Tech Insights

Microsoft Defender for IoTに深刻な権限昇格脆弱性、CVE-2024-...

2024年7月20日

マイクロソフトのIoTセキュリティ製品Microsoft Defender for IoTに、権限昇格を可能にする深刻な脆弱性CVE-2024-38089が発見された。CVSS v3で9.9という高い深刻度を記録し、攻撃条件が容易なことから早急な対策が求められている。IoTデバイスの普及が進む中、本脆弱性は重要インフラを含む広範な影響を及ぼす可能性がある。

Microsoft Defender for IoTに深刻な権限昇格脆弱性、CVE-2024-...

2024年7月20日

マイクロソフトのIoTセキュリティ製品Microsoft Defender for IoTに、権限昇格を可能にする深刻な脆弱性CVE-2024-38089が発見された。CVSS v3で9.9という高い深刻度を記録し、攻撃条件が容易なことから早急な対策が求められている。IoTデバイスの普及が進む中、本脆弱性は重要インフラを含む広範な影響を及ぼす可能性がある。

RADIUSプロトコルに認証偽装脆弱性、UDPベース通信で攻撃可能に

2024年7月20日

RADIUSプロトコルにおいて、UDPベースの通信を利用した認証レスポンスの偽造が可能な脆弱性が発見された。攻撃者は共有秘密鍵を知らずにRejectをAcceptに変更可能。EAP使用のRADIUSサーバーは影響を受けず、TLS暗号化で回避可能。FreeRADIUS等の開発者には最新版へのアップデートが推奨される。

RADIUSプロトコルに認証偽装脆弱性、UDPベース通信で攻撃可能に

2024年7月20日

RADIUSプロトコルにおいて、UDPベースの通信を利用した認証レスポンスの偽造が可能な脆弱性が発見された。攻撃者は共有秘密鍵を知らずにRejectをAcceptに変更可能。EAP使用のRADIUSサーバーは影響を受けず、TLS暗号化で回避可能。FreeRADIUS等の開発者には最新版へのアップデートが推奨される。

HMS Industrial NetworksのAnybus-CompactCom 30にXS...

2024年7月20日

HMS Industrial Networks社のAnybus-CompactCom 30に深刻なクロスサイトスクリプティング（XSS）脆弱性が発見された。CVE-2024-6558として報告されたこの問題は、Webサーバ稼働時に影響を受け、データ窃取やリモートコード実行の危険性がある。産業用ネットワーク機器のセキュリティに警鐘を鳴らす重大な事態として注目を集めている。

HMS Industrial NetworksのAnybus-CompactCom 30にXS...

2024年7月20日

HMS Industrial Networks社のAnybus-CompactCom 30に深刻なクロスサイトスクリプティング（XSS）脆弱性が発見された。CVE-2024-6558として報告されたこの問題は、Webサーバ稼働時に影響を受け、データ窃取やリモートコード実行の危険性がある。産業用ネットワーク機器のセキュリティに警鐘を鳴らす重大な事態として注目を集めている。

lighttpdの6年前の脆弱性、多くの製品で未修正のまま残存していることが判明

2024年7月20日

2018年に発見されたlighttpdの解放済みメモリ使用脆弱性が、2024年6月にCVE-2018-25103として正式に識別された。多くの製品で未だに修正されておらず、特に組み込み機器での影響が懸念される。この事態はオープンソースソフトウェアの脆弱性管理の課題を浮き彫りにしている。

lighttpdの6年前の脆弱性、多くの製品で未修正のまま残存していることが判明

2024年7月20日

2018年に発見されたlighttpdの解放済みメモリ使用脆弱性が、2024年6月にCVE-2018-25103として正式に識別された。多くの製品で未だに修正されておらず、特に組み込み機器での影響が懸念される。この事態はオープンソースソフトウェアの脆弱性管理の課題を浮き彫りにしている。

OTRSに重大な脆弱性、CVSS基本値7.5の深刻度で情報漏洩やDoSのリスク

2024年7月20日

OTRSプロジェクトのOTRSソフトウェアに重大な脆弱性が発見された。CVSS v3による深刻度は7.5（重要）で、OTRS 8.0.0から2024.5.2未満のバージョンが影響を受ける。この脆弱性により、情報取得、改ざん、DoS状態のリスクがあり、早急なパッチ適用が求められる。影響を受ける組織は速やかなセキュリティ対策の見直しが必要だ。

OTRSに重大な脆弱性、CVSS基本値7.5の深刻度で情報漏洩やDoSのリスク

2024年7月20日

OTRSプロジェクトのOTRSソフトウェアに重大な脆弱性が発見された。CVSS v3による深刻度は7.5（重要）で、OTRS 8.0.0から2024.5.2未満のバージョンが影響を受ける。この脆弱性により、情報取得、改ざん、DoS状態のリスクがあり、早急なパッチ適用が求められる。影響を受ける組織は速やかなセキュリティ対策の見直しが必要だ。

Rockwell AutomationのPavilion8に深刻な脆弱性、不適切なパーミッショ...

2024年7月20日

Rockwell AutomationのPavilion8バージョン5.15.00から5.20.00に重大な脆弱性（CVE-2024-6435）が発見された。不適切なパーミッション割り当てにより、新規ユーザ作成や機密情報閲覧のリスクがある。対策としてバージョン6.0以降へのアップデートが推奨されている。この事例は産業用制御システムのセキュリティ強化の必要性を浮き彫りにした。

Rockwell AutomationのPavilion8に深刻な脆弱性、不適切なパーミッショ...

2024年7月20日

Rockwell AutomationのPavilion8バージョン5.15.00から5.20.00に重大な脆弱性（CVE-2024-6435）が発見された。不適切なパーミッション割り当てにより、新規ユーザ作成や機密情報閲覧のリスクがある。対策としてバージョン6.0以降へのアップデートが推奨されている。この事例は産業用制御システムのセキュリティ強化の必要性を浮き彫りにした。

Assimpにヒープベースのバッファオーバーフロー脆弱性、CVSS8.4で重要度評価

2024年7月20日

Open Asset Import Library（Assimp）にヒープベースのバッファオーバーフローの脆弱性が発見された。CVSS v3で基本値8.4（重要）と評価され、攻撃条件の複雑さは低く、特権不要で利用者関与も不要。開発者は脆弱性を修正したバージョン5.4.2をリリースしており、ユーザーは最新版へのアップデートが推奨される。

Assimpにヒープベースのバッファオーバーフロー脆弱性、CVSS8.4で重要度評価

2024年7月20日

Open Asset Import Library（Assimp）にヒープベースのバッファオーバーフローの脆弱性が発見された。CVSS v3で基本値8.4（重要）と評価され、攻撃条件の複雑さは低く、特権不要で利用者関与も不要。開発者は脆弱性を修正したバージョン5.4.2をリリースしており、ユーザーは最新版へのアップデートが推奨される。

Assimpにバッファオーバーフローの脆弱性、最新版5.4.2でCVE-2024-40724に...

2024年7月20日

Open Asset Import LibraryのAssimpでヒープベースのバッファオーバーフロー（CVE-2024-40724）が発見された。Assimp 5.4.2未満のバージョンが影響を受け、CVSS基本値8.4の高リスク脆弱性。開発者は修正版5.4.2をリリースし、ユーザーに速やかなアップデートを推奨。この事例は3Dモデリングやゲーム開発業界全体のセキュリティ意識向上につながる重要な警鐘となった。

Assimpにバッファオーバーフローの脆弱性、最新版5.4.2でCVE-2024-40724に...

2024年7月20日

Open Asset Import LibraryのAssimpでヒープベースのバッファオーバーフロー（CVE-2024-40724）が発見された。Assimp 5.4.2未満のバージョンが影響を受け、CVSS基本値8.4の高リスク脆弱性。開発者は修正版5.4.2をリリースし、ユーザーに速やかなアップデートを推奨。この事例は3Dモデリングやゲーム開発業界全体のセキュリティ意識向上につながる重要な警鐘となった。

WordPressプラグインpromolayerに認証欠如の脆弱性、情報改ざんの可能性も

2024年7月20日

WordPressのプラグインpromolayerのpopup builderに認証欠如の脆弱性が発見された。CVSS v3による深刻度は4.3（警告）で、popup builder 1.1.0以前のバージョンが影響を受ける。情報改ざんのリスクがあり、ユーザーは早急な対応が求められる。この事例はWordPressエコシステム全体のセキュリティ向上の必要性を示唆している。

WordPressプラグインpromolayerに認証欠如の脆弱性、情報改ざんの可能性も

2024年7月20日

WordPressのプラグインpromolayerのpopup builderに認証欠如の脆弱性が発見された。CVSS v3による深刻度は4.3（警告）で、popup builder 1.1.0以前のバージョンが影響を受ける。情報改ざんのリスクがあり、ユーザーは早急な対応が求められる。この事例はWordPressエコシステム全体のセキュリティ向上の必要性を示唆している。

WordPressプラグイン「export wp page to static html/cs...

2024年7月20日

myrecorpが開発したWordPress用プラグイン「export wp page to static html/css」にオープンリダイレクトの脆弱性（CVE-2024-3597）が発見された。バージョン2.2.2以前に影響し、CVSS v3基本値6.1の警告レベル。情報漏洩や改ざんのリスクがあり、ユーザーは早急な対策が必要。この問題はWordPressエコシステムのセキュリティ管理の重要性を再認識させる契機となっている。

WordPressプラグイン「export wp page to static html/cs...

2024年7月20日

myrecorpが開発したWordPress用プラグイン「export wp page to static html/css」にオープンリダイレクトの脆弱性（CVE-2024-3597）が発見された。バージョン2.2.2以前に影響し、CVSS v3基本値6.1の警告レベル。情報漏洩や改ざんのリスクがあり、ユーザーは早急な対策が必要。この問題はWordPressエコシステムのセキュリティ管理の重要性を再認識させる契機となっている。

WordPressプラグインwheel of lifeに認証欠如の脆弱性、情報改ざんやDoS攻...

2024年7月20日

WordPressプラグイン「wheel of life」にCVE-2024-3627として登録された認証欠如の脆弱性が発見された。kraftplugins社開発のバージョン1.1.7以前が影響を受け、CVSSによる深刻度は5.4（警告）。攻撃条件の複雑さは低く、情報改ざんやDoS攻撃のリスクがある。WordPress運営者はプラグインの更新や管理の見直しが急務となる。

WordPressプラグインwheel of lifeに認証欠如の脆弱性、情報改ざんやDoS攻...

2024年7月20日

WordPressプラグイン「wheel of life」にCVE-2024-3627として登録された認証欠如の脆弱性が発見された。kraftplugins社開発のバージョン1.1.7以前が影響を受け、CVSSによる深刻度は5.4（警告）。攻撃条件の複雑さは低く、情報改ざんやDoS攻撃のリスクがある。WordPress運営者はプラグインの更新や管理の見直しが急務となる。

WordPress用depicterに権限管理の脆弱性、情報漏洩のリスクに警鐘

2024年7月20日

WordPress用プラグインdepicterに権限管理の脆弱性が発見された。CVSS基本値6.5の警告レベルで、depicter 3.1.0未満が影響を受ける。この脆弱性（CVE-2024-4390）により情報漏洩のリスクがあり、早急な対策が求められる。WordPress開発者コミュニティ全体でのセキュリティ意識向上と、ユーザー側の定期的なアップデートの重要性が再認識された。

WordPress用depicterに権限管理の脆弱性、情報漏洩のリスクに警鐘

2024年7月20日

WordPress用プラグインdepicterに権限管理の脆弱性が発見された。CVSS基本値6.5の警告レベルで、depicter 3.1.0未満が影響を受ける。この脆弱性（CVE-2024-4390）により情報漏洩のリスクがあり、早急な対策が求められる。WordPress開発者コミュニティ全体でのセキュリティ意識向上と、ユーザー側の定期的なアップデートの重要性が再認識された。

WordPress用YouzifyにSQLインジェクション脆弱性、情報漏洩やDoSのリスクが浮上

2024年7月20日

KaineLabsが開発したWordPress用プラグイン「Youzify」にSQLインジェクションの脆弱性（CVE-2024-4742）が発見された。CVSSスコア8.8の重要度で、Youzify 1.2.5以前のバージョンが影響を受ける。この脆弱性により、攻撃者が認証なしで不正なSQLクエリを実行し、情報漏洩やデータ改ざん、DoS状態を引き起こす可能性がある。

WordPress用YouzifyにSQLインジェクション脆弱性、情報漏洩やDoSのリスクが浮上

2024年7月20日

KaineLabsが開発したWordPress用プラグイン「Youzify」にSQLインジェクションの脆弱性（CVE-2024-4742）が発見された。CVSSスコア8.8の重要度で、Youzify 1.2.5以前のバージョンが影響を受ける。この脆弱性により、攻撃者が認証なしで不正なSQLクエリを実行し、情報漏洩やデータ改ざん、DoS状態を引き起こす可能性がある。

JetWidgets For Elementorにクロスサイトスクリプティングの脆弱性、Wor...

2024年7月20日

CrocoblockのWordPress用プラグインJetWidgets For Elementorにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-4626として登録され、CVSS v3基本値5.4の警告レベル。バージョン1.0.18未満が影響を受け、多くのWordPressサイトに潜在的なセキュリティリスクをもたらす可能性がある。迅速なパッチ適用とセキュリティ意識の向上が求められる。

JetWidgets For Elementorにクロスサイトスクリプティングの脆弱性、Wor...

2024年7月20日

CrocoblockのWordPress用プラグインJetWidgets For Elementorにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-4626として登録され、CVSS v3基本値5.4の警告レベル。バージョン1.0.18未満が影響を受け、多くのWordPressサイトに潜在的なセキュリティリスクをもたらす可能性がある。迅速なパッチ適用とセキュリティ意識の向上が求められる。

Advanced Custom Fieldsに不特定の脆弱性、情報改ざんの可能性でWordPr...

2024年7月20日

Delicious Brainsが提供するWordPress用プラグインAdvanced Custom Fieldsに不特定の脆弱性が発見された。CVSS v3による深刻度は6.5（警告）で、バージョン6.3未満が影響を受ける。攻撃者による情報改ざんの可能性があり、WordPress管理者は迅速な対応が求められている。この問題はWordPressエコシステム全体のセキュリティ意識向上につながる可能性がある。

Advanced Custom Fieldsに不特定の脆弱性、情報改ざんの可能性でWordPr...

2024年7月20日

Delicious Brainsが提供するWordPress用プラグインAdvanced Custom Fieldsに不特定の脆弱性が発見された。CVSS v3による深刻度は6.5（警告）で、バージョン6.3未満が影響を受ける。攻撃者による情報改ざんの可能性があり、WordPress管理者は迅速な対応が求められている。この問題はWordPressエコシステム全体のセキュリティ意識向上につながる可能性がある。

wp child theme generatorに認証欠如の脆弱性、WordPressサイトの...

2024年7月20日

wensolutionsの開発したWordPress用プラグイン「wp child theme generator」に認証の欠如に関する脆弱性が発見された。CVSS v3深刻度基本値5.3（警告）の本脆弱性は、バージョン1.1.2未満に影響し、サービス運用妨害（DoS）状態を引き起こす可能性がある。WordPress開発者コミュニティのセキュリティ強化とユーザー側の迅速な対応が求められている。

wp child theme generatorに認証欠如の脆弱性、WordPressサイトの...

2024年7月20日

wensolutionsの開発したWordPress用プラグイン「wp child theme generator」に認証の欠如に関する脆弱性が発見された。CVSS v3深刻度基本値5.3（警告）の本脆弱性は、バージョン1.1.2未満に影響し、サービス運用妨害（DoS）状態を引き起こす可能性がある。WordPress開発者コミュニティのセキュリティ強化とユーザー側の迅速な対応が求められている。

ConvertKitのWordPress用プラグインに認証欠如の脆弱性、情報改ざんのリスクが浮上

2024年7月20日

ConvertKitのWordPress用プラグイン「convertkit - email marketing, email newsletter and landing pages」にバージョン2.4.9.1未満で認証の欠如による脆弱性が発見された。CVSS v3で深刻度5.3と評価され、情報改ざんのリスクがある。攻撃に特権や利用者関与が不要なため、早急な対策が求められる。

ConvertKitのWordPress用プラグインに認証欠如の脆弱性、情報改ざんのリスクが浮上

2024年7月20日

ConvertKitのWordPress用プラグイン「convertkit - email marketing, email newsletter and landing pages」にバージョン2.4.9.1未満で認証の欠如による脆弱性が発見された。CVSS v3で深刻度5.3と評価され、情報改ざんのリスクがある。攻撃に特権や利用者関与が不要なため、早急な対策が求められる。

WordPressプラグインCommonsBookingにXSS脆弱性、情報漏洩のリスクに警鐘

2024年7月20日

wielebenwir e.V.が開発するWordPress用プラグインCommonsBookingにXSS脆弱性が発見された。バージョン0.9.4.18以前が影響を受け、CVSSスコア4.8の警告レベル。情報漏洩や改ざんのリスクがあり、管理者は早急な対策が必要。この事例はオープンソースソフトウェアのセキュリティ管理の課題を浮き彫りにしている。

WordPressプラグインCommonsBookingにXSS脆弱性、情報漏洩のリスクに警鐘

2024年7月20日

wielebenwir e.V.が開発するWordPress用プラグインCommonsBookingにXSS脆弱性が発見された。バージョン0.9.4.18以前が影響を受け、CVSSスコア4.8の警告レベル。情報漏洩や改ざんのリスクがあり、管理者は早急な対策が必要。この事例はオープンソースソフトウェアのセキュリティ管理の課題を浮き彫りにしている。

ESET製品にサービス拒否攻撃の脆弱性、CVE-2024-3779の修正版をリリースしセキュリ...

2024年7月20日

ESETがWindows向け製品に存在する脆弱性（CVE-2024-3779）を公表し、修正バージョンV17.2.7.0をリリースした。この脆弱性は、特定条件下でサービス拒否攻撃を可能にするもので、個人向けからSOHO向け製品まで幅広い製品に影響を及ぼす。ユーザーは速やかなバージョンアップが推奨される。

ESET製品にサービス拒否攻撃の脆弱性、CVE-2024-3779の修正版をリリースしセキュリ...

2024年7月20日

ESETがWindows向け製品に存在する脆弱性（CVE-2024-3779）を公表し、修正バージョンV17.2.7.0をリリースした。この脆弱性は、特定条件下でサービス拒否攻撃を可能にするもので、個人向けからSOHO向け製品まで幅広い製品に影響を及ぼす。ユーザーは速やかなバージョンアップが推奨される。

Thunderbird 128でCVE-2024-6606など複数の脆弱性を修正、メールセキュ...

2024年7月20日

Mozilla FoundationがThunderbird 128向けセキュリティアドバイザリを発表。クリップボードコンポーネントの高影響度脆弱性CVE-2024-6606を含む複数の問題に対処。ポインタロックやフルスクリーンモードの脆弱性も修正され、メールクライアントのセキュリティが大幅に強化。ユーザーデータ保護とソフトウェア信頼性が向上。

Thunderbird 128でCVE-2024-6606など複数の脆弱性を修正、メールセキュ...

2024年7月20日

Mozilla FoundationがThunderbird 128向けセキュリティアドバイザリを発表。クリップボードコンポーネントの高影響度脆弱性CVE-2024-6606を含む複数の問題に対処。ポインタロックやフルスクリーンモードの脆弱性も修正され、メールクライアントのセキュリティが大幅に強化。ユーザーデータ保護とソフトウェア信頼性が向上。

Apache HTTP Server 2.4.62がリリース、重要な脆弱性CVE-2024-4...

2024年7月20日

Apache HTTP Server 2.4.62が重要なセキュリティ更新をリリース。CVE-2024-40725によるソースコード漏洩とCVE-2024-40898によるSSRF脆弱性に対処。ユーザーには即時の更新が推奨される。Webサーバーのセキュリティ強化と迅速な脆弱性対応の重要性が再認識される。

Apache HTTP Server 2.4.62がリリース、重要な脆弱性CVE-2024-4...

2024年7月20日

Apache HTTP Server 2.4.62が重要なセキュリティ更新をリリース。CVE-2024-40725によるソースコード漏洩とCVE-2024-40898によるSSRF脆弱性に対処。ユーザーには即時の更新が推奨される。Webサーバーのセキュリティ強化と迅速な脆弱性対応の重要性が再認識される。

Microsoft 365で大規模障害発生、SharePointやTeamsなど多数のサービスに影響

2024年7月20日

Microsoft 365の多数のサービスで広範囲にわたる障害が発生。SharePoint Online、OneDrive for Business、Microsoft Teams、Microsoft Intune、PowerBI、Microsoft Fabric、Microsoft Defenderなど、主要サービスのアクセスや機能に支障が出ている。Microsoftは対応を進めており、一部ユーザーで改善の兆しが見られるが、全面復旧には時間がかかる見込み。企業の日常業務に深刻な影響を及ぼしている。

Microsoft 365で大規模障害発生、SharePointやTeamsなど多数のサービスに影響

2024年7月20日

Microsoft 365の多数のサービスで広範囲にわたる障害が発生。SharePoint Online、OneDrive for Business、Microsoft Teams、Microsoft Intune、PowerBI、Microsoft Fabric、Microsoft Defenderなど、主要サービスのアクセスや機能に支障が出ている。Microsoftは対応を進めており、一部ユーザーで改善の兆しが見られるが、全面復旧には時間がかかる見込み。企業の日常業務に深刻な影響を及ぼしている。