Tech Insights

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フォーム送信データの不正閲覧が可能に

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フ...

WordPressプラグインのEleForms 2.9.9.9以前のバージョンに、認証機能の欠如による重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がフォーム送信データを閲覧可能な状態となっている。CVE-2024-6626として識別され、CVSSスコアは5.3(Medium)と評価されている。影響を受けるバージョンを使用している場合は、速やかなアップデートが推奨される。

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フ...

WordPressプラグインのEleForms 2.9.9.9以前のバージョンに、認証機能の欠如による重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がフォーム送信データを閲覧可能な状態となっている。CVE-2024-6626として識別され、CVSSスコアは5.3(Medium)と評価されている。影響を受けるバージョンを使用している場合は、速やかなアップデートが推奨される。

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジェクションの脆弱性、リモート攻撃が可能な状態に

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-10168】Active Products Tables for WooCommerceにXSS脆弱性、貢献者権限で任意のスクリプト実行が可能に

【CVE-2024-10168】Active Products Tables for WooC...

WordfenceによってActive Products Tables for WooCommerceプラグインのバージョン1.0.6.4以前に深刻な脆弱性が発見された。woot_buttonショートコードを介した格納型XSSの脆弱性により、contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4のMedium評価で、早急な対応が必要とされている。

【CVE-2024-10168】Active Products Tables for WooC...

WordfenceによってActive Products Tables for WooCommerceプラグインのバージョン1.0.6.4以前に深刻な脆弱性が発見された。woot_buttonショートコードを介した格納型XSSの脆弱性により、contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4のMedium評価で、早急な対応が必要とされている。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性、Contributor権限での悪用が可能に

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱性、複数製品のアップデートで対応完了

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱...

F5 NetworksはNGINX OpenID Connect実装において、ログイン時のnonceチェックが行われないセッション固定の脆弱性を公開した。この問題により攻撃者は被害者のセッションを制御下のアカウントに固定可能となる。NGINX Instance Manager、NGINX API Connectivity Manager、NGINX Ingress Controllerなど複数製品への影響が判明し、各製品のアップデートで対応を完了している。

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱...

F5 NetworksはNGINX OpenID Connect実装において、ログイン時のnonceチェックが行われないセッション固定の脆弱性を公開した。この問題により攻撃者は被害者のセッションを制御下のアカウントに固定可能となる。NGINX Instance Manager、NGINX API Connectivity Manager、NGINX Ingress Controllerなど複数製品への影響が判明し、各製品のアップデートで対応を完了している。

【CVE-2024-10020】Heateor Social Login WordPress 1.1.35で認証バイパスの脆弱性が発見、管理者アカウントも危険に

【CVE-2024-10020】Heateor Social Login WordPress ...

WordPressプラグインのHeateor Social Login WordPress 1.1.35以前のバージョンで認証バイパスの脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者が任意のユーザーとしてログイン可能。管理者アカウントもソーシャルログイン認証が許可されている場合は危険にさらされる。早急なアップデートと認証設定の見直しが推奨される。

【CVE-2024-10020】Heateor Social Login WordPress ...

WordPressプラグインのHeateor Social Login WordPress 1.1.35以前のバージョンで認証バイパスの脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者が任意のユーザーとしてログイン可能。管理者アカウントもソーシャルログイン認証が許可されている場合は危険にさらされる。早急なアップデートと認証設定の見直しが推奨される。

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻な脆弱性、任意コード実行の危険性が浮上

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻...

Adobeが3DペイントソフトウェアSubstance3D - Painter 10.0.1以前のバージョンにOut-of-bounds Write脆弱性を確認。CVSSスコア7.8(High)で、悪意あるファイルを開くことで任意コードが実行される可能性。機密性・完全性・可用性すべてで高レベルの影響。CISA-ADPも確認し、早急な対応を推奨している。

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻...

Adobeが3DペイントソフトウェアSubstance3D - Painter 10.0.1以前のバージョンにOut-of-bounds Write脆弱性を確認。CVSSスコア7.8(High)で、悪意あるファイルを開くことで任意コードが実行される可能性。機密性・完全性・可用性すべてで高レベルの影響。CISA-ADPも確認し、早急な対応を推奨している。

【CVE-2024-10329】Ultimate Bootstrap Elements for Elementor 1.4.6に機密情報漏洩の脆弱性、認証済みユーザーからの攻撃に注意

【CVE-2024-10329】Ultimate Bootstrap Elements for...

WordPressプラグインUltimate Bootstrap Elements for Elementor 1.4.6以前のバージョンに機密情報漏洩の脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが非公開テンプレートの内容を閲覧可能な状態となっている。CVSS v3.1で4.3(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-10329】Ultimate Bootstrap Elements for...

WordPressプラグインUltimate Bootstrap Elements for Elementor 1.4.6以前のバージョンに機密情報漏洩の脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが非公開テンプレートの内容を閲覧可能な状態となっている。CVSS v3.1で4.3(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-10319】Xpro Addons For Elementor FREE 1.4.6の脆弱性発見、認証済みユーザーによる機密情報へのアクセスが可能に

【CVE-2024-10319】Xpro Addons For Elementor FREE ...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6以前に深刻な情報漏洩の脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートデータや下書きコンテンツにアクセス可能となる。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低いとされている。

【CVE-2024-10319】Xpro Addons For Elementor FREE ...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6以前に深刻な情報漏洩の脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートデータや下書きコンテンツにアクセス可能となる。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低いとされている。

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保存される脆弱性が発覚、物理アクセスによる情報漏洩のリスクに

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保...

TP-Link Tapo H100 IoT Smart Hubにおいて、Wi-Fi認証情報が平文でファームウェアに保存される重大な脆弱性が発見された。CERT-Inが公開したこの脆弱性は物理的なアクセス権を持つ攻撃者によって悪用される可能性があり、CVSSスコア4.4(MEDIUM)と評価されている。影響を受けるバージョンは1.5.22未満で、早急なアップデートが推奨される。

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保...

TP-Link Tapo H100 IoT Smart Hubにおいて、Wi-Fi認証情報が平文でファームウェアに保存される重大な脆弱性が発見された。CERT-Inが公開したこの脆弱性は物理的なアクセス権を持つ攻撃者によって悪用される可能性があり、CVSSスコア4.4(MEDIUM)と評価されている。影響を受けるバージョンは1.5.22未満で、早急なアップデートが推奨される。

【CVE-2024-38408】QualcommのBTコントローラに重大な暗号化の脆弱性、Snapdragonプラットフォーム全般に影響

【CVE-2024-38408】QualcommのBTコントローラに重大な暗号化の脆弱性、Sn...

Qualcommは2024年11月4日、BTコントローラにおける重大な暗号化の脆弱性を公開した。CVE-2024-38408として報告されたこの問題は、予期しない状況下でのLMP開始暗号化コマンド処理に関する脆弱性で、CVSS v3.1で8.2のスコアを記録。Snapdragon Auto、Mobile、Compute、Connectivityなど、広範な製品群に影響を及ぼすことが判明している。

【CVE-2024-38408】QualcommのBTコントローラに重大な暗号化の脆弱性、Sn...

Qualcommは2024年11月4日、BTコントローラにおける重大な暗号化の脆弱性を公開した。CVE-2024-38408として報告されたこの問題は、予期しない状況下でのLMP開始暗号化コマンド処理に関する脆弱性で、CVSS v3.1で8.2のスコアを記録。Snapdragon Auto、Mobile、Compute、Connectivityなど、広範な製品群に影響を及ぼすことが判明している。

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃者による情報漏洩のリスクが判明

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃...

Wave 2.0において、APIレスポンスの脆弱な暗号化を悪用できる重大な脆弱性が発見された。CVE-2024-51556として識別されるこの脆弱性は、認証済みの攻撃者がAPIリクエストURLのuser_idパラメータを操作することで、他のユーザーの機密情報に不正にアクセスできる問題がある。CVSSスコア7.1のHigh評価で、バージョン1.1.7未満が影響を受ける。

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃...

Wave 2.0において、APIレスポンスの脆弱な暗号化を悪用できる重大な脆弱性が発見された。CVE-2024-51556として識別されるこの脆弱性は、認証済みの攻撃者がAPIリクエストURLのuser_idパラメータを操作することで、他のユーザーの機密情報に不正にアクセスできる問題がある。CVSSスコア7.1のHigh評価で、バージョン1.1.7未満が影響を受ける。

【CVE-2024-10035】BG-TEK CoslatV3にコードインジェクションの脆弱性、サポート終了製品のため早急な対応が必要に

【CVE-2024-10035】BG-TEK CoslatV3にコードインジェクションの脆弱性...

TR-CERTはBG-TEK Informatics Security TechnologiesのCoslatV3に深刻なコードインジェクションの脆弱性を発見した。CVE-2024-10035として識別されるこの脆弱性は、バージョン0から3.1069までのすべてのバージョンに影響を及ぼし、CVSS v4.0で深刻度9.2のクリティカルと評価されている。すでにサポートが終了している製品であるため、ユーザーには早急な対応が求められる。

【CVE-2024-10035】BG-TEK CoslatV3にコードインジェクションの脆弱性...

TR-CERTはBG-TEK Informatics Security TechnologiesのCoslatV3に深刻なコードインジェクションの脆弱性を発見した。CVE-2024-10035として識別されるこの脆弱性は、バージョン0から3.1069までのすべてのバージョンに影響を及ぼし、CVSS v4.0で深刻度9.2のクリティカルと評価されている。すでにサポートが終了している製品であるため、ユーザーには早急な対応が求められる。

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻撃者による機密情報漏洩のリスクに

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントでの不適切な例外処理に起因する重大な脆弱性が発見された。CVE-2024-51560として識別されるこの脆弱性は、認証済みの遠隔攻撃者がuserIdパラメータに不正な入力を行うことで、システム上の機密情報を含むエラーメッセージを取得可能。CVSS 4.0で7.1のHighスコアを記録し、早急な対応が必要とされている。

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントでの不適切な例外処理に起因する重大な脆弱性が発見された。CVE-2024-51560として識別されるこの脆弱性は、認証済みの遠隔攻撃者がuserIdパラメータに不正な入力を行うことで、システム上の機密情報を含むエラーメッセージを取得可能。CVSS 4.0で7.1のHighスコアを記録し、早急な対応が必要とされている。

【CVE-2024-51559】Wave 2.0に認証バイパスの脆弱性、他ユーザーのアラート操作が可能に

【CVE-2024-51559】Wave 2.0に認証バイパスの脆弱性、他ユーザーのアラート操...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントの認証チェック不備による重大な脆弱性が発見された。CVE-2024-51559として識別されるこの脆弱性により、認証済みの攻撃者が他のユーザーアカウントのアラートを不正に操作可能となる。CVSS v4.0で7.1の高スコアが付与され、バージョン1.1.7未満のシステムが影響を受ける。

【CVE-2024-51559】Wave 2.0に認証バイパスの脆弱性、他ユーザーのアラート操...

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントの認証チェック不備による重大な脆弱性が発見された。CVE-2024-51559として識別されるこの脆弱性により、認証済みの攻撃者が他のユーザーアカウントのアラートを不正に操作可能となる。CVSS v4.0で7.1の高スコアが付与され、バージョン1.1.7未満のシステムが影響を受ける。

【CVE-2024-43937】WP Crowdfunding 2.1.10に認証不備の脆弱性、設定変更機能に深刻な影響

【CVE-2024-43937】WP Crowdfunding 2.1.10に認証不備の脆弱性...

WordPressプラグインWP Crowdfundingにおいて、バージョン2.1.10以前に認証に関する重大な脆弱性が発見された。CVE-2024-43937として識別されるこの脆弱性は、CVSSスコア6.4(MEDIUM)と評価され、低権限ユーザーによる設定変更を可能にする深刻な問題を引き起こしている。Themeumは対策として認証機能を強化したバージョン2.1.11をリリースしている。

【CVE-2024-43937】WP Crowdfunding 2.1.10に認証不備の脆弱性...

WordPressプラグインWP Crowdfundingにおいて、バージョン2.1.10以前に認証に関する重大な脆弱性が発見された。CVE-2024-43937として識別されるこの脆弱性は、CVSSスコア6.4(MEDIUM)と評価され、低権限ユーザーによる設定変更を可能にする深刻な問題を引き起こしている。Themeumは対策として認証機能を強化したバージョン2.1.11をリリースしている。

【CVE-2024-44019】Contact Form 7 Campaign Monitor Extension 0.4.67以下でファイル削除の脆弱性が発見、認証機能の不備により重要機能へのアクセ

【CVE-2024-44019】Contact Form 7 Campaign Monitor...

WordPressプラグインContact Form 7 Campaign Monitor Extensionのバージョン0.4.67以下において、認証機能の不備による脆弱性が発見された。CVE-2024-44019として識別されるこの脆弱性は、Missing Authorization(CWE-862)に分類され、CVSSスコア5.3のMedium評価となっている。この問題により未認証のユーザーが任意のファイル削除機能にアクセス可能となり、早急な対応が必要とされている。

【CVE-2024-44019】Contact Form 7 Campaign Monitor...

WordPressプラグインContact Form 7 Campaign Monitor Extensionのバージョン0.4.67以下において、認証機能の不備による脆弱性が発見された。CVE-2024-44019として識別されるこの脆弱性は、Missing Authorization(CWE-862)に分類され、CVSSスコア5.3のMedium評価となっている。この問題により未認証のユーザーが任意のファイル削除機能にアクセス可能となり、早急な対応が必要とされている。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御の脆弱性、バージョン1.0.10以前のユーザーに影響

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト(ACL)による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト(ACL)による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格の危険性に対処

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度(4.3)と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度(4.3)と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の脆弱性が発見、速やかなアップデートを推奨

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の...

WordPressプラグインJoomSport 5.6.3以前のバージョンにおいて、アクセス制御の設定不備による脆弱性が発見された。CVE-2024-44031として識別されたこの問題は、CVSSスコア4.3のミディアムレベルの脆弱性であり、認証されたユーザーによる情報改ざんの可能性が指摘されている。開発元のBearDevは修正版となるバージョン5.6.4をリリースし、ユーザーに対して早急なアップデートを呼びかけている。

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の...

WordPressプラグインJoomSport 5.6.3以前のバージョンにおいて、アクセス制御の設定不備による脆弱性が発見された。CVE-2024-44031として識別されたこの問題は、CVSSスコア4.3のミディアムレベルの脆弱性であり、認証されたユーザーによる情報改ざんの可能性が指摘されている。開発元のBearDevは修正版となるバージョン5.6.4をリリースし、ユーザーに対して早急なアップデートを呼びかけている。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3.70に認証の脆弱性、アクセス制御の設定不備により権限昇格の可能性

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3(MEDIUM)と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証の脆弱性、アクセス制御の設定ミスによるセキュリティリスクが発生

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4(中程度)と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な認証脆弱性が発見、中程度の深刻度でセキュリティリスクに警鐘

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な...

Patchstack OÜがWordPressプラグイン「WP Free SSL」のバージョン1.2.6以前に認証の脆弱性が存在することを報告した。CVE-2024-44020として識別されるこの脆弱性は、CWE-862に分類される認可制御の不備が原因で、CVSSスコア4.3の中程度の深刻度を記録している。SSL証明書の管理やHTTPS強制設定に関する機能に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な...

Patchstack OÜがWordPressプラグイン「WP Free SSL」のバージョン1.2.6以前に認証の脆弱性が存在することを報告した。CVE-2024-44020として識別されるこの脆弱性は、CWE-862に分類される認可制御の不備が原因で、CVSSスコア4.3の中程度の深刻度を記録している。SSL証明書の管理やHTTPS強制設定に関する機能に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイパスの脆弱性が発見、アクセス制御機能の強化版をリリース

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイ...

WebsiteinWP社が提供するWordPressテーマBlogpoet 1.0.3およびそれ以前のバージョンにおいて認証バイパスの脆弱性が発見された。CVE-2024-43998として識別されるこの脆弱性は、CVSSv3.1で6.5のミディアムレベルと評価されており、アクセス制御の欠如により正規の認証プロセスをバイパスされる可能性がある。対策としてバージョン1.0.4への更新が推奨される。

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイ...

WebsiteinWP社が提供するWordPressテーマBlogpoet 1.0.3およびそれ以前のバージョンにおいて認証バイパスの脆弱性が発見された。CVE-2024-43998として識別されるこの脆弱性は、CVSSv3.1で6.5のミディアムレベルと評価されており、アクセス制御の欠如により正規の認証プロセスをバイパスされる可能性がある。対策としてバージョン1.0.4への更新が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10にアクセス制御の脆弱性、認可の欠如による影響に注意

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-44052】WordPressプラグインHelloAsso 1.1.10に...

WordPressプラグインHelloAsso 1.1.10以前のバージョンにおいて、アクセス制御の設定不備による認可の欠如の脆弱性が発見された。CVE-2024-44052として識別されるこの脆弱性は、CVSSスコア4.3の中程度の深刻度に分類され、特権が必要だが攻撃の複雑さは低いとされている。影響を受けるユーザーはバージョン1.1.11への更新が推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアクセス制御の脆弱性、情報漏洩のリスクに対応急ぐ

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-43973】WordPress GetPaidプラグイン2.8.11にアク...

AyeCode社が開発するWordPress用決済プラグインGetPaidにおいて、アクセス制御の設定が不適切な脆弱性が発見された。バージョン2.8.11以前に影響し、CVSSスコア4.3で中程度の深刻度と評価。Patchstack Allianceの研究者により発見され、バージョン2.8.12で修正プログラムが提供される。認可機能の不備による情報漏洩のリスクが存在するため、早急なアップデートが推奨される。

【CVE-2024-8934】BeckhoffのTwinCAT Package Managerにコマンドインジェクションの脆弱性、管理者権限で悪用の可能性

【CVE-2024-8934】BeckhoffのTwinCAT Package Manager...

BeckhoffのTwinCAT Package Managerにおいて、管理者権限を持つローカルユーザーがUIを通じて特別に細工された値を入力することで、任意のOSコマンドが実行可能となる脆弱性が発見された。CVE-2024-8934として識別されるこの脆弱性は、バージョン1.0.603.0未満のすべてのバージョンに影響を及ぼし、CVSSスコア6.5のミディアムレベルと評価されている。

【CVE-2024-8934】BeckhoffのTwinCAT Package Manager...

BeckhoffのTwinCAT Package Managerにおいて、管理者権限を持つローカルユーザーがUIを通じて特別に細工された値を入力することで、任意のOSコマンドが実行可能となる脆弱性が発見された。CVE-2024-8934として識別されるこの脆弱性は、バージョン1.0.603.0未満のすべてのバージョンに影響を及ぼし、CVSSスコア6.5のミディアムレベルと評価されている。

【CVE-2024-10687】Contest Gallery 24.0.3以前のバージョンでSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-10687】Contest Gallery 24.0.3以前のバージョンで...

WordPressプラグインContest Gallery 24.0.3以前のバージョンで認証不要のSQLインジェクション脆弱性が発見された。$collectedIdsパラメータのエスケープ処理不備により、既存のSQLクエリへの追加クエリ挿入が可能で、データベースからの機密情報抽出のリスクがある。CVSS評価は9.8のクリティカルで、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-10687】Contest Gallery 24.0.3以前のバージョンで...

WordPressプラグインContest Gallery 24.0.3以前のバージョンで認証不要のSQLインジェクション脆弱性が発見された。$collectedIdsパラメータのエスケープ処理不備により、既存のSQLクエリへの追加クエリ挿入が可能で、データベースからの機密情報抽出のリスクがある。CVSS評価は9.8のクリティカルで、攻撃の複雑さは低く特権も不要とされている。

【CVE-2024-9867】Element Pack Elementor Addonsに深刻な脆弱性、Contributor権限での任意スクリプト実行が可能に

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-9867】Element Pack Elementor Addonsに深刻...

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する重大な脆弱性が発見された。バージョン5.10.2以下の全バージョンが影響を受け、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。CVSSスコアは5.4(Medium)と評価され、機密性と完全性への影響が懸念される。

【CVE-2024-51739】Combodo iToPにユーザー列挙の脆弱性、パスワードリセット機能の応答メッセージを統一化し対策へ

【CVE-2024-51739】Combodo iToPにユーザー列挙の脆弱性、パスワードリセ...

Combodo社のIT Service Management向けツールiToPにおいて、Rest APIを介したユーザー列挙の脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性は、未認証ユーザーによるユーザー列挙を可能にし、有効なアカウントに対するブルートフォース攻撃のリスクを高める問題となっている。対策として、バージョン2.7.11、3.0.5、3.1.2、3.2.0で修正が実施された。

【CVE-2024-51739】Combodo iToPにユーザー列挙の脆弱性、パスワードリセ...

Combodo社のIT Service Management向けツールiToPにおいて、Rest APIを介したユーザー列挙の脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性は、未認証ユーザーによるユーザー列挙を可能にし、有効なアカウントに対するブルートフォース攻撃のリスクを高める問題となっている。対策として、バージョン2.7.11、3.0.5、3.1.2、3.2.0で修正が実施された。

HOT TOPICS

新着順
ITニュース
イベント・セミナー
カテゴリ別
AmazonがAnthropicに追加40億ドル投資、基礎モデルのトレーニングと次世代チップ開発で協力体制を強化
  • XEXEQ編集部
  • XEXEQ編集部
BLUESOUNDがコンパクトなストリーマーNODE NANOを発表、高性能DACと6万円を切る価格で注目を集める
  • XEXEQ編集部
  • XEXEQ編集部
DUNUが9ドライバ搭載のフラッグシップイヤフォンDK3001 BDを発売、Glacierドライバー搭載で高音質を実現へ
  • XEXEQ編集部
  • XEXEQ編集部
Windows 11 バージョン 24H2でUbisoft製ゲームの応答不能問題が発生、アサシンクリードシリーズなど複数タイトルに影響
  • XEXEQ編集部
  • XEXEQ編集部
LINE WORKSがDrive機能専用アプリを提供開始、スマートフォンからのファイル管理が直感的に
  • XEXEQ編集部
  • XEXEQ編集部
IBMとAMDがIBM CloudでのAMD Instinctアクセラレータ導入を発表、生成AIモデルの処理性能向上へ
  • XEXEQ編集部
  • XEXEQ編集部
住友電工情報システムが楽々Webデータベース Ver.3.8.2を提供開始、複数アプリのデータ俯瞰機能で業務効率化を実現
  • XEXEQ編集部
  • XEXEQ編集部
NECが先端技術コンサルティングサービスの提供を開始、世界トップレベルの研究者の知見でDX推進を加速
  • XEXEQ編集部
  • XEXEQ編集部
NTTデータがデータセンター向け液体冷却技術の検証施設Data Center Trial Fieldを千葉県野田市に開設へ
  • XEXEQ編集部
  • XEXEQ編集部
メルカリが新たな補償方針とサポート体制を強化、商品回収センター新設で取引トラブル解決を加速
  • XEXEQ編集部
  • XEXEQ編集部
横浜市営地下鉄が全40駅でクレジットカード等のタッチ決済乗車サービスを開始、首都圏初の導入で利便性向上へ
  • XEXEQ編集部
  • XEXEQ編集部
英国CMAがAppleのブラウザ市場での制限的慣行を指摘、イノベーション阻害と暫定結論を発表
  • XEXEQ編集部
  • XEXEQ編集部
アクセルラボのSpaceCore導入IoT住宅が神奈川県警の認定を取得、戸建て住宅初の快挙を達成
  • XEXEQ編集部
  • XEXEQ編集部
エクセルソフトがAI/HPC開発者向けイベントを2025年1月に開催、インテルの最新技術とツールの活用法を解説
  • XEXEQ編集部
  • XEXEQ編集部
Baseusが完全ワイヤレスイヤホン6機種を日本初投入、高音質とノイズキャンセリング機能で差別化を図る
  • XEXEQ編集部
  • XEXEQ編集部
マイナビバイトの座ってイイッスPROJECTがACCグランプリ受賞、アルバイト環境改善の取り組みが高評価
  • XEXEQ編集部
  • XEXEQ編集部
FRとNFT Mediaがメディアパートナーシップを締結、Web3ゲームeスポーツの認知拡大へ向け新たな一歩
  • XEXEQ編集部
  • XEXEQ編集部
クラスターがバーチャルわかものハローワークで学生企画イベントを開催、メタバースからリアルへの送客を促進
  • XEXEQ編集部
  • XEXEQ編集部
finalがゲーム専用ワイヤレスイヤホンVR3000 Wirelessを発表、超低遅延接続で没入感を向上
  • XEXEQ編集部
  • XEXEQ編集部
CIOが3合1ワイヤレス充電器SMARTCOBY Ex02を発売、MagSafe対応で完全パススルー充電機能を搭載
  • XEXEQ編集部
  • XEXEQ編集部
スクウェア・エニックスがSYMBIOGENESIS SEASON3を発表、第三章キャラクターNFTの販売も開始へ
  • XEXEQ編集部
  • XEXEQ編集部
DXYZの顔認証プラットフォーム「FreeiD」が常石造船の東ティモール拠点に初の海外導入、人事システムと連携し勤怠管理の効率化を実現
  • XEXEQ編集部
  • XEXEQ編集部
ケンコー・トキナーがマルチバッテリーチャージャーU-#018MBCを発表、多様な充電に対応し利便性が向上
  • XEXEQ編集部
  • XEXEQ編集部
システムクリエイトがBobCAD-CAM V37対応の歯車設計・線文字作図アドオンをリリース、製造業の設計効率化に貢献
  • XEXEQ編集部
  • XEXEQ編集部
小池都知事がSMART BRIDAL吉野代表と面談し、95%の婚活成功率の秘訣について議論
  • XEXEQ編集部
  • XEXEQ編集部
BenQがZOWIEブランド初のワイヤレスゲーミングマウスDWシリーズ3機種を発表、最大4K対応で高精度な操作を実現
  • XEXEQ編集部
  • XEXEQ編集部
MODEがジェトロ主催セミナーで登壇、ベンチャークライアントモデルの実践例を紹介へ
  • XEXEQ編集部
  • XEXEQ編集部
パーフェクト社のAI肌分析技術がパナソニック初のフェイスケアアプリに採用、パーソナライズされた美容体験を実現
  • XEXEQ編集部
  • XEXEQ編集部
株式会社G-genの4名がGoogle Cloud Partner All-Stars 2024を受賞、AI・セールス・マーケティング部門で高評価
  • XEXEQ編集部
  • XEXEQ編集部
LOGOSがキャンプツールリュックをMakuakeで先行販売、テーブル付き3WAY構造で実用性が向上
  • XEXEQ編集部
  • XEXEQ編集部
すべての最新情報を見る
ITニュースの最新情報を見る
イベント・セミナーの最新情報を見る

#AI

#SEO

#SNS

#広告

#デザイン

#コンピュータ

#セキュリティ

#プログラミング

#ビジネススキル

#マーケティング

#経営

#経済

#資格

#職業

#職種

#心理学

#ブロックチェーン

#IoT

#インターネット

#VR

#AR

#MR

#ソフトウェア

#ハードウェア

#ゲーム

#DX