Tech Insights

【CVE-2024-51516】HarmonyOS 5.0.0でアクセス制御の脆弱性が発見、機能異常のリスクに要注意

【CVE-2024-51516】HarmonyOS 5.0.0でアクセス制御の脆弱性が発見、機...

HuaweiはHarmonyOS 5.0.0における機能モジュールのアクセス制御に関する脆弱性【CVE-2024-51516】を公開した。CVSSスコア6.2のミディアムリスクで、攻撃の複雑さは低く特権は不要とされている。CWE-264に分類されるこの脆弱性は、直接的な情報漏洩やデータ改ざんには結びつかないものの、システムの機能異常を引き起こす可能性があり、早急な対策が求められている。

【CVE-2024-51516】HarmonyOS 5.0.0でアクセス制御の脆弱性が発見、機...

HuaweiはHarmonyOS 5.0.0における機能モジュールのアクセス制御に関する脆弱性【CVE-2024-51516】を公開した。CVSSスコア6.2のミディアムリスクで、攻撃の複雑さは低く特権は不要とされている。CWE-264に分類されるこの脆弱性は、直接的な情報漏洩やデータ改ざんには結びつかないものの、システムの機能異常を引き起こす可能性があり、早急な対策が求められている。

【CVE-2024-51515】HarmonyOS 5.0.0のカーネルネットワークモジュールに競合状態の脆弱性、システムの可用性に影響

【CVE-2024-51515】HarmonyOS 5.0.0のカーネルネットワークモジュール...

Huaweiは2024年11月5日、HarmonyOS 5.0.0のカーネルネットワークモジュールに競合状態の脆弱性が存在することを公開した。CVSSスコア6.2のMEDIUMレベルで、共有リソースの同期処理が適切に実装されていないことが原因である。攻撃に特権は不要だが攻撃元区分はローカルに限定されており、システムの可用性への影響が懸念される。

【CVE-2024-51515】HarmonyOS 5.0.0のカーネルネットワークモジュール...

Huaweiは2024年11月5日、HarmonyOS 5.0.0のカーネルネットワークモジュールに競合状態の脆弱性が存在することを公開した。CVSSスコア6.2のMEDIUMレベルで、共有リソースの同期処理が適切に実装されていないことが原因である。攻撃に特権は不要だが攻撃元区分はローカルに限定されており、システムの可用性への影響が懸念される。

【CVE-2024-51514】HarmonyOS 5.0.0のVPNモジュールに脆弱性、サービスの機密性に影響のおそれ

【CVE-2024-51514】HarmonyOS 5.0.0のVPNモジュールに脆弱性、サー...

HuaweiはHarmonyOS 5.0.0のVPNモジュールにおいて、アプリケーションに属さないポップアップウィンドウに関する脆弱性【CVE-2024-51514】を発見したと発表。CVSSスコア5.3(MEDIUM)で評価され、サービスの機密性に影響を与える可能性がある。入力検証の不備(CWE-20)に分類されるこの脆弱性に対し、セキュリティアップデートが提供されている。

【CVE-2024-51514】HarmonyOS 5.0.0のVPNモジュールに脆弱性、サー...

HuaweiはHarmonyOS 5.0.0のVPNモジュールにおいて、アプリケーションに属さないポップアップウィンドウに関する脆弱性【CVE-2024-51514】を発見したと発表。CVSSスコア5.3(MEDIUM)で評価され、サービスの機密性に影響を与える可能性がある。入力検証の不備(CWE-20)に分類されるこの脆弱性に対し、セキュリティアップデートが提供されている。

【CVE-2024-51513】HarmonyOS 5.0.0のVPNモジュールに脆弱性、電力消費への影響が判明

【CVE-2024-51513】HarmonyOS 5.0.0のVPNモジュールに脆弱性、電力...

Huaweiは2024年11月5日、HarmonyOS 5.0.0のVPNモジュールにおいてプロセスが完全に終了しない脆弱性を発見したことを公開した。CVE-2024-51513として識別されるこの脆弱性は、CVSSスコア5.5の中程度の深刻度と評価され、不適切な入力検証に起因する問題であることが明らかになった。攻撃には特権は不要だがユーザーの関与が必要となる。

【CVE-2024-51513】HarmonyOS 5.0.0のVPNモジュールに脆弱性、電力...

Huaweiは2024年11月5日、HarmonyOS 5.0.0のVPNモジュールにおいてプロセスが完全に終了しない脆弱性を発見したことを公開した。CVE-2024-51513として識別されるこの脆弱性は、CVSSスコア5.5の中程度の深刻度と評価され、不適切な入力検証に起因する問題であることが明らかになった。攻撃には特権は不要だがユーザーの関与が必要となる。

【CVE-2024-51512】HarmonyOS 5.0.0でWantAgentモジュールの脆弱性を検出、システムの可用性に影響の恐れ

【CVE-2024-51512】HarmonyOS 5.0.0でWantAgentモジュールの...

Huawei TechnologiesはHarmonyOS 5.0.0のWantAgentモジュールに新たな脆弱性【CVE-2024-51512】を発見した。パラメータタイプの検証に問題があり、システムの可用性に影響を及ぼす可能性がある。CWE-20に分類されるこの脆弱性は、CVSSv3.1で6.2点のミディアムスコアを記録。攻撃の複雑性と必要な特権レベルが低く、早急な対応が必要となっている。

【CVE-2024-51512】HarmonyOS 5.0.0でWantAgentモジュールの...

Huawei TechnologiesはHarmonyOS 5.0.0のWantAgentモジュールに新たな脆弱性【CVE-2024-51512】を発見した。パラメータタイプの検証に問題があり、システムの可用性に影響を及ぼす可能性がある。CWE-20に分類されるこの脆弱性は、CVSSv3.1で6.2点のミディアムスコアを記録。攻撃の複雑性と必要な特権レベルが低く、早急な対応が必要となっている。

【CVE-2024-51511】HarmonyOS 5.0.0のWantAgentモジュールに脆弱性、システムの可用性に影響の恐れ

【CVE-2024-51511】HarmonyOS 5.0.0のWantAgentモジュールに...

Huawei Technologies社がHarmonyOS 5.0.0のWantAgentモジュールにおける脆弱性【CVE-2024-51511】を公開した。パラメータタイプの検証に関する問題で、CVSSスコア6.2を記録。攻撃条件の複雑さは低く、特権は不要だがローカル環境からの攻撃が必要とされる。この脆弱性の悪用によってシステムの可用性に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-51511】HarmonyOS 5.0.0のWantAgentモジュールに...

Huawei Technologies社がHarmonyOS 5.0.0のWantAgentモジュールにおける脆弱性【CVE-2024-51511】を公開した。パラメータタイプの検証に関する問題で、CVSSスコア6.2を記録。攻撃条件の複雑さは低く、特権は不要だがローカル環境からの攻撃が必要とされる。この脆弱性の悪用によってシステムの可用性に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-51510】HarmonyOSとEMUIのロゴモジュールに脆弱性、機密性への影響が深刻に

【CVE-2024-51510】HarmonyOSとEMUIのロゴモジュールに脆弱性、機密性へ...

HuaweiのHarmonyOSとEMUIのロゴモジュールにおいてOut-of-bounds access脆弱性が発見された。HarmonyOSの5.0.0、4.2.0、4.0.0およびEMUI 14.0.0が影響を受け、CVSSスコアは7.6(High)と評価されている。物理的なアクセスは必要だが特権は不要で、機密性に重大な影響を与える可能性がある深刻な脆弱性となっている。

【CVE-2024-51510】HarmonyOSとEMUIのロゴモジュールに脆弱性、機密性へ...

HuaweiのHarmonyOSとEMUIのロゴモジュールにおいてOut-of-bounds access脆弱性が発見された。HarmonyOSの5.0.0、4.2.0、4.0.0およびEMUI 14.0.0が影響を受け、CVSSスコアは7.6(High)と評価されている。物理的なアクセスは必要だが特権は不要で、機密性に重大な影響を与える可能性がある深刻な脆弱性となっている。

【CVE-2024-49955】Linux kernelのバッテリーフック脆弱性、システムクラッシュの可能性に対する修正パッチをリリース

【CVE-2024-49955】Linux kernelのバッテリーフック脆弱性、システムクラ...

Linux kernelの開発チームが、ACPIバッテリーフックに関する重要な脆弱性【CVE-2024-49955】の修正パッチをリリースした。この脆弱性は、バッテリーフック追加時のエラーによる自動登録解除と、その後のbattery_hook_unregister()呼び出しによるシステムクラッシュの可能性を含んでいる。リスト構造を活用した修正により、登録解除済みフックの適切な識別が可能になった。

【CVE-2024-49955】Linux kernelのバッテリーフック脆弱性、システムクラ...

Linux kernelの開発チームが、ACPIバッテリーフックに関する重要な脆弱性【CVE-2024-49955】の修正パッチをリリースした。この脆弱性は、バッテリーフック追加時のエラーによる自動登録解除と、その後のbattery_hook_unregister()呼び出しによるシステムクラッシュの可能性を含んでいる。リスト構造を活用した修正により、登録解除済みフックの適切な識別が可能になった。

【CVE-2024-49769】Waitress 3.0.1未満のバージョンでDoS脆弱性が発見、リソース枯渇とCPU使用率上昇のリスクに

【CVE-2024-49769】Waitress 3.0.1未満のバージョンでDoS脆弱性が発...

PythonのWSGIサーバーWaitressにおいて、リモートクライアントによる接続切断時のソケット処理に起因する重大な脆弱性が発見された。この問題により、攻撃者は少ないリソースでシステムのCPU使用率を著しく上昇させることが可能となる。CVSS v3.1で7.5(High)と評価されたこの脆弱性は、Waitress 3.0.1で修正され、接続処理の安全性が向上している。

【CVE-2024-49769】Waitress 3.0.1未満のバージョンでDoS脆弱性が発...

PythonのWSGIサーバーWaitressにおいて、リモートクライアントによる接続切断時のソケット処理に起因する重大な脆弱性が発見された。この問題により、攻撃者は少ないリソースでシステムのCPU使用率を著しく上昇させることが可能となる。CVSS v3.1で7.5(High)と評価されたこの脆弱性は、Waitress 3.0.1で修正され、接続処理の安全性が向上している。

【CVE-2024-49768】Waitressに重大な脆弱性、HTTPパイプライン処理のレースコンディションが発見され即急な対応が必要に

【CVE-2024-49768】Waitressに重大な脆弱性、HTTPパイプライン処理のレー...

Web Server Gateway InterfaceサーバーのWaitressにおいて、HTTPパイプライニングを利用した際のレースコンディションの脆弱性が発見された。CVE-2024-49768として識別されるこの脆弱性は、リクエストルックアヘッド機能が有効な場合に無効なリクエストの処理を許してしまう。CVSS v3.1で9.1(クリティカル)と評価される深刻な問題であり、Waitress 3.0.1へのアップデートが推奨される。

【CVE-2024-49768】Waitressに重大な脆弱性、HTTPパイプライン処理のレー...

Web Server Gateway InterfaceサーバーのWaitressにおいて、HTTPパイプライニングを利用した際のレースコンディションの脆弱性が発見された。CVE-2024-49768として識別されるこの脆弱性は、リクエストルックアヘッド機能が有効な場合に無効なリクエストの処理を許してしまう。CVSS v3.1で9.1(クリティカル)と評価される深刻な問題であり、Waitress 3.0.1へのアップデートが推奨される。

【CVE-2024-49675】WordPress iBryl Switch User 1.0.1に認証バイパスの脆弱性、アカウントテイクオーバーのリスクが判明

【CVE-2024-49675】WordPress iBryl Switch User 1.0...

WordPressプラグインiBryl Switch User 1.0.1以前のバージョンに、認証バイパスによるアカウントテイクオーバーの脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、攻撃者による正規ユーザーの認証バイパスを可能にする。Patchstack Allianceのstealthcopterによって発見されたこの脆弱性は、早急な対応が必要とされている。

【CVE-2024-49675】WordPress iBryl Switch User 1.0...

WordPressプラグインiBryl Switch User 1.0.1以前のバージョンに、認証バイパスによるアカウントテイクオーバーの脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価され、攻撃者による正規ユーザーの認証バイパスを可能にする。Patchstack Allianceのstealthcopterによって発見されたこの脆弱性は、早急な対応が必要とされている。

【CVE-2024-49642】WordPress用プラグインTodo Custom Fieldに深刻なXSS脆弱性が発見、早急なアップデートが必要に

【CVE-2024-49642】WordPress用プラグインTodo Custom Fiel...

WordPress用プラグインTodo Custom Field 3.0.4以前のバージョンにXSS脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価されており、Webページ生成時の入力の不適切な無害化処理に起因する問題が存在する。攻撃者による悪用の可能性があり、ユーザー情報が危険にさらされる可能性があるため、早急なアップデートが推奨される。

【CVE-2024-49642】WordPress用プラグインTodo Custom Fiel...

WordPress用プラグインTodo Custom Field 3.0.4以前のバージョンにXSS脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価されており、Webページ生成時の入力の不適切な無害化処理に起因する問題が存在する。攻撃者による悪用の可能性があり、ユーザー情報が危険にさらされる可能性があるため、早急なアップデートが推奨される。

【CVE-2024-49370】Pimcore Portal Engineにパスワード平文保存の脆弱性、バージョン4.1.7と3.1.16で修正完了

【CVE-2024-49370】Pimcore Portal Engineにパスワード平文保存...

オープンソースのデータ管理プラットフォームPimcoreのPortal Engineにおいて、PortalUserObjectとPimcoreUserの連携時にパスワードが平文で保存される重大な脆弱性が発見された。CVSSスコア8.7と高い深刻度を示すこの問題は、バージョン4.1.7と3.1.16で修正され、最新版へのアップデートで対策が可能となっている。

【CVE-2024-49370】Pimcore Portal Engineにパスワード平文保存...

オープンソースのデータ管理プラットフォームPimcoreのPortal Engineにおいて、PortalUserObjectとPimcoreUserの連携時にパスワードが平文で保存される重大な脆弱性が発見された。CVSSスコア8.7と高い深刻度を示すこの問題は、バージョン4.1.7と3.1.16で修正され、最新版へのアップデートで対策が可能となっている。

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta.36で修正完了し安全性が向上

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta....

Nginx UIのバージョン2.0.0-beta.36未満において、ログパス制御の脆弱性が発見された。この脆弱性は【CVE-2024-49367】として識別され、/api/configsエンドポイントでのディレクトリトラバーサル攻撃により、サーバー上のファイル内容が読み取り可能となっていた。CVSS v4.0で5.5(Medium)と評価され、早急な対応が推奨される。開発元の0xJackyは2.0.0-beta.36で修正を実施している。

【CVE-2024-49367】Nginx UIにログパス制御の脆弱性、2.0.0-beta....

Nginx UIのバージョン2.0.0-beta.36未満において、ログパス制御の脆弱性が発見された。この脆弱性は【CVE-2024-49367】として識別され、/api/configsエンドポイントでのディレクトリトラバーサル攻撃により、サーバー上のファイル内容が読み取り可能となっていた。CVSS v4.0で5.5(Medium)と評価され、早急な対応が推奨される。開発元の0xJackyは2.0.0-beta.36で修正を実施している。

【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサルの脆弱性、権限昇格のリスクで緊急アップデートを推奨

【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサ...

GitHubは2024年10月21日、Nginx用WebインターフェースNginx UI v2.0.0-beta.35以前にパストラバーサルの脆弱性が存在することを公開した。この脆弱性はCVE-2024-49366として識別され、CVSSスコア7.7(HIGH)と評価されている。jsonフィールドの値検証が不十分なため、攻撃者によるサーバー上の任意のファイル書き込みが可能となる深刻な問題だ。

【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサ...

GitHubは2024年10月21日、Nginx用WebインターフェースNginx UI v2.0.0-beta.35以前にパストラバーサルの脆弱性が存在することを公開した。この脆弱性はCVE-2024-49366として識別され、CVSSスコア7.7(HIGH)と評価されている。jsonフィールドの値検証が不十分なため、攻撃者によるサーバー上の任意のファイル書き込みが可能となる深刻な問題だ。

【CVE-2024-48921】Kyvernoに深刻な脆弱性、ClusterPolicyが任意のnamespaceで無効化可能に

【CVE-2024-48921】Kyvernoに深刻な脆弱性、ClusterPolicyが任意...

KubernetesのポリシーエンジンKyvernoにおいて、任意のnamespaceでPolicyExceptionを作成できる深刻な脆弱性が発見された。CVSSスコア8.7の高リスク脆弱性として識別され、特権不要で容易に攻撃可能な状態であった。開発チームは迅速に対応し、バージョン1.13.0で修正を実施。セキュリティポリシーの無効化を防ぐ機能が実装された。

【CVE-2024-48921】Kyvernoに深刻な脆弱性、ClusterPolicyが任意...

KubernetesのポリシーエンジンKyvernoにおいて、任意のnamespaceでPolicyExceptionを作成できる深刻な脆弱性が発見された。CVSSスコア8.7の高リスク脆弱性として識別され、特権不要で容易に攻撃可能な状態であった。開発チームは迅速に対応し、バージョン1.13.0で修正を実施。セキュリティポリシーの無効化を防ぐ機能が実装された。

【CVE-2024-47255】2N Access Commander 3.1.1.2に特権昇格の脆弱性、root権限での任意コード実行のリスクに警鐘

【CVE-2024-47255】2N Access Commander 3.1.1.2に特権昇...

2N社が2N Access Commander 3.1.1.2およびそれ以前のバージョンにおいて特権昇格の脆弱性【CVE-2024-47255】を発見したことを公開した。この脆弱性によりローカル攻撃者がシステムの特権を昇格させ、root権限で任意のコードを実行できる可能性がある。CVSSスコアは4.7(Medium)で、攻撃の複雑さは高いものの、ユーザーインタラクションは不要とされている。

【CVE-2024-47255】2N Access Commander 3.1.1.2に特権昇...

2N社が2N Access Commander 3.1.1.2およびそれ以前のバージョンにおいて特権昇格の脆弱性【CVE-2024-47255】を発見したことを公開した。この脆弱性によりローカル攻撃者がシステムの特権を昇格させ、root権限で任意のコードを実行できる可能性がある。CVSSスコアは4.7(Medium)で、攻撃の複雑さは高いものの、ユーザーインタラクションは不要とされている。

【CVE-2024-38407】QualcommのSnapdragonデバイスでTOCTOU脆弱性を発見、複数のプラットフォームに影響

【CVE-2024-38407】QualcommのSnapdragonデバイスでTOCTOU脆...

QualcommはSnapdragonデバイスのJPEG Encoderドライバに存在するTime-Of-Check Time-Of-Use(TOCTOU)脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、FastConnect、QCAシリーズ、Snapdragon Compute、Industrial IoT、Wearablesなど44製品に影響。入力パラメータ処理時のメモリ破損により、権限昇格などの深刻な影響を引き起こす可能性がある。

【CVE-2024-38407】QualcommのSnapdragonデバイスでTOCTOU脆...

QualcommはSnapdragonデバイスのJPEG Encoderドライバに存在するTime-Of-Check Time-Of-Use(TOCTOU)脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、FastConnect、QCAシリーズ、Snapdragon Compute、Industrial IoT、Wearablesなど44製品に影響。入力パラメータ処理時のメモリ破損により、権限昇格などの深刻な影響を引き起こす可能性がある。

【CVE-2024-38406】QualcommのSnapdragonプラットフォームにTOCTOU脆弱性、44製品に影響

【CVE-2024-38406】QualcommのSnapdragonプラットフォームにTOC...

QualcommがSnapdragonプラットフォームのJPEGエンコーダドライバにおけるTime-Of-Check Time-Of-Use(TOCTOU)レースコンディション脆弱性を公開した。FastConnect、QCA、WCDシリーズなど44製品に影響し、CVSSスコア7.8のHigh深刻度に分類される。メモリ破損を引き起こす可能性があり、早急なパッチ適用が推奨されている。

【CVE-2024-38406】QualcommのSnapdragonプラットフォームにTOC...

QualcommがSnapdragonプラットフォームのJPEGエンコーダドライバにおけるTime-Of-Check Time-Of-Use(TOCTOU)レースコンディション脆弱性を公開した。FastConnect、QCA、WCDシリーズなど44製品に影響し、CVSSスコア7.8のHigh深刻度に分類される。メモリ破損を引き起こす可能性があり、早急なパッチ適用が推奨されている。

【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、FastConnectやSnapdragonなど多数の製品に影響

【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、Fast...

Qualcommは2024年11月4日、WLANホストにおけるバッファオーバーリードの脆弱性【CVE-2024-38405】を公開した。この脆弱性はCVSSスコア7.5と評価され、FastConnect 6700/6900/7800やSnapdragon 8 Gen 2/Gen 3など多数の製品に影響を及ぼす。特権やユーザーの操作を必要とせず、ネットワーク経由で攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、Fast...

Qualcommは2024年11月4日、WLANホストにおけるバッファオーバーリードの脆弱性【CVE-2024-38405】を公開した。この脆弱性はCVSSスコア7.5と評価され、FastConnect 6700/6900/7800やSnapdragon 8 Gen 2/Gen 3など多数の製品に影響を及ぼす。特権やユーザーの操作を必要とせず、ネットワーク経由で攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-38403】QualcommのWLANファームウェアにバッファオーバーリードの脆弱性、78バージョンに影響

【CVE-2024-38403】QualcommのWLANファームウェアにバッファオーバーリー...

QualcommがWLANファームウェアにおける重大な脆弱性【CVE-2024-38403】を公開。BTM ML IEのパース処理における一時的なサービス拒否の可能性が判明し、CVSSスコア7.5(High)と評価された。FastConnect 6900やFastConnect 7800など、78のバージョンで影響が確認され、Snapdragon AutoやCompute、Mobileなど幅広いプラットフォームに影響を及ぼすことが明らかになっている。

【CVE-2024-38403】QualcommのWLANファームウェアにバッファオーバーリー...

QualcommがWLANファームウェアにおける重大な脆弱性【CVE-2024-38403】を公開。BTM ML IEのパース処理における一時的なサービス拒否の可能性が判明し、CVSSスコア7.5(High)と評価された。FastConnect 6900やFastConnect 7800など、78のバージョンで影響が確認され、Snapdragon AutoやCompute、Mobileなど幅広いプラットフォームに影響を及ぼすことが明らかになっている。

【CVE-2024-33068】Qualcommが複数のSnapdragonプラットフォームで脆弱性を公開、WLANホスト通信機能に影響

【CVE-2024-33068】Qualcommが複数のSnapdragonプラットフォームで...

QualcommはSnapdragonプラットフォームのWLANホスト通信機能においてUse After Free脆弱性【CVE-2024-33068】を公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価されており、ネットワークを介した攻撃が可能で、特権レベルや利用者の関与を必要としない。影響を受ける製品にはSnapdragon Auto、Mobile、Wearablesなど幅広いプラットフォームが含まれている。

【CVE-2024-33068】Qualcommが複数のSnapdragonプラットフォームで...

QualcommはSnapdragonプラットフォームのWLANホスト通信機能においてUse After Free脆弱性【CVE-2024-33068】を公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価されており、ネットワークを介した攻撃が可能で、特権レベルや利用者の関与を必要としない。影響を受ける製品にはSnapdragon Auto、Mobile、Wearablesなど幅広いプラットフォームが含まれている。

【CVE-2024-33033】Qualcommが複数のSnapdragon製品に影響する脆弱性を公開、メモリ破損のリスクに対応急ぐ

【CVE-2024-33033】Qualcommが複数のSnapdragon製品に影響する脆弱...

QualcommはSnapdragonプラットフォームにおいて、ComputerVisionのIOCTL処理に関連する深刻な脆弱性【CVE-2024-33033】を公開した。FastConnect 6900/7800、Snapdragon 8 Gen 2/8+ Gen 2など複数の製品でバッファのアンマップ処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7(Medium)と評価されている。高い特権レベルが必要だが、攻撃成功時の影響が大きいため、早急な対応が推奨される。

【CVE-2024-33033】Qualcommが複数のSnapdragon製品に影響する脆弱...

QualcommはSnapdragonプラットフォームにおいて、ComputerVisionのIOCTL処理に関連する深刻な脆弱性【CVE-2024-33033】を公開した。FastConnect 6900/7800、Snapdragon 8 Gen 2/8+ Gen 2など複数の製品でバッファのアンマップ処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7(Medium)と評価されている。高い特権レベルが必要だが、攻撃成功時の影響が大きいため、早急な対応が推奨される。

【CVE-2024-33032】Qualcommが複数のSnapdragon製品でカメラ機能の脆弱性を公開、メモリ破損のリスクが浮上

【CVE-2024-33032】Qualcommが複数のSnapdragon製品でカメラ機能の...

Qualcommは2024年11月4日、Snapdragonプラットフォームのカメラ機能に関する重要な脆弱性【CVE-2024-33032】を公開した。この脆弱性は、ユーザーアプリケーションが共有メモリを非同期的に変更することでメモリ破損を引き起こす可能性があり、Snapdragon AutoやMobileなど69の製品バージョンに影響を与える。CVSSスコアは6.7で、ローカルアクセスと高い特権レベルが必要とされている。

【CVE-2024-33032】Qualcommが複数のSnapdragon製品でカメラ機能の...

Qualcommは2024年11月4日、Snapdragonプラットフォームのカメラ機能に関する重要な脆弱性【CVE-2024-33032】を公開した。この脆弱性は、ユーザーアプリケーションが共有メモリを非同期的に変更することでメモリ破損を引き起こす可能性があり、Snapdragon AutoやMobileなど69の製品バージョンに影響を与える。CVSSスコアは6.7で、ローカルアクセスと高い特権レベルが必要とされている。

【CVE-2024-33031】QualcommがSnapdragonプラットフォームの入力検証における脆弱性を公開、複数の製品に影響

【CVE-2024-33031】QualcommがSnapdragonプラットフォームの入力検...

QualcommはSnapdragonプラットフォームにおいて、RILの入力検証における重大な脆弱性【CVE-2024-33031】を発見した。SIMフォンブックレコードの更新処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7を記録。FastConnect 7800やQCC710、QCN6224など複数のチップセットが影響を受け、11月のセキュリティブリテンで修正プログラムが提供された。

【CVE-2024-33031】QualcommがSnapdragonプラットフォームの入力検...

QualcommはSnapdragonプラットフォームにおいて、RILの入力検証における重大な脆弱性【CVE-2024-33031】を発見した。SIMフォンブックレコードの更新処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7を記録。FastConnect 7800やQCC710、QCN6224など複数のチップセットが影響を受け、11月のセキュリティブリテンで修正プログラムが提供された。

【CVE-2024-33030】QualcommのSnapdragonプラットフォームでバッファオーバーフロー脆弱性を確認、複数の製品に影響

【CVE-2024-33030】QualcommのSnapdragonプラットフォームでバッフ...

QualcommはSnapdragonプラットフォームにおける重大な脆弱性【CVE-2024-33030】を公開した。この脆弱性はLPLHのIPC周波数テーブルパラメータを解析する際のバッファオーバーフローに関するもので、CVSSスコア6.7(Medium)と評価されている。Snapdragon 8 Gen 1 Mobile PlatformやFastConnect 6900/7800など、複数の製品に影響を与える可能性がある重要な問題だ。

【CVE-2024-33030】QualcommのSnapdragonプラットフォームでバッフ...

QualcommはSnapdragonプラットフォームにおける重大な脆弱性【CVE-2024-33030】を公開した。この脆弱性はLPLHのIPC周波数テーブルパラメータを解析する際のバッファオーバーフローに関するもので、CVSSスコア6.7(Medium)と評価されている。Snapdragon 8 Gen 1 Mobile PlatformやFastConnect 6900/7800など、複数の製品に影響を与える可能性がある重要な問題だ。

【CVE-2024-33029】QualcommのDSPサービスにUse After Free脆弱性、自動車向けプラットフォームに影響

【CVE-2024-33029】QualcommのDSPサービスにUse After Free...

QualcommはDSPサービスにおいてPDRドライバーのリモートヒープマップ取得時にメモリ破損が発生する脆弱性を公開した。CVE-2024-33029として識別されるこの脆弱性は、QCA6584AU、QCA6698AQ、Snapdragon Auto 5G Modem-RF Gen 2に影響を与え、特権ユーザーによるローカルからの攻撃が可能となっている。CVSSスコアは6.7(MEDIUM)に分類され、早急な対応が求められる。

【CVE-2024-33029】QualcommのDSPサービスにUse After Free...

QualcommはDSPサービスにおいてPDRドライバーのリモートヒープマップ取得時にメモリ破損が発生する脆弱性を公開した。CVE-2024-33029として識別されるこの脆弱性は、QCA6584AU、QCA6698AQ、Snapdragon Auto 5G Modem-RF Gen 2に影響を与え、特権ユーザーによるローカルからの攻撃が可能となっている。CVSSスコアは6.7(MEDIUM)に分類され、早急な対応が求められる。

【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQLインジェクション脆弱性を発見、遠隔からの攻撃が可能に

【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQL...

romadebrian WEB-Sekolah 1.0のMail Handlerコンポーネントに重大な脆弱性が発見された。/Proses_Kirim.phpファイルのName引数操作によるSQLインジェクションが可能で、CVSSスコアは中程度だが遠隔から攻撃実行が可能な状態となっている。既にエクスプロイトコードが公開されており、早急な対策が必要とされる。

【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQL...

romadebrian WEB-Sekolah 1.0のMail Handlerコンポーネントに重大な脆弱性が発見された。/Proses_Kirim.phpファイルのName引数操作によるSQLインジェクションが可能で、CVSSスコアは中程度だが遠隔から攻撃実行が可能な状態となっている。既にエクスプロイトコードが公開されており、早急な対策が必要とされる。

【CVE-2024-10840】romadebrian WEB-Sekolah 1.0にクロスサイトスクリプティングの脆弱性、管理画面での対策が急務に

【CVE-2024-10840】romadebrian WEB-Sekolah 1.0にクロス...

romadebrian WEB-Sekolah 1.0のBackendシステムにおいて、深刻なクロスサイトスクリプティング脆弱性が発見された。Admin/akun_edit.phpのkode引数に対する入力値の検証が不十分であり、リモートからの攻撃が可能。CVSS v4.0で5.1(MEDIUM)と評価され、高権限は必要だがユーザー操作不要で攻撃可能。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2024-10840】romadebrian WEB-Sekolah 1.0にクロス...

romadebrian WEB-Sekolah 1.0のBackendシステムにおいて、深刻なクロスサイトスクリプティング脆弱性が発見された。Admin/akun_edit.phpのkode引数に対する入力値の検証が不十分であり、リモートからの攻撃が可能。CVSS v4.0で5.1(MEDIUM)と評価され、高権限は必要だがユーザー操作不要で攻撃可能。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2024-10805】code-projects University Event Management System 1.0でSQL injection脆弱性が発見、教育機関のデータセキュ

【CVE-2024-10805】code-projects University Event ...

code-projects University Event Management System 1.0のdoedit.phpファイルにおいて、重大なSQL injection脆弱性が発見された。CVE-2024-10805として識別されたこの脆弱性は、リモートからの攻撃が可能で特別な権限を必要としない。CVSS v4.0で5.3(MEDIUM)と評価され、教育機関のデータセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2024-10805】code-projects University Event ...

code-projects University Event Management System 1.0のdoedit.phpファイルにおいて、重大なSQL injection脆弱性が発見された。CVE-2024-10805として識別されたこの脆弱性は、リモートからの攻撃が可能で特別な権限を必要としない。CVSS v4.0で5.3(MEDIUM)と評価され、教育機関のデータセキュリティに深刻な影響を及ぼす可能性がある。