Tech Insights

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnullポインタ参照の脆弱性が発見、システムの安定性に影響

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnu...

kernel.orgは2024年11月9日、LinuxカーネルのBluetoothスタックにおける重要な脆弱性CVE-2024-50255を公開した。この脆弱性は__hci_cmd_sync_sk()関数が未知のopcodeに対してNULLを返すことにより、hci_read_supported_codecs関数でnullポインタ参照が発生する問題となっている。影響を受けるバージョンは5.17から6.1.115までで、最新版では修正済みとなっている。

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnu...

kernel.orgは2024年11月9日、LinuxカーネルのBluetoothスタックにおける重要な脆弱性CVE-2024-50255を公開した。この脆弱性は__hci_cmd_sync_sk()関数が未知のopcodeに対してNULLを返すことにより、hci_read_supported_codecs関数でnullポインタ参照が発生する問題となっている。影響を受けるバージョンは5.17から6.1.115までで、最新版では修正済みとなっている。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプリケーションの機密性と整合性に影響

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3(MEDIUM)を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3(MEDIUM)を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限の不正取得が可能に

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深...

Artifex Ghostscriptの10.04.0より前のバージョンにおいて、psi/zfile.cのfilenameforall機能に重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、攻撃者による任意のコード実行が可能となる。特別な権限は不要だがユーザーの関与が必要となる点が特徴的だ。CISAの分析では自動化可能な攻撃への脆弱性も指摘されており、早急な対応が求められる。

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深...

Artifex Ghostscriptの10.04.0より前のバージョンにおいて、psi/zfile.cのfilenameforall機能に重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、攻撃者による任意のコード実行が可能となる。特別な権限は不要だがユーザーの関与が必要となる点が特徴的だ。CISAの分析では自動化可能な攻撃への脆弱性も指摘されており、早急な対応が求められる。

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Content Security Policyの脆弱性に対処

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Co...

Appleは2024年10月28日、iOS 18.1、iPadOS 18.1、tvOS 18.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1など主要OSのセキュリティアップデートを実施した。このアップデートではContent Security Policyの実装における脆弱性【CVE-2024-44296】が修正され、悪意のあるWebコンテンツによるセキュリティポリシーの回避リスクが軽減された。NVDによる評価では、この脆弱性の深刻度はCVSS v3.1でミディアム(5.4)に分類されている。

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Co...

Appleは2024年10月28日、iOS 18.1、iPadOS 18.1、tvOS 18.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1など主要OSのセキュリティアップデートを実施した。このアップデートではContent Security Policyの実装における脆弱性【CVE-2024-44296】が修正され、悪意のあるWebコンテンツによるセキュリティポリシーの回避リスクが軽減された。NVDによる評価では、この脆弱性の深刻度はCVSS v3.1でミディアム(5.4)に分類されている。

【CVE-2024-47443】Adobe After Effects 24.6.2以前に境界外書き込みの脆弱性が発見、任意コード実行のリスクに警戒

【CVE-2024-47443】Adobe After Effects 24.6.2以前に境界...

Adobe After Effectsのバージョン23.6.9および24.6.2以前に、境界外書き込みの脆弱性が発見された。CVE-2024-47443として識別されるこの脆弱性は、攻撃者が悪意のあるファイルを用意し、ユーザーにそれを開かせることで任意のコードを実行できる可能性がある。CVSSスコアは7.8と高く、早急な対応が求められる状況だ。

【CVE-2024-47443】Adobe After Effects 24.6.2以前に境界...

Adobe After Effectsのバージョン23.6.9および24.6.2以前に、境界外書き込みの脆弱性が発見された。CVE-2024-47443として識別されるこの脆弱性は、攻撃者が悪意のあるファイルを用意し、ユーザーにそれを開かせることで任意のコードを実行できる可能性がある。CVSSスコアは7.8と高く、早急な対応が求められる状況だ。

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの脆弱性、情報漏洩とASLR回避のリスクに警戒

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの...

Adobeは2024年11月12日、After Effects 23.6.9および24.6.2以前のバージョンに影響を与えるメモリ読み取りの脆弱性を公開した。CVE-2024-47446として識別されるこの脆弱性は、攻撃者が機密メモリの内容を読み取ることでASLRなどの保護機能を回避する可能性がある。CVSSスコアは5.5と中程度だが、機密性への影響は高く評価されており、早急な対応が推奨される。

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの...

Adobeは2024年11月12日、After Effects 23.6.9および24.6.2以前のバージョンに影響を与えるメモリ読み取りの脆弱性を公開した。CVE-2024-47446として識別されるこの脆弱性は、攻撃者が機密メモリの内容を読み取ることでASLRなどの保護機能を回避する可能性がある。CVSSスコアは5.5と中程度だが、機密性への影響は高く評価されており、早急な対応が推奨される。

【CVE-2024-36507】FortiClientWindowsにDLLハイジャックの脆弱性、複数バージョンで任意コード実行のリスク

【CVE-2024-36507】FortiClientWindowsにDLLハイジャックの脆弱...

FortiClientWindowsの複数バージョンで信頼されていない検索パスの脆弱性が発見された。影響を受けるバージョンは7.4.0、7.2.0から7.2.4、7.0.0から7.0.12で、CVSSスコアは6.7(Medium)と評価されている。DLLハイジャックとソーシャルエンジニアリングを介して攻撃者が任意のコードを実行できる危険性があり、早急な対応が推奨される。

【CVE-2024-36507】FortiClientWindowsにDLLハイジャックの脆弱...

FortiClientWindowsの複数バージョンで信頼されていない検索パスの脆弱性が発見された。影響を受けるバージョンは7.4.0、7.2.0から7.2.4、7.0.0から7.0.12で、CVSSスコアは6.7(Medium)と評価されている。DLLハイジャックとソーシャルエンジニアリングを介して攻撃者が任意のコードを実行できる危険性があり、早急な対応が推奨される。

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ参照の脆弱性、ランタイムサスペンド時の深刻な問題に対処

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ...

Linuxカーネル開発チームは、qmp-usbcドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50238】を修正するアップデートを公開した。この問題は、プラットフォームデバイスドライバデータの初期化処理が誤って削除されたことに起因しており、ランタイムサスペンド時にNULLポインタ参照が発生する可能性がある。影響を受けるのはLinux 6.9から6.11系列の一部のバージョンとなっている。

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ...

Linuxカーネル開発チームは、qmp-usbcドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50238】を修正するアップデートを公開した。この問題は、プラットフォームデバイスドライバデータの初期化処理が誤って削除されたことに起因しており、ランタイムサスペンド時にNULLポインタ参照が発生する可能性がある。影響を受けるのはLinux 6.9から6.11系列の一部のバージョンとなっている。

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシステムのセキュリティが向上へ

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシ...

Linux kernelにおいて、ntfs3ファイルシステムのntfs_file_release機能に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50242】として識別され、Linux version 6.6.60、6.11.7、6.12-rc3で修正が実装された。kernel.orgを通じて提供される修正パッチにより、NTFSファイルシステムの安全性が大幅に向上することが期待される。

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシ...

Linux kernelにおいて、ntfs3ファイルシステムのntfs_file_release機能に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50242】として識別され、Linux version 6.6.60、6.11.7、6.12-rc3で修正が実装された。kernel.orgを通じて提供される修正パッチにより、NTFSファイルシステムの安全性が大幅に向上することが期待される。

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ整合性とセキュリティに影響

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ...

Linuxカーネルのfsdaxモジュールにおいて、dax_unshare_iterがブロック全体をコピーしない重大な脆弱性が発見された。この問題により、fsblock境界に位置が揃っていない場合にデータの整合性が損なわれ、ユーザーデータの破損や機密情報の漏洩のリスクがある。影響を受けるバージョンは6.2から6.11まで多岐にわたり、各バージョン向けに修正パッチが提供されている。

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ...

Linuxカーネルのfsdaxモジュールにおいて、dax_unshare_iterがブロック全体をコピーしない重大な脆弱性が発見された。この問題により、fsblock境界に位置が揃っていない場合にデータの整合性が損なわれ、ユーザーデータの破損や機密情報の漏洩のリスクがある。影響を受けるバージョンは6.2から6.11まで多岐にわたり、各バージョン向けに修正パッチが提供されている。

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-after-free脆弱性、参照カウント管理方式による修正を実施

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-aft...

Linuxカーネルのmacsecコンポーネントで発見されたuse-after-free脆弱性【CVE-2024-50261】に対する修正が2024年11月9日に実施された。metadata_dstの不適切な解放タイミングに起因する問題に対し、参照カウントベースのdst_release()を採用することで、より安全なメモリ管理を実現。影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-aft...

Linuxカーネルのmacsecコンポーネントで発見されたuse-after-free脆弱性【CVE-2024-50261】に対する修正が2024年11月9日に実施された。metadata_dstの不適切な解放タイミングに起因する問題に対し、参照カウントベースのdst_release()を採用することで、より安全なメモリ管理を実現。影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモリ読み取りの脆弱性、セキュリティ対策の回避が可能に

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモ...

Adobeは、After Effectsのバージョン23.6.9、24.6.2以前に存在するメモリの範囲外読み取りの脆弱性【CVE-2024-47444】を公開した。この脆弱性は、ユーザーが悪意のあるファイルを開くことで発動し、攻撃者がASLRなどのセキュリティ対策を回避できる可能性がある。CVSSスコアは5.5(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモ...

Adobeは、After Effectsのバージョン23.6.9、24.6.2以前に存在するメモリの範囲外読み取りの脆弱性【CVE-2024-47444】を公開した。この脆弱性は、ユーザーが悪意のあるファイルを開くことで発動し、攻撃者がASLRなどのセキュリティ対策を回避できる可能性がある。CVSSスコアは5.5(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプティングの脆弱性が発見、遠隔からの攻撃が可能に

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-48838】Dell SmartFabric OS10 Softwareに脆弱性、外部からのファイルシステムアクセスが可能な状態に

【CVE-2024-48838】Dell SmartFabric OS10 Softwareに...

Dellは2024年11月12日、SmartFabric OS10 Softwareのバージョン10.5.3.x、10.5.4.x、10.5.5.xにおいて、Files or Directories Accessible to External Partiesの脆弱性を公開した。この脆弱性はCVE-2024-48838として識別され、ローカルアクセス権限を持つ攻撃者によってファイルシステムへのアクセスが可能になる状態であることが判明している。現在、バージョン10.5.6.xでは修正済みである。

【CVE-2024-48838】Dell SmartFabric OS10 Softwareに...

Dellは2024年11月12日、SmartFabric OS10 Softwareのバージョン10.5.3.x、10.5.4.x、10.5.5.xにおいて、Files or Directories Accessible to External Partiesの脆弱性を公開した。この脆弱性はCVE-2024-48838として識別され、ローカルアクセス権限を持つ攻撃者によってファイルシステムへのアクセスが可能になる状態であることが判明している。現在、バージョン10.5.6.xでは修正済みである。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェクション脆弱性、データベース改ざんのリスクで緊急アップデートを推奨

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。

【CVE-2024-49508】Adobe InDesign Desktop ID19.5に深刻な脆弱性、任意のコード実行のリスクで即時対応が必要に

【CVE-2024-49508】Adobe InDesign Desktop ID19.5に深...

Adobe InDesign Desktop ID18.5.2、ID19.5およびそれ以前のバージョンにおいて、ヒープベースのバッファオーバーフローの脆弱性が発見された。CVSSスコア7.8と高い深刻度を示しており、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、攻撃の複雑さが低く特権も不要なため、早急な対応が推奨される。

【CVE-2024-49508】Adobe InDesign Desktop ID19.5に深...

Adobe InDesign Desktop ID18.5.2、ID19.5およびそれ以前のバージョンにおいて、ヒープベースのバッファオーバーフローの脆弱性が発見された。CVSSスコア7.8と高い深刻度を示しており、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、攻撃の複雑さが低く特権も不要なため、早急な対応が推奨される。

【CVE-2024-49509】InDesign DesktopのID19.5以前にヒープベースバッファオーバーフローの脆弱性、任意のコード実行が可能に

【CVE-2024-49509】InDesign DesktopのID19.5以前にヒープベー...

AdobeのInDesign Desktop ID18.5.3およびID19.5以前のバージョンにおいて、ヒープベースバッファオーバーフローの脆弱性が発見された。悪意のあるファイルを開くことで任意のコード実行が可能となる深刻な問題で、CVSSスコアは7.8と高く評価されている。この脆弱性は現在のユーザー権限でコードが実行される可能性があり、早急な対応が必要とされている。

【CVE-2024-49509】InDesign DesktopのID19.5以前にヒープベー...

AdobeのInDesign Desktop ID18.5.3およびID19.5以前のバージョンにおいて、ヒープベースバッファオーバーフローの脆弱性が発見された。悪意のあるファイルを開くことで任意のコード実行が可能となる深刻な問題で、CVSSスコアは7.8と高く評価されている。この脆弱性は現在のユーザー権限でコードが実行される可能性があり、早急な対応が必要とされている。

【CVE-2024-9822】Pedalo Connector 2.0.5に認証バイパスの脆弱性、管理者権限への不正アクセスの危険性が浮上

【CVE-2024-9822】Pedalo Connector 2.0.5に認証バイパスの脆弱...

WordPressプラグインのPedalo Connectorにおいて、バージョン2.0.5以前に深刻な認証バイパスの脆弱性が発見された。login_admin_user関数の実装における制限の不備により、認証されていないユーザーが管理者権限を取得可能な状態となっている。CVSSスコア9.8のクリティカルな脆弱性として評価されており、早急な対応が必要とされている。

【CVE-2024-9822】Pedalo Connector 2.0.5に認証バイパスの脆弱...

WordPressプラグインのPedalo Connectorにおいて、バージョン2.0.5以前に深刻な認証バイパスの脆弱性が発見された。login_admin_user関数の実装における制限の不備により、認証されていないユーザーが管理者権限を取得可能な状態となっている。CVSSスコア9.8のクリティカルな脆弱性として評価されており、早急な対応が必要とされている。

【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフォルダ読み取りが可能に

【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフ...

parisneo/lollms-webuiのapi open_personality_folder endpointにパストラバーサル脆弱性が発見された。この脆弱性はpersonality_folderパラメータの不適切な処理により、攻撃者が被害者のコンピュータ上の任意のフォルダを読み取ることを可能にする。CVSSスコアは4.4で中程度の深刻度と評価され、バージョン5.9.0より前のバージョンが影響を受ける。

【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフ...

parisneo/lollms-webuiのapi open_personality_folder endpointにパストラバーサル脆弱性が発見された。この脆弱性はpersonality_folderパラメータの不適切な処理により、攻撃者が被害者のコンピュータ上の任意のフォルダを読み取ることを可能にする。CVSSスコアは4.4で中程度の深刻度と評価され、バージョン5.9.0より前のバージョンが影響を受ける。

【CVE-2024-5474】Lenovo Dolby Vision Provisioningソフトウェアに情報開示の脆弱性、新規インストール時に権限昇格のリスク

【CVE-2024-5474】Lenovo Dolby Vision Provisioning...

LenovoはDolby Vision Provisioningソフトウェアのバージョン2.0.0.2未満に情報開示の脆弱性が存在することを公開した。CVE-2024-5474として識別されるこの脆弱性は、ローカル攻撃者がパッケージのインストール中に昇格した権限でシステム上のファイルを読み取ることを可能にする。CVSSスコアは5.5で中程度のリスクと評価され、既存のインストール環境には影響がないことが確認されている。

【CVE-2024-5474】Lenovo Dolby Vision Provisioning...

LenovoはDolby Vision Provisioningソフトウェアのバージョン2.0.0.2未満に情報開示の脆弱性が存在することを公開した。CVE-2024-5474として識別されるこの脆弱性は、ローカル攻撃者がパッケージのインストール中に昇格した権限でシステム上のファイルを読み取ることを可能にする。CVSSスコアは5.5で中程度のリスクと評価され、既存のインストール環境には影響がないことが確認されている。

【CVE-2024-52358】Responsive Addons for Elementorにクロスサイトスクリプティングの脆弱性、バージョン1.6.0で修正完了

【CVE-2024-52358】Responsive Addons for Elementor...

CyberchimpsのWordPressプラグインResponsive Addons for Elementorにおいて、DOM-Based XSSの脆弱性が発見された。バージョン1.5.4以前が影響を受け、CVSSスコア6.5の中程度の深刻度と評価される。この脆弱性はWebページ生成時の入力の不適切な無害化処理に起因し、バージョン1.6.0で修正が完了している。

【CVE-2024-52358】Responsive Addons for Elementor...

CyberchimpsのWordPressプラグインResponsive Addons for Elementorにおいて、DOM-Based XSSの脆弱性が発見された。バージョン1.5.4以前が影響を受け、CVSSスコア6.5の中程度の深刻度と評価される。この脆弱性はWebページ生成時の入力の不適切な無害化処理に起因し、バージョン1.6.0で修正が完了している。

【CVE-2024-52356】The Pack Elementor addons 2.1.0にXSS脆弱性が発見、早急なアップデートが必要に

【CVE-2024-52356】The Pack Elementor addons 2.1.0...

WordPressプラグインThe Pack Elementor addonsにクロスサイトスクリプティング脆弱性が発見された。CVE-2024-52356として識別されるこの脆弱性は、CVSSスコア6.5のMediumレベルと評価され、バージョン2.1.0以前のすべてのバージョンが影響を受ける。機密性、整合性、可用性すべてに影響を与える可能性があり、バージョン2.1.1への早急なアップデートが推奨されている。

【CVE-2024-52356】The Pack Elementor addons 2.1.0...

WordPressプラグインThe Pack Elementor addonsにクロスサイトスクリプティング脆弱性が発見された。CVE-2024-52356として識別されるこの脆弱性は、CVSSスコア6.5のMediumレベルと評価され、バージョン2.1.0以前のすべてのバージョンが影響を受ける。機密性、整合性、可用性すべてに影響を与える可能性があり、バージョン2.1.1への早急なアップデートが推奨されている。

【CVE-2024-11062】D-Link DSL6740Cにコマンドインジェクションの脆弱性、管理者権限で任意のコマンド実行が可能に

【CVE-2024-11062】D-Link DSL6740Cにコマンドインジェクションの脆弱...

TWCERTは2024年11月11日、D-Link DSL6740Cモデムに存在するコマンドインジェクション脆弱性【CVE-2024-11062】を公開した。SSHとTelnetを介した特定機能を通じて、管理者権限を持つ攻撃者が任意のシステムコマンドを実行可能な状態であることが判明。CVSSスコアは7.2と高く評価され、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。

【CVE-2024-11062】D-Link DSL6740Cにコマンドインジェクションの脆弱...

TWCERTは2024年11月11日、D-Link DSL6740Cモデムに存在するコマンドインジェクション脆弱性【CVE-2024-11062】を公開した。SSHとTelnetを介した特定機能を通じて、管理者権限を持つ攻撃者が任意のシステムコマンドを実行可能な状態であることが判明。CVSSスコアは7.2と高く評価され、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。

【CVE-2024-29119】Siemens社のSpectrum Power 7に特権昇格の脆弱性、重要インフラへの影響が懸念される事態に

【CVE-2024-29119】Siemens社のSpectrum Power 7に特権昇格の...

Siemens社のSpectrum Power 7において、V24Q3より前の全バージョンで特権昇格の脆弱性が発見された。CVSSスコアは3.1で7.8、4.0で8.5と高い深刻度を示しており、認証済みローカル攻撃者による特権昇格が可能な状態となっている。CWE-266に分類されるこの脆弱性は、root所有のSUIDバイナリに関連する問題であり、重要インフラへの影響が懸念される。

【CVE-2024-29119】Siemens社のSpectrum Power 7に特権昇格の...

Siemens社のSpectrum Power 7において、V24Q3より前の全バージョンで特権昇格の脆弱性が発見された。CVSSスコアは3.1で7.8、4.0で8.5と高い深刻度を示しており、認証済みローカル攻撃者による特権昇格が可能な状態となっている。CWE-266に分類されるこの脆弱性は、root所有のSUIDバイナリに関連する問題であり、重要インフラへの影響が懸念される。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証済み攻撃者によるJavaScriptコード実行の危険性

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。

バグクラウドがグローバル市場で30%の成長を達成、クラウドソースセキュリティの需要拡大により従業員倍増へ

バグクラウドがグローバル市場で30%の成長を達成、クラウドソースセキュリティの需要拡大により従...

バグクラウドは2024年11月15日、サイバーセキュリティカンファレンス「CODE BLUE 2024」で記者説明会を開催し、アジア太平洋および日本地域での2桁成長と第3四半期におけるグローバル市場での30%成長を発表した。70社以上の企業がクラウドソーシングによるセキュリティ対策を活用しており、需要増加に対応するため今後12か月間でアジア太平洋地域の従業員数を倍増する計画を明らかにした。

バグクラウドがグローバル市場で30%の成長を達成、クラウドソースセキュリティの需要拡大により従...

バグクラウドは2024年11月15日、サイバーセキュリティカンファレンス「CODE BLUE 2024」で記者説明会を開催し、アジア太平洋および日本地域での2桁成長と第3四半期におけるグローバル市場での30%成長を発表した。70社以上の企業がクラウドソーシングによるセキュリティ対策を活用しており、需要増加に対応するため今後12か月間でアジア太平洋地域の従業員数を倍増する計画を明らかにした。

IDホールディングスとブロードバンドセキュリティが資本業務提携、サイバーセキュリティ事業の強化へ向け総合的なサービス提供を開始

IDホールディングスとブロードバンドセキュリティが資本業務提携、サイバーセキュリティ事業の強化...

IDホールディングスはブロードバンドセキュリティと資本業務提携契約を締結し、サイバーセキュリティ分野での協業を本格化する。IDホールディングスのCSIRT支援やOTセキュリティの知見と、BBSecのセキュリティ監査・脆弱性診断の専門性を組み合わせ、高度な総合セキュリティサービスを提供。DX推進やAI普及に伴う企業のセキュリティニーズに対応し、技術者交流や共同営業体制の構築も進める。

IDホールディングスとブロードバンドセキュリティが資本業務提携、サイバーセキュリティ事業の強化...

IDホールディングスはブロードバンドセキュリティと資本業務提携契約を締結し、サイバーセキュリティ分野での協業を本格化する。IDホールディングスのCSIRT支援やOTセキュリティの知見と、BBSecのセキュリティ監査・脆弱性診断の専門性を組み合わせ、高度な総合セキュリティサービスを提供。DX推進やAI普及に伴う企業のセキュリティニーズに対応し、技術者交流や共同営業体制の構築も進める。

ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とインフラコスト削減を実現へ

ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とイン...

クラウドセキュリティ企業のZscalerが、拠点や工場、データセンター、パブリッククラウドとの安全な接続を実現するゼロトラストセグメンテーションソリューションを発表。ランサムウェアの拡散防止とインフラコストの50%削減を実現し、IoTデバイスやOTシステムも数時間以内に安全にセグメント化が可能。AWSとAzureに対応し、2025年2月にはGCPにも対応予定。

ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とイン...

クラウドセキュリティ企業のZscalerが、拠点や工場、データセンター、パブリッククラウドとの安全な接続を実現するゼロトラストセグメンテーションソリューションを発表。ランサムウェアの拡散防止とインフラコストの50%削減を実現し、IoTデバイスやOTシステムも数時間以内に安全にセグメント化が可能。AWSとAzureに対応し、2025年2月にはGCPにも対応予定。

ソフトクリエイトがSCSmartクラウド設定監査サービスを開始、クラウド環境のセキュリティ監視と改善提案が可能に

ソフトクリエイトがSCSmartクラウド設定監査サービスを開始、クラウド環境のセキュリティ監視...

ソフトクリエイトは2024年11月15日、パブリッククラウドのセキュリティ設定を定期的に調査し問題点の検出と改善アドバイスを実施するSCSmart クラウド設定監査サービスを開始した。SBテクノロジーのクラウドパトロールとSOC環境を組み合わせることで、クラウド環境を取り巻くあらゆるリスクを検知し、改善方法を含めた報告書を作成する。月額75,000円の一律価格で提供されるため、コストを抑えながらセキュリティ対策を実施できる。

ソフトクリエイトがSCSmartクラウド設定監査サービスを開始、クラウド環境のセキュリティ監視...

ソフトクリエイトは2024年11月15日、パブリッククラウドのセキュリティ設定を定期的に調査し問題点の検出と改善アドバイスを実施するSCSmart クラウド設定監査サービスを開始した。SBテクノロジーのクラウドパトロールとSOC環境を組み合わせることで、クラウド環境を取り巻くあらゆるリスクを検知し、改善方法を含めた報告書を作成する。月額75,000円の一律価格で提供されるため、コストを抑えながらセキュリティ対策を実施できる。