Tech Insights

【CVE-2024-49340】IBM Watson Studio Local 1.2.3でCSRF脆弱性、不正操作実行のリスクに対応急ぐ

【CVE-2024-49340】IBM Watson Studio Local 1.2.3でC...

IBMはWatson Studio Local 1.2.3においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見したと発表した。CVE-2024-49340として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度であり、信頼されたユーザーから送信された不正な操作要求が実行される可能性がある。影響を受けるのはバージョン1.2.3のみで、早急な修正パッチの適用が推奨されている。

【CVE-2024-49340】IBM Watson Studio Local 1.2.3でC...

IBMはWatson Studio Local 1.2.3においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見したと発表した。CVE-2024-49340として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度であり、信頼されたユーザーから送信された不正な操作要求が実行される可能性がある。影響を受けるのはバージョン1.2.3のみで、早急な修正パッチの適用が推奨されている。

【CVE-2024-38139】Microsoft Dataverseに特権昇格の脆弱性、認証システムの不備により高リスクの脅威に

【CVE-2024-38139】Microsoft Dataverseに特権昇格の脆弱性、認証...

Microsoftは2024年10月15日、Microsoft Dataverseに特権昇格の脆弱性が存在することを公開した。CVE-2024-38139として識別されるこの脆弱性は、認証の不備により認可された攻撃者がネットワークを介して特権を昇格させることを可能にする。CVSSスコアは8.7と高く、機密性と完全性への影響が特に懸念される。

【CVE-2024-38139】Microsoft Dataverseに特権昇格の脆弱性、認証...

Microsoftは2024年10月15日、Microsoft Dataverseに特権昇格の脆弱性が存在することを公開した。CVE-2024-38139として識別されるこの脆弱性は、認証の不備により認可された攻撃者がネットワークを介して特権を昇格させることを可能にする。CVSSスコアは8.7と高く、機密性と完全性への影響が特に懸念される。

【CVE-2024-38190】Microsoft Power Platformに重大な認証バイパスの脆弱性、情報漏洩のリスクが浮上

【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...

MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。

【CVE-2024-38190】Microsoft Power Platformに重大な認証バ...

MicrosoftのPower Platformで重大な認証バイパスの脆弱性が発見され、CVE-2024-38190として識別された。この脆弱性により、認証されていない攻撃者がネットワーク経由で機密情報にアクセス可能となる。CVSS 3.1で8.6のハイスコアを記録し、CISAの評価では攻撃の自動化も可能とされている。早急なセキュリティパッチの適用が推奨される状況だ。

【CVE-2024-38204】Microsoft Azure FunctionsでImagine Cup Siteの情報漏洩脆弱性が発見、権限昇格の危険性が浮上

【CVE-2024-38204】Microsoft Azure FunctionsでImagi...

MicrosoftはImagine Cup Siteにおいて深刻な情報漏洩の脆弱性を発見した。CVE-2024-38204として識別されたこの脆弱性は、認可された攻撃者がネットワーク経由で権限を昇格させることを可能にする。CVSSスコア7.5を記録し、攻撃の自動化も可能なため、早急な対策が求められている。

【CVE-2024-38204】Microsoft Azure FunctionsでImagi...

MicrosoftはImagine Cup Siteにおいて深刻な情報漏洩の脆弱性を発見した。CVE-2024-38204として識別されたこの脆弱性は、認可された攻撃者がネットワーク経由で権限を昇格させることを可能にする。CVSSスコア7.5を記録し、攻撃の自動化も可能なため、早急な対策が求められている。

【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻なXSS脆弱性が発見、バージョン1.2.7で修正完了

【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻...

WordPress用プラグインMega Elementsの1.2.6以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、攻撃の難易度は低いとされている。Kraftplugins社は迅速に対応し、バージョン1.2.7で修正を完了。ユーザーには最新バージョンへのアップデートが推奨される。

【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻...

WordPress用プラグインMega Elementsの1.2.6以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、攻撃の難易度は低いとされている。Kraftplugins社は迅速に対応し、バージョン1.2.7で修正を完了。ユーザーには最新バージョンへのアップデートが推奨される。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロスサイトスクリプティング脆弱性が発見、修正版のアップデートを推奨

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-50496】AR For WordPressプラグインに深刻な脆弱性、Web Shellアップロードの危険性が明らかに

【CVE-2024-50496】AR For WordPressプラグインに深刻な脆弱性、We...

WordPressプラグイン「AR For WordPress」にファイルアップロードの脆弱性が発見された。CVE-2024-50496として識別されたこの問題は、攻撃者によるWeb Shellのアップロードを可能にし、CVSSスコア10.0の最も深刻なレベルに分類される。バージョン6.2までの全バージョンが影響を受け、特別な権限なしで攻撃が可能な状態となっている。

【CVE-2024-50496】AR For WordPressプラグインに深刻な脆弱性、We...

WordPressプラグイン「AR For WordPress」にファイルアップロードの脆弱性が発見された。CVE-2024-50496として識別されたこの問題は、攻撃者によるWeb Shellのアップロードを可能にし、CVSSスコア10.0の最も深刻なレベルに分類される。バージョン6.2までの全バージョンが影響を受け、特別な権限なしで攻撃が可能な状態となっている。

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱性、バージョン1.4.20で修正済み

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...

WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...

WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。

【CVE-2024-50440】WordPress用プラグインCodePen Embedded Pens Shortcodeにクロスサイトスクリプティングの脆弱性が発見、バージョン1.0.3で修正完了

【CVE-2024-50440】WordPress用プラグインCodePen Embedded...

Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明した。CVSSスコアは6.5(中)で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。

【CVE-2024-50440】WordPress用プラグインCodePen Embedded...

Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明した。CVSSスコアは6.5(中)で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。

【CVE-2024-50448】YITH WooCommerce Product Add-Ons 4.14.1にXSS脆弱性、即時アップデートが必要に

【CVE-2024-50448】YITH WooCommerce Product Add-On...

YITH WooCommerce Product Add-Onsのバージョン4.14.1以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1の高リスクと評価されており、攻撃者はネットワークを介して特権なしで攻撃を実行可能。YITHは修正パッチを含むバージョン4.14.2をリリースしており、影響を受ける可能性のあるユーザーには直ちにアップデートが推奨される。

【CVE-2024-50448】YITH WooCommerce Product Add-On...

YITH WooCommerce Product Add-Onsのバージョン4.14.1以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1の高リスクと評価されており、攻撃者はネットワークを介して特権なしで攻撃を実行可能。YITHは修正パッチを含むバージョン4.14.2をリリースしており、影響を受ける可能性のあるユーザーには直ちにアップデートが推奨される。

【CVE-2024-50445】WordPress Selection Lite 1.13にXSS脆弱性が発見、速やかな更新が必要に

【CVE-2024-50445】WordPress Selection Lite 1.13にX...

WordPress用プラグインSelection Liteにおいて、バージョン1.13以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、特権ユーザーによる攻撃が可能な状態。開発元のMerkulove社はバージョン1.14で修正を実施しており、影響を受けるユーザーには速やかなアップデートを推奨している。

【CVE-2024-50445】WordPress Selection Lite 1.13にX...

WordPress用プラグインSelection Liteにおいて、バージョン1.13以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、特権ユーザーによる攻撃が可能な状態。開発元のMerkulove社はバージョン1.14で修正を実施しており、影響を受けるユーザーには速やかなアップデートを推奨している。

【CVE-2024-50439】WordPress用プラグインAstra Widgets 1.2.14に格納型XSS脆弱性が発見、アップデートによる対応が必要に

【CVE-2024-50439】WordPress用プラグインAstra Widgets 1....

WordPressプラグインAstra Widgetsにおいて格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-50439として識別されたこの脆弱性は、バージョン1.2.14以前に影響を与え、CVSSスコア6.5の中程度の深刻度と評価されている。修正版となるバージョン1.2.15がリリースされており、早急なアップデートが推奨される。

【CVE-2024-50439】WordPress用プラグインAstra Widgets 1....

WordPressプラグインAstra Widgetsにおいて格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-50439として識別されたこの脆弱性は、バージョン1.2.14以前に影響を与え、CVSSスコア6.5の中程度の深刻度と評価されている。修正版となるバージョン1.2.15がリリースされており、早急なアップデートが推奨される。

【CVE-2024-50446】WordPressプラグインFuturio Extraにストアドクロスサイトスクリプティングの脆弱性が発見、バージョン2.0.12で修正

【CVE-2024-50446】WordPressプラグインFuturio Extraにストア...

WordPressプラグインFuturio Extraにおいて、Webページ生成時の入力の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-50446】として識別され、CVSS v3.1で深刻度6.5(中程度)と評価されている。バージョン2.0.11以前のユーザーには、修正版となる2.0.12へのアップデートが推奨される。

【CVE-2024-50446】WordPressプラグインFuturio Extraにストア...

WordPressプラグインFuturio Extraにおいて、Webページ生成時の入力の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-50446】として識別され、CVSS v3.1で深刻度6.5(中程度)と評価されている。バージョン2.0.11以前のユーザーには、修正版となる2.0.12へのアップデートが推奨される。

【CVE-2024-45477】Apache NiFiのParameter Context機能に深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクに対応急ぐ

【CVE-2024-45477】Apache NiFiのParameter Context機能...

Apache Software FoundationはApache NiFi 1.10.0から1.27.0および2.0.0-M1から2.0.0-M3において、Parameter Contextの設定に関する重大な脆弱性を公開した。認証済みユーザーによる任意のJavaScriptコード実行が可能となるクロスサイトスクリプティングの脆弱性が確認され、Apache NiFi 1.28.0または2.0.0-M4以降へのアップグレードが推奨されている。

【CVE-2024-45477】Apache NiFiのParameter Context機能...

Apache Software FoundationはApache NiFi 1.10.0から1.27.0および2.0.0-M1から2.0.0-M3において、Parameter Contextの設定に関する重大な脆弱性を公開した。認証済みユーザーによる任意のJavaScriptコード実行が可能となるクロスサイトスクリプティングの脆弱性が確認され、Apache NiFi 1.28.0または2.0.0-M4以降へのアップグレードが推奨されている。

【CVE-2024-50334】Scooldに認証バイパスの脆弱性、設定データへの不正アクセスが可能に

【CVE-2024-50334】Scooldに認証バイパスの脆弱性、設定データへの不正アクセス...

Q&Aプラットフォームのscooldにおいて、/api;/configエンドポイントでセミコロンパス注入の脆弱性が発見された。URLにセミコロンを追加することで認証をバイパスし、HOCONファイルインクルージョンを介して設定ファイルなどの機密情報を取得可能。Scoold 1.64.0で修正済みだが、それ以前のバージョンではAPIの無効化による対応が必要となる。

【CVE-2024-50334】Scooldに認証バイパスの脆弱性、設定データへの不正アクセス...

Q&Aプラットフォームのscooldにおいて、/api;/configエンドポイントでセミコロンパス注入の脆弱性が発見された。URLにセミコロンを追加することで認証をバイパスし、HOCONファイルインクルージョンを介して設定ファイルなどの機密情報を取得可能。Scoold 1.64.0で修正済みだが、それ以前のバージョンではAPIの無効化による対応が必要となる。

【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロードの脆弱性、リモートコード実行の危険性が判明

【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロー...

WordPressプラグインFileOrganizerの1.0.9以前のバージョンにおいて、認証済みユーザー(Subscriber以上)が悪用可能な任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVSS基本スコア7.5と評価される重要な問題であり、リモートコード実行の可能性を含む。FileOrganizer Proプラグインがインストールされアクティブな状態である必要があるものの、早急な対応が求められる。

【CVE-2024-7985】FileOrganizer 1.0.9に任意のファイルアップロー...

WordPressプラグインFileOrganizerの1.0.9以前のバージョンにおいて、認証済みユーザー(Subscriber以上)が悪用可能な任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVSS基本スコア7.5と評価される重要な問題であり、リモートコード実行の可能性を含む。FileOrganizer Proプラグインがインストールされアクティブな状態である必要があるものの、早急な対応が求められる。

【CVE-2024-49679】WPKoi Templates for Elementorにクロスサイトスクリプティングの脆弱性、バージョン3.1.0以前に影響

【CVE-2024-49679】WPKoi Templates for Elementorにク...

WordPressのプラグインWPKoi Templates for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-49679として識別されるこの脆弱性は、バージョン3.1.0以前に影響を与え、CVSSスコア5.9と評価される。高い権限を持つユーザーのみが影響を受けるが、攻撃が成功すると重大な被害につながる可能性があるため、バージョン3.1.1への早急なアップデートが推奨される。

【CVE-2024-49679】WPKoi Templates for Elementorにク...

WordPressのプラグインWPKoi Templates for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-49679として識別されるこの脆弱性は、バージョン3.1.0以前に影響を与え、CVSSスコア5.9と評価される。高い権限を持つユーザーのみが影響を受けるが、攻撃が成功すると重大な被害につながる可能性があるため、バージョン3.1.1への早急なアップデートが推奨される。

【CVE-2024-49672】WordPress Google Docs RSVPプラグインにCSRF脆弱性、ストアドXSSへの悪用の危険性

【CVE-2024-49672】WordPress Google Docs RSVPプラグイン...

WordPress用プラグイン「Google Docs RSVP」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン2.0.1以前が影響を受け、CVSSスコアは7.1(High)と評価されている。この脆弱性は悪用されるとストアドXSSにつながる可能性があり、早急なアップデートが推奨される。Patchstack Allianceに所属するSOPROBROによって発見され、対策として最新版への更新が必要とされている。

【CVE-2024-49672】WordPress Google Docs RSVPプラグイン...

WordPress用プラグイン「Google Docs RSVP」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン2.0.1以前が影響を受け、CVSSスコアは7.1(High)と評価されている。この脆弱性は悪用されるとストアドXSSにつながる可能性があり、早急なアップデートが推奨される。Patchstack Allianceに所属するSOPROBROによって発見され、対策として最新版への更新が必要とされている。

【CVE-2024-46872】Mattermostの複数バージョンにCSRF脆弱性、Playbooks機能での入力検証に不備

【CVE-2024-46872】Mattermostの複数バージョンにCSRF脆弱性、Play...

Mattermost社が複数バージョンに影響を与えるセキュリティ脆弱性を公開した。Playbooks機能においてフロントエンドでのユーザー入力の検証が不適切であり、クライアントサイドパストラバーサルによってCSRFを引き起こす可能性が判明。影響を受けるバージョンは9.10.x、9.11.x、9.5.x系列の特定バージョンで、CVSSスコアは4.6(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-46872】Mattermostの複数バージョンにCSRF脆弱性、Play...

Mattermost社が複数バージョンに影響を与えるセキュリティ脆弱性を公開した。Playbooks機能においてフロントエンドでのユーザー入力の検証が不適切であり、クライアントサイドパストラバーサルによってCSRFを引き起こす可能性が判明。影響を受けるバージョンは9.10.x、9.11.x、9.5.x系列の特定バージョンで、CVSSスコアは4.6(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-51567】CyberPanelに認証回避の脆弱性、PSAUXによる大規模攻撃で22,000インスタンスが標的に

【CVE-2024-51567】CyberPanelに認証回避の脆弱性、PSAUXによる大規模...

CyberPanelのデータベース関連機能で認証回避とコマンド実行が可能な重大な脆弱性が発見された。この脆弱性はPOSTリクエスト用のsecMiddlewareを迂回し、statusfileプロパティでシェルメタ文字を使用することで攻撃が可能となる。PSAUXによる攻撃では22,000以上のインスタンスが標的となり、バージョン2.3.6以前と未パッチの2.3.7が影響を受ける。

【CVE-2024-51567】CyberPanelに認証回避の脆弱性、PSAUXによる大規模...

CyberPanelのデータベース関連機能で認証回避とコマンド実行が可能な重大な脆弱性が発見された。この脆弱性はPOSTリクエスト用のsecMiddlewareを迂回し、statusfileプロパティでシェルメタ文字を使用することで攻撃が可能となる。PSAUXによる攻撃では22,000以上のインスタンスが標的となり、バージョン2.3.6以前と未パッチの2.3.7が影響を受ける。

【CVE-2024-44038】WordPress用Sunshine Photo Cart 3.2.9にアクセス制御の脆弱性、早急なアップデートが必要に

【CVE-2024-44038】WordPress用Sunshine Photo Cart 3...

Patchstack OÜはWordPress用プラグインSunshine Photo Cartのバージョン3.2.9以前に存在するアクセス制御の脆弱性を報告した。CVE-2024-44038として識別されるこの脆弱性は、認証機能の不備により保護されたリソースへの不正アクセスを許してしまう可能性がある。CVSSスコアは5.3(MEDIUM)と評価され、バージョン3.2.10への更新で修正されている。

【CVE-2024-44038】WordPress用Sunshine Photo Cart 3...

Patchstack OÜはWordPress用プラグインSunshine Photo Cartのバージョン3.2.9以前に存在するアクセス制御の脆弱性を報告した。CVE-2024-44038として識別されるこの脆弱性は、認証機能の不備により保護されたリソースへの不正アクセスを許してしまう可能性がある。CVSSスコアは5.3(MEDIUM)と評価され、バージョン3.2.10への更新で修正されている。

【CVE-2024-43974】WordPressテーマReviveNews 1.0.2に認可制御の脆弱性、早急なアップデートが必要に

【CVE-2024-43974】WordPressテーマReviveNews 1.0.2に認可...

WordPressテーマReviveNewsにおいて重大な認可制御の脆弱性が発見された。CVE-2024-43974として識別されるこの脆弱性は、バージョン1.0.2以前のすべてのバージョンに影響を与え、CVSS v3.1で6.5(中程度)と評価されている。攻撃者は認証なしでシステムに対して攻撃を実行できる可能性があり、早急なアップデートが推奨される。

【CVE-2024-43974】WordPressテーマReviveNews 1.0.2に認可...

WordPressテーマReviveNewsにおいて重大な認可制御の脆弱性が発見された。CVE-2024-43974として識別されるこの脆弱性は、バージョン1.0.2以前のすべてのバージョンに影響を与え、CVSS v3.1で6.5(中程度)と評価されている。攻撃者は認証なしでシステムに対して攻撃を実行できる可能性があり、早急なアップデートが推奨される。

【CVE-2024-43962】WordPressプラグインLWS Affiliation 2.3.4に認証の欠如による脆弱性、アクセス制御に課題

【CVE-2024-43962】WordPressプラグインLWS Affiliation 2...

WordPressプラグインLWS Affiliationにおいて、アクセス制御の不適切な設定による認証の欠如が発見された。CVE-2024-43962として識別されるこの脆弱性は、バージョン2.3.4以前に影響を与え、CVSSスコアは5.4(MEDIUM)と評価されている。開発元のLWSはバージョン2.3.5で修正を実施しており、ユーザーには速やかなアップデートが推奨される。

【CVE-2024-43962】WordPressプラグインLWS Affiliation 2...

WordPressプラグインLWS Affiliationにおいて、アクセス制御の不適切な設定による認証の欠如が発見された。CVE-2024-43962として識別されるこの脆弱性は、バージョン2.3.4以前に影響を与え、CVSSスコアは5.4(MEDIUM)と評価されている。開発元のLWSはバージョン2.3.5で修正を実施しており、ユーザーには速やかなアップデートが推奨される。

【CVE-2024-43956】WordPressプラグインMemberPress 1.11.34に認証の脆弱性、アクセス制御機能の不備で深刻な影響の可能性

【CVE-2024-43956】WordPressプラグインMemberPress 1.11....

Patchstack OÜがWordPressプラグインMemberPress 1.11.34以前のバージョンに認証の脆弱性を発見。CVSSスコア6.5のミディアム評価で、特別な権限なしでネットワーク経由の攻撃が可能。アクセス制御機能の不備により、本来制限すべき機能への不正アクセスのリスクが指摘されている。Caseproof, LLCはバージョン1.11.35で修正を実施。

【CVE-2024-43956】WordPressプラグインMemberPress 1.11....

Patchstack OÜがWordPressプラグインMemberPress 1.11.34以前のバージョンに認証の脆弱性を発見。CVSSスコア6.5のミディアム評価で、特別な権限なしでネットワーク経由の攻撃が可能。アクセス制御機能の不備により、本来制限すべき機能への不正アクセスのリスクが指摘されている。Caseproof, LLCはバージョン1.11.35で修正を実施。

【CVE-2024-44006】WooCommerce Multilingual & Multicurrency 5.3.7で認証機能の脆弱性に対応、セキュリティ強化へ

【CVE-2024-44006】WooCommerce Multilingual & Mult...

OnTheGoSystemsが開発するWooCommerce Multilingual & Multicurrencyプラグインにおいて、認証に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-44006】として識別され、CVSSスコア4.3のミディアムレベルと評価されている。バージョン5.3.7で修正パッチが適用され、全てのユーザーに対して最新バージョンへのアップデートが推奨される。

【CVE-2024-44006】WooCommerce Multilingual & Mult...

OnTheGoSystemsが開発するWooCommerce Multilingual & Multicurrencyプラグインにおいて、認証に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-44006】として識別され、CVSSスコア4.3のミディアムレベルと評価されている。バージョン5.3.7で修正パッチが適用され、全てのユーザーに対して最新バージョンへのアップデートが推奨される。

【CVE-2024-43982】WordPress用プラグインLogin As Usersにアクセス制御の脆弱性、認証回避によるアカウント乗っ取りの危険性

【CVE-2024-43982】WordPress用プラグインLogin As Usersにア...

Geek Code LabのWordPress用プラグインLogin As Usersにおいて、バージョン1.4.3以前に深刻な脆弱性が発見された。CVE-2024-43982として識別されるこの問題は、アクセス制御の設定が不適切であることによってアカウント乗っ取りの可能性があり、CVSSスコア8.8と高い深刻度を示している。対策としてバージョン1.4.4へのアップデートが提供されている。

【CVE-2024-43982】WordPress用プラグインLogin As Usersにア...

Geek Code LabのWordPress用プラグインLogin As Usersにおいて、バージョン1.4.3以前に深刻な脆弱性が発見された。CVE-2024-43982として識別されるこの問題は、アクセス制御の設定が不適切であることによってアカウント乗っ取りの可能性があり、CVSSスコア8.8と高い深刻度を示している。対策としてバージョン1.4.4へのアップデートが提供されている。

【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆弱性、アクセス制御の不備で情報漏洩のリスクに

【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆...

CozyThemes社のWordPressテーマFotaWP 1.4.1以前のバージョンにおいて権限管理の脆弱性が発見された。CVE-2024-43980として識別されたこの問題は、アクセス制御の設定が不適切であり、CVSSスコア6.5(MEDIUM)と評価されている。Patchstack Allianceのメンバーによって発見され、バージョン1.4.2で修正された本脆弱性は、不正アクセスのリスクを抱えている。

【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆...

CozyThemes社のWordPressテーマFotaWP 1.4.1以前のバージョンにおいて権限管理の脆弱性が発見された。CVE-2024-43980として識別されたこの問題は、アクセス制御の設定が不適切であり、CVSSスコア6.5(MEDIUM)と評価されている。Patchstack Allianceのメンバーによって発見され、バージョン1.4.2で修正された本脆弱性は、不正アクセスのリスクを抱えている。

【CVE-2024-51557】Wave 2.0にOTPレート制限の欠如による脆弱性、認証済み攻撃者によるOTPボミングのリスクが深刻化

【CVE-2024-51557】Wave 2.0にOTPレート制限の欠如による脆弱性、認証済み...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントにOTP要求のレート制限が実装されていない脆弱性が発見された。CVE-2024-51557として識別されるこの脆弱性は、認証された攻撃者による大量のOTP要求送信を可能にし、標的システムへのOTPボミングやフラッディング攻撃のリスクをもたらす。Wave 2.0のバージョン1.1.7未満が影響を受け、CVSSスコア7.1の高リスクと評価されている。

【CVE-2024-51557】Wave 2.0にOTPレート制限の欠如による脆弱性、認証済み...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントにOTP要求のレート制限が実装されていない脆弱性が発見された。CVE-2024-51557として識別されるこの脆弱性は、認証された攻撃者による大量のOTP要求送信を可能にし、標的システムへのOTPボミングやフラッディング攻撃のリスクをもたらす。Wave 2.0のバージョン1.1.7未満が影響を受け、CVSSスコア7.1の高リスクと評価されている。

【CVE-2024-10761】Umbraco CMS 12.3.6にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2024-10761】Umbraco CMS 12.3.6にクロスサイトスクリプティ...

VulDBは2024年11月4日、Umbraco CMS 12.3.6のダッシュボードにクロスサイトスクリプティングの脆弱性が存在することを公開した。脆弱性は/Umbraco/preview/frameのidパラメータに関連し、culture引数の操作により攻撃が可能となる。CVSSスコアは5.3(中程度)で、リモートからの攻撃が可能であり、既に詳細が公開されているため早急な対応が求められる。

【CVE-2024-10761】Umbraco CMS 12.3.6にクロスサイトスクリプティ...

VulDBは2024年11月4日、Umbraco CMS 12.3.6のダッシュボードにクロスサイトスクリプティングの脆弱性が存在することを公開した。脆弱性は/Umbraco/preview/frameのidパラメータに関連し、culture引数の操作により攻撃が可能となる。CVSSスコアは5.3(中程度)で、リモートからの攻撃が可能であり、既に詳細が公開されているため早急な対応が求められる。

【CVE-2024-51661】WordPressプラグインMedia Library Assistant 3.19にRCE脆弱性が発見、即時アップデートの必要性が浮上

【CVE-2024-51661】WordPressプラグインMedia Library Ass...

WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。

【CVE-2024-51661】WordPressプラグインMedia Library Ass...

WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。