactoryTalk View Machine Editionにリモートコード実行の脆弱性が発見された。CVE-2024-37365として識別されたこの脆弱性は、パブリックディレクトリへのプロジェクト保存とマクロを介した任意のコード実行を可能にし、製造プロセスに重大な影響を及ぼす可能性がある。CVSSスコアは7.3と高く、早急な対応が必要とされている。

【CVE-2024-47450】Adobe Illustrator 28.7.1にヒープベースバッファオーバーフロー脆弱性、任意のコード実行のリスクに警戒

【CVE-2024-47450】Adobe Illustrator 28.7.1にヒープベース...

Adobe Illustrator 28.7.1以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで現在のユーザーコンテキストでの任意のコード実行が可能となる。機密性・完全性・可用性すべてに高い影響を与える可能性があり、早急な対応が求められる状況だ。

【CVE-2024-47450】Adobe Illustrator 28.7.1にヒープベース...

Adobe Illustrator 28.7.1以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで現在のユーザーコンテキストでの任意のコード実行が可能となる。機密性・完全性・可用性すべてに高い影響を与える可能性があり、早急な対応が求められる状況だ。

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆...

WordPressプラグインGenooにおいて、バージョン6.0.10以前に影響するDOM-Based XSSの脆弱性が発見された。CVSSスコアは6.5(MEDIUM)と評価され、攻撃には特権レベルとユーザー操作が必要とされるものの、機密性・整合性・可用性すべてに影響を及ぼす可能性がある。WordPressサイト管理者は早急なアップデートが推奨される。

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆...

WordPressプラグインGenooにおいて、バージョン6.0.10以前に影響するDOM-Based XSSの脆弱性が発見された。CVSSスコアは6.5(MEDIUM)と評価され、攻撃には特権レベルとユーザー操作が必要とされるものの、機密性・整合性・可用性すべてに影響を及ぼす可能性がある。WordPressサイト管理者は早急なアップデートが推奨される。

【CVE-2024-51610】WordPress Display Terms Shortcode1.0.4以下でXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-51610】WordPress Display Terms Shortco...

WordPress用プラグインDisplay Terms Shortcodeにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51610として識別されるこの脆弱性は、バージョン1.0.4以下に影響を与え、CVSSスコア6.5(MEDIUM)と評価されている。攻撃成功時は機密性・完全性・可用性すべてに影響が及ぶ可能性があり、早急な対応が求められる。

【CVE-2024-51610】WordPress Display Terms Shortco...

WordPress用プラグインDisplay Terms Shortcodeにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51610として識別されるこの脆弱性は、バージョン1.0.4以下に影響を与え、CVSSスコア6.5(MEDIUM)と評価されている。攻撃成功時は機密性・完全性・可用性すべてに影響が及ぶ可能性があり、早急な対応が求められる。

【CVE-2024-51603】WordPressプラグインNMR Strava activitiesにXSS脆弱性が発見、バージョン1.0.6以前に影響

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51594】WordPress用プラグインGmap Point List 1.1.2にXSS脆弱性、メディアムレベルの危険性が判明

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-34662】Samsung MobileのActivityManagerに脆弱性、アクセス制御の不備で特権的操作が可能に

【CVE-2024-34662】Samsung MobileのActivityManagerに...

Samsung MobileはActivityManagerにおける不適切なアクセス制御の脆弱性【CVE-2024-34662】を公開した。Android 12、13のSMR Oct-2024 Release 1およびAndroid 14のSMR Sep-2024 Release 1以前のバージョンが影響を受け、ローカル攻撃者による特権的な操作が可能となる。CVSSスコアは6.2を記録し、アップデートによる対応が推奨されている。

【CVE-2024-34662】Samsung MobileのActivityManagerに...

Samsung MobileはActivityManagerにおける不適切なアクセス制御の脆弱性【CVE-2024-34662】を公開した。Android 12、13のSMR Oct-2024 Release 1およびAndroid 14のSMR Sep-2024 Release 1以前のバージョンが影響を受け、ローカル攻撃者による特権的な操作が可能となる。CVSSスコアは6.2を記録し、アップデートによる対応が推奨されている。

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理者権限での攻撃が可能な状態に

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理...

VulDBは2024年11月12日、ZZCMS 2023のmsg.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11130】として識別され、keywordパラメータを操作することでXSS攻撃が可能となる。管理者権限での遠隔攻撃が可能で、CVSS v4.0のスコアは5.1(MEDIUM)を記録。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理...

VulDBは2024年11月12日、ZZCMS 2023のmsg.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11130】として識別され、keywordパラメータを操作することでXSS攻撃が可能となる。管理者権限での遠隔攻撃が可能で、CVSS v4.0のスコアは5.1(MEDIUM)を記録。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-11127】code-projects Job Recruitment 1.0でSQL injection脆弱性、管理者機能に重大な影響

【CVE-2024-11127】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。

【CVE-2024-11127】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。

【CVE-2024-49512】InDesign Desktop ID19.5以前にOOBR脆弱性、機密情報漏洩のリスクに警戒

【CVE-2024-49512】InDesign Desktop ID19.5以前にOOBR脆...

Adobe社がInDesign Desktop ID18.5.3、ID19.5以前のバージョンにおいて重大な脆弱性を確認した。Out-Of-Bounds Read(OOBR)による機密メモリの情報漏洩が可能となっており、攻撃者がASLRなどの保護機能を回避できる状態となっている。CVSSスコアは5.5(Medium)で、攻撃には利用者による悪意のあるファイルの開封が必要となる。

【CVE-2024-49512】InDesign Desktop ID19.5以前にOOBR脆...

Adobe社がInDesign Desktop ID18.5.3、ID19.5以前のバージョンにおいて重大な脆弱性を確認した。Out-Of-Bounds Read(OOBR)による機密メモリの情報漏洩が可能となっており、攻撃者がASLRなどの保護機能を回避できる状態となっている。CVSSスコアは5.5(Medium)で、攻撃には利用者による悪意のあるファイルの開封が必要となる。

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリプティングの脆弱性が発見、早急なパッチ適用が推奨される状況に

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリ...

Public CMS 5.202406.dのVoting Management機能において、/admin/cmsVote/saveファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3でMediumレベルと評価されており、特権レベルが低い状態でもリモートからの攻撃が可能なことから、早急なパッチ適用による対策が推奨されている。パッチはb9530b9cc1f5cfdad4b637874f59029a6283a65cとして提供されている。

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリ...

Public CMS 5.202406.dのVoting Management機能において、/admin/cmsVote/saveファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3でMediumレベルと評価されており、特権レベルが低い状態でもリモートからの攻撃が可能なことから、早急なパッチ適用による対策が推奨されている。パッチはb9530b9cc1f5cfdad4b637874f59029a6283a65cとして提供されている。

【CVE-2024-11125】GetSimpleCMS 3.3.16にクロスサイトリクエストフォージェリの脆弱性、早急な対応が必要に

【CVE-2024-11125】GetSimpleCMS 3.3.16にクロスサイトリクエスト...

GetSimpleCMS 3.3.16においてprofile.phpファイルに関連するクロスサイトリクエストフォージェリの脆弱性が発見され、CVE-2024-11125として識別された。CVSSスコアは6.9を記録し、リモートからの攻撃が可能な状態である。ベンダーへの報告に対して反応がなく、早急な対応が求められている。

【CVE-2024-11125】GetSimpleCMS 3.3.16にクロスサイトリクエスト...

GetSimpleCMS 3.3.16においてprofile.phpファイルに関連するクロスサイトリクエストフォージェリの脆弱性が発見され、CVE-2024-11125として識別された。CVSSスコアは6.9を記録し、リモートからの攻撃が可能な状態である。ベンダーへの報告に対して反応がなく、早急な対応が求められている。

【CVE-2024-50236】Linux kernelのath10kドライバーにメモリリークの脆弱性が発見、修正パッチの適用を推奨

【CVE-2024-50236】Linux kernelのath10kドライバーにメモリリーク...

Linux kernelのWiFiドライバーath10kにおいて、管理パケットTX処理時のメモリリークが発見された。この脆弱性はCVE-2024-50236として報告され、16バイトのメモリが未解放となる問題が確認されている。kmemleak診断ツールにより検出されたこの問題に対し、複数のバージョンで修正パッチが提供された。システムの安定性確保のため、該当バージョンを使用している場合は修正パッチの適用が推奨される。

【CVE-2024-50236】Linux kernelのath10kドライバーにメモリリーク...

Linux kernelのWiFiドライバーath10kにおいて、管理パケットTX処理時のメモリリークが発見された。この脆弱性はCVE-2024-50236として報告され、16バイトのメモリが未解放となる問題が確認されている。kmemleak診断ツールにより検出されたこの問題に対し、複数のバージョンで修正パッチが提供された。システムの安定性確保のため、該当バージョンを使用している場合は修正パッチの適用が推奨される。

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ参照の脆弱性、複数バージョンで修正パッチを提供

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ...

Linuxカーネルの開発チームが、qmp-usbドライバーにおけるNULLポインタ参照の脆弱性【CVE-2024-50240】の修正パッチをリリース。この問題は、プラットフォームデバイスドライバーデータの初期化不備に起因し、ランタイムサスペンド時にシステムの不安定化を引き起こす可能性がある。Linux 6.2以降のバージョンが影響を受け、6.6.60、6.11.7、6.12-rc6などで修正が提供された。

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ...

Linuxカーネルの開発チームが、qmp-usbドライバーにおけるNULLポインタ参照の脆弱性【CVE-2024-50240】の修正パッチをリリース。この問題は、プラットフォームデバイスドライバーデータの初期化不備に起因し、ランタイムサスペンド時にシステムの不安定化を引き起こす可能性がある。Linux 6.2以降のバージョンが影響を受け、6.6.60、6.11.7、6.12-rc6などで修正が提供された。

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メモリ管理機能の改善でセキュリティ強化へ

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メ...

Linux kernelの開発チームが、BPF機能のメモリ管理における重要な脆弱性の修正パッチをリリース。bpf_iter_bits_new()関数でのnr_wordsパラメータの検証不足により、特定条件下でスタック破損が発生する可能性があった。修正により最大値を511に制限し、bpf_mem_alloc_check_size()ヘルパーを導入することで、より安全なメモリ管理を実現。Linux kernel 6.11.7以降で問題が解決されている。

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メ...

Linux kernelの開発チームが、BPF機能のメモリ管理における重要な脆弱性の修正パッチをリリース。bpf_iter_bits_new()関数でのnr_wordsパラメータの検証不足により、特定条件下でスタック破損が発生する可能性があった。修正により最大値を511に制限し、bpf_mem_alloc_check_size()ヘルパーを導入することで、より安全なメモリ管理を実現。Linux kernel 6.11.7以降で問題が解決されている。

【CVE-2024-50256】Linux kernelのnetfilterモジュールに重大な脆弱性、nf_send_reset6()のクラッシュ問題に対処

【CVE-2024-50256】Linux kernelのnetfilterモジュールに重大な...

Linux kernelの開発チームがnetfilterモジュールのnf_reject_ipv6コンポーネントにおける重大な脆弱性を修正。CVE-2024-50256として識別されたこの問題は、nf_send_reset6()関数でのクラッシュを引き起こす可能性があり、dev->hard_header_lenが0の状態でイーサネットヘッダー処理を試みることが原因。LL_MAX_HEADERを使用することで安定性を確保し、11月9日に修正版をリリース。

【CVE-2024-50256】Linux kernelのnetfilterモジュールに重大な...

Linux kernelの開発チームがnetfilterモジュールのnf_reject_ipv6コンポーネントにおける重大な脆弱性を修正。CVE-2024-50256として識別されたこの問題は、nf_send_reset6()関数でのクラッシュを引き起こす可能性があり、dev->hard_header_lenが0の状態でイーサネットヘッダー処理を試みることが原因。LL_MAX_HEADERを使用することで安定性を確保し、11月9日に修正版をリリース。

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大な脆弱性が発見、システムクラッシュのリスクに

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大...

Linuxカーネル4.16以降のバージョンにおいて、gso_max_sizeやgso_ipv4_max_sizeの設定値が小さい場合にシステムクラッシュを引き起こす重大な脆弱性が発見された。sk_dst_gso_max_size()関数でのアンダーフローにより、sk->sk_gso_max_sizeがデバイス制限を超過する問題が確認されている。6.6.60、6.11.7、6.12-rc6などの最新バージョンで修正パッチが提供され、最小値チェックの実装により問題が解決された。

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大...

Linuxカーネル4.16以降のバージョンにおいて、gso_max_sizeやgso_ipv4_max_sizeの設定値が小さい場合にシステムクラッシュを引き起こす重大な脆弱性が発見された。sk_dst_gso_max_size()関数でのアンダーフローにより、sk->sk_gso_max_sizeがデバイス制限を超過する問題が確認されている。6.6.60、6.11.7、6.12-rc6などの最新バージョンで修正パッチが提供され、最小値チェックの実装により問題が解決された。

【CVE-2024-50252】Linuxカーネルのmlxswドライバーにおけるメモリリーク脆弱性、IPv6アドレス管理機能を改善

【CVE-2024-50252】Linuxカーネルのmlxswドライバーにおけるメモリリーク脆...

Linuxカーネルのmlxswドライバーにおいて、spectrum_ipip機能のリモートIPv6アドレス変更時にメモリリークが発生する脆弱性が発見された。ip6greネットワークデバイスのリモートアドレス変更時に新しいアドレスがハッシュテーブルに追加されず、古いアドレスも削除されない問題が存在し、参照カウントの適切な処理による修正が実施された。

【CVE-2024-50252】Linuxカーネルのmlxswドライバーにおけるメモリリーク脆...

Linuxカーネルのmlxswドライバーにおいて、spectrum_ipip機能のリモートIPv6アドレス変更時にメモリリークが発生する脆弱性が発見された。ip6greネットワークデバイスのリモートアドレス変更時に新しいアドレスがハッシュテーブルに追加されず、古いアドレスも削除されない問題が存在し、参照カウントの適切な処理による修正が実施された。