Tech Insights

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な更新が必要

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な...

SuiteCRMのプロフィール編集ページのPublish Keyフィールドに認証済みXSS脆弱性が発見された。この脆弱性により、攻撃者はCSRFトークンを窃取し管理者アカウントを不正に作成可能となる。影響を受けるバージョン7.14.6未満および8.0.0から8.7.1未満のユーザーは、セキュリティパッチの適用が推奨される。既知の回避策は存在せず、早急なアップデートが必要だ。

【CVE-2024-50335】SuiteCRMにXSS脆弱性、管理者権限奪取の危険性で早急な...

SuiteCRMのプロフィール編集ページのPublish Keyフィールドに認証済みXSS脆弱性が発見された。この脆弱性により、攻撃者はCSRFトークンを窃取し管理者アカウントを不正に作成可能となる。影響を受けるバージョン7.14.6未満および8.0.0から8.7.1未満のユーザーは、セキュリティパッチの適用が推奨される。既知の回避策は存在せず、早急なアップデートが必要だ。

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未認証での任意のショートコード実行が可能に

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未...

WordPressのイベントチケッティングプラグインTickeraにおいて、バージョン3.5.4.4以前に重大な脆弱性が発見された。CVE-2024-10263として識別されたこの脆弱性は、未認証の攻撃者が任意のショートコードを実行できる問題であり、CVSSスコア7.3の高い深刻度を記録。do_shortcode関数の実行前に適切な値の検証が行われていないことが原因で、早急なアップデートが推奨される。

【CVE-2024-10263】WordPressのTickeraプラグインに深刻な脆弱性、未...

WordPressのイベントチケッティングプラグインTickeraにおいて、バージョン3.5.4.4以前に重大な脆弱性が発見された。CVE-2024-10263として識別されたこの脆弱性は、未認証の攻撃者が任意のショートコードを実行できる問題であり、CVSSスコア7.3の高い深刻度を記録。do_shortcode関数の実行前に適切な値の検証が行われていないことが原因で、早急なアップデートが推奨される。

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆弱性が発見、認証なしでバックアップデータにアクセス可能に

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆...

WordPressプラグインのEverest Backupにおいて、バージョン2.2.13以前に深刻な情報漏洩の脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、認証なしでバックアップファイル名の取得とダウンロードが可能となる。プロセス統計ファイルの露出が原因で、サイト全体のセキュリティが脅かされる可能性がある。

【CVE-2024-10028】Everest Backup 2.2.13に重大な情報漏洩の脆...

WordPressプラグインのEverest Backupにおいて、バージョン2.2.13以前に深刻な情報漏洩の脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、認証なしでバックアップファイル名の取得とダウンロードが可能となる。プロセス統計ファイルの露出が原因で、サイト全体のセキュリティが脅かされる可能性がある。

【CVE-2024-9657】Element Pack Elementor Addons 5.10.2以前に認証済みXSS脆弱性が発見、深刻度は中程度と評価

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-9657】Element Pack Elementor Addons 5....

WordfenceがWordPress用プラグインElement Pack Elementor Addonsにおいて格納型クロスサイトスクリプティングの脆弱性を発見し公開した。バージョン5.10.2以前の全バージョンが影響を受け、tooltipパラメータの不適切な処理により、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能となる。CVSSスコアは6.5で中程度の深刻度と評価されている。

【CVE-2024-9178】XT Floating Cart for WooCommerceに深刻なXSS脆弱性、Author権限で悪用の可能性

【CVE-2024-9178】XT Floating Cart for WooCommerce...

WordPressプラグインXT Floating Cart for WooCommerceのバージョン2.8.2以前にXSS脆弱性が発見された。CVSSスコア6.4を記録したこの脆弱性は、Author以上の権限を持つユーザーがSVGファイルを介して任意のスクリプトを実行可能。サイト訪問者へのスクリプト実行やセッションハイジャックなどの二次被害が懸念される。

【CVE-2024-9178】XT Floating Cart for WooCommerce...

WordPressプラグインXT Floating Cart for WooCommerceのバージョン2.8.2以前にXSS脆弱性が発見された。CVSSスコア6.4を記録したこの脆弱性は、Author以上の権限を持つユーザーがSVGファイルを介して任意のスクリプトを実行可能。サイト訪問者へのスクリプト実行やセッションハイジャックなどの二次被害が懸念される。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXSS脆弱性、管理者権限での任意スクリプト実行が可能に

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-9667】Seriously Simple Podcasting 3.5.0以前にXSS脆弱性、未認証攻撃者によるスクリプト実行の可能性

【CVE-2024-9667】Seriously Simple Podcasting 3.5....

WordPressプラグインSeriously Simple Podcasting 3.5.0以前のバージョンにReflected XSSの脆弱性が発見された。CVE-2024-9667として追跡されるこの脆弱性は、add_query_argパラメータの不適切なエスケープ処理に起因し、未認証の攻撃者が任意のWebスクリプトを実行可能。CVSS評価は6.1でMEDIUMレベルとされ、早急な対策が求められる。

【CVE-2024-9667】Seriously Simple Podcasting 3.5....

WordPressプラグインSeriously Simple Podcasting 3.5.0以前のバージョンにReflected XSSの脆弱性が発見された。CVE-2024-9667として追跡されるこの脆弱性は、add_query_argパラメータの不適切なエスケープ処理に起因し、未認証の攻撃者が任意のWebスクリプトを実行可能。CVSS評価は6.1でMEDIUMレベルとされ、早急な対策が求められる。

【CVE-2024-33700】LevelOne WBR-6012の脆弱性が発見、FTP機能の入力検証に深刻な問題

【CVE-2024-33700】LevelOne WBR-6012の脆弱性が発見、FTP機能の...

Cisco Talosは2024年10月30日、LevelOne WBR-6012ルーターのファームウェアR0.40e6におけるFTP機能の入力検証の脆弱性を公開した。CVSS3.1で深刻度7.5のHIGHと評価されており、攻撃者による悪意のあるFTPコマンドの送信でサービス拒否攻撃が可能となる。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-33700】LevelOne WBR-6012の脆弱性が発見、FTP機能の...

Cisco Talosは2024年10月30日、LevelOne WBR-6012ルーターのファームウェアR0.40e6におけるFTP機能の入力検証の脆弱性を公開した。CVSS3.1で深刻度7.5のHIGHと評価されており、攻撃者による悪意のあるFTPコマンドの送信でサービス拒否攻撃が可能となる。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-33699】LevelOne WBR-6012 R0.40e6に重大な脆弱性、パスワード検証なしで管理者権限の昇格が可能に

【CVE-2024-33699】LevelOne WBR-6012 R0.40e6に重大な脆弱...

Cisco TalosがLevelOne WBR-6012ルーターのファームウェアバージョンR0.40e6において、管理者パスワードの変更に関する重大な脆弱性を発見した。現在のパスワードの検証なしで管理者権限の昇格が可能となるこの脆弱性は、CVSS v3.1で深刻度9.9のクリティカルと評価されている。ネットワーク経由での攻撃が可能であり、機密性と整合性、可用性のすべてに高い影響があると判断された。

【CVE-2024-33699】LevelOne WBR-6012 R0.40e6に重大な脆弱...

Cisco TalosがLevelOne WBR-6012ルーターのファームウェアバージョンR0.40e6において、管理者パスワードの変更に関する重大な脆弱性を発見した。現在のパスワードの検証なしで管理者権限の昇格が可能となるこの脆弱性は、CVSS v3.1で深刻度9.9のクリティカルと評価されている。ネットワーク経由での攻撃が可能であり、機密性と整合性、可用性のすべてに高い影響があると判断された。

【CVE-2024-10006】ConsulとConsul Enterpriseで重大な脆弱性を発見、L7トラフィックインテンションのセキュリティに懸念

【CVE-2024-10006】ConsulとConsul Enterpriseで重大な脆弱性...

HashiCorp社は2024年10月30日、ConsulおよびConsul Enterpriseに存在するL7トラフィックインテンションのヘッダーバイパス脆弱性を公開した。CVE-2024-10006として識別されるこの脆弱性は、HTTPヘッダーベースのアクセスルールをバイパスできる問題を引き起こす。CVSSスコア8.3と高い深刻度を示しており、バージョン1.9.0から1.20.1までが影響を受ける。

【CVE-2024-10006】ConsulとConsul Enterpriseで重大な脆弱性...

HashiCorp社は2024年10月30日、ConsulおよびConsul Enterpriseに存在するL7トラフィックインテンションのヘッダーバイパス脆弱性を公開した。CVE-2024-10006として識別されるこの脆弱性は、HTTPヘッダーベースのアクセスルールをバイパスできる問題を引き起こす。CVSSスコア8.3と高い深刻度を示しており、バージョン1.9.0から1.20.1までが影響を受ける。

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正アクセスのリスクが浮上

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正...

Cisco TalosがLevelOne WBR-6012 R0.40e6のWebアプリケーション機能においてCSRF脆弱性を発見。CVSSスコア8.8のHIGH評価で、特別に細工されたHTTPリクエストによる不正アクセスが可能となる。攻撃者が悪意のあるWebページを通じて攻撃を仕掛けることができ、システムの機密性と完全性に重大な影響を及ぼす可能性がある。

【CVE-2024-24777】LevelOne WBR-6012のCSRF脆弱性が発見、不正...

Cisco TalosがLevelOne WBR-6012 R0.40e6のWebアプリケーション機能においてCSRF脆弱性を発見。CVSSスコア8.8のHIGH評価で、特別に細工されたHTTPリクエストによる不正アクセスが可能となる。攻撃者が悪意のあるWebページを通じて攻撃を仕掛けることができ、システムの機密性と完全性に重大な影響を及ぼす可能性がある。

【CVE-2024-10086】ConsulとConsul Enterpriseで反射型XSSの脆弱性を発見、Content-Type HTTP headerの不適切な設定が原因に

【CVE-2024-10086】ConsulとConsul Enterpriseで反射型XSS...

HashiCorp社は2024年10月30日、ConsulとConsul Enterpriseにおいて反射型XSSの脆弱性を発見したと発表した。本脆弱性はContent-Type HTTP headerが明示的に設定されていないことに起因し、バージョン1.4.1から1.20.0未満が影響を受ける。CVSS v3.1での深刻度は中程度の6.1を記録しており、修正版として1.19.3、1.18.5、1.15.15がリリースされている。

【CVE-2024-10086】ConsulとConsul Enterpriseで反射型XSS...

HashiCorp社は2024年10月30日、ConsulとConsul Enterpriseにおいて反射型XSSの脆弱性を発見したと発表した。本脆弱性はContent-Type HTTP headerが明示的に設定されていないことに起因し、バージョン1.4.1から1.20.0未満が影響を受ける。CVSS v3.1での深刻度は中程度の6.1を記録しており、修正版として1.19.3、1.18.5、1.15.15がリリースされている。

【CVE-2024-10005】ConsulとConsul Enterpriseに深刻なL7トラフィックインテンションの脆弱性、URLパスによるアクセスルールのバイパスが可能に

【CVE-2024-10005】ConsulとConsul Enterpriseに深刻なL7ト...

HashiCorp社はConsulとConsul Enterpriseにおいて、L7トラフィックインテンションのURLパスを使用したアクセスルールがバイパス可能な脆弱性【CVE-2024-10005】を公開した。影響を受けるバージョンは1.9.0から1.20.1未満で、CVSSスコア8.1の深刻度の高い問題として報告されている。HashiCorp社は修正版として1.19.3、1.18.5、1.15.15をリリースしている。

【CVE-2024-10005】ConsulとConsul Enterpriseに深刻なL7ト...

HashiCorp社はConsulとConsul Enterpriseにおいて、L7トラフィックインテンションのURLパスを使用したアクセスルールがバイパス可能な脆弱性【CVE-2024-10005】を公開した。影響を受けるバージョンは1.9.0から1.20.1未満で、CVSSスコア8.1の深刻度の高い問題として報告されている。HashiCorp社は修正版として1.19.3、1.18.5、1.15.15をリリースしている。

【CVE-2024-23309】LevelOne WBR-6012に認証バイパスの脆弱性、IPアドレス認証の設計上の問題で不正アクセスの危険性

【CVE-2024-23309】LevelOne WBR-6012に認証バイパスの脆弱性、IP...

Cisco TalosがLevelOne WBR-6012ルーター(ファームウェアR0.40e6)に重大な認証バイパスの脆弱性を発見。IPアドレスによる認証に依存する設計上の問題により、攻撃者は認証なしでシステムにアクセス可能。CVSS 9.0のCritical評価で、特権不要かつユーザー操作不要の攻撃が可能。CWE-291に分類される認証の実装不備により、管理者権限の不正取得やシステムの改ざんのリスクが指摘されている。

【CVE-2024-23309】LevelOne WBR-6012に認証バイパスの脆弱性、IP...

Cisco TalosがLevelOne WBR-6012ルーター(ファームウェアR0.40e6)に重大な認証バイパスの脆弱性を発見。IPアドレスによる認証に依存する設計上の問題により、攻撃者は認証なしでシステムにアクセス可能。CVSS 9.0のCritical評価で、特権不要かつユーザー操作不要の攻撃が可能。CWE-291に分類される認証の実装不備により、管理者権限の不正取得やシステムの改ざんのリスクが指摘されている。

【CVE-2024-22066】ZTE ZXR10 ZSR V2に特権昇格の脆弱性、デバイスの機密情報漏洩のリスクが発生

【CVE-2024-22066】ZTE ZXR10 ZSR V2に特権昇格の脆弱性、デバイスの...

ZTE CorporationはインテリジェントマルチサービスルーターZXR10 ZSR V2における特権昇格の脆弱性【CVE-2024-22066】を公開した。この脆弱性により認証済み攻撃者がデバイスの機密情報を取得できる可能性があり、CVSSスコア7.5の深刻度の高い脆弱性として評価されている。Windows、Linux、ARM 64bitプラットフォーム上で動作するZXR10 1800-2S ZSRV2 V3.00.40が影響を受ける。

【CVE-2024-22066】ZTE ZXR10 ZSR V2に特権昇格の脆弱性、デバイスの...

ZTE CorporationはインテリジェントマルチサービスルーターZXR10 ZSR V2における特権昇格の脆弱性【CVE-2024-22066】を公開した。この脆弱性により認証済み攻撃者がデバイスの機密情報を取得できる可能性があり、CVSSスコア7.5の深刻度の高い脆弱性として評価されている。Windows、Linux、ARM 64bitプラットフォーム上で動作するZXR10 1800-2S ZSRV2 V3.00.40が影響を受ける。

【CVE-2024-10452】Grafana 10.4.0で認可バイパスの脆弱性が発見、組織管理者の権限制御に課題

【CVE-2024-10452】Grafana 10.4.0で認可バイパスの脆弱性が発見、組織...

Grafana Labsは2024年10月29日、Grafana 10.4.0における認可バイパスの脆弱性【CVE-2024-10452】を公開した。組織管理者が他組織の保留中の招待を削除できる問題で、CVSSスコアは2.2(Low)と評価されている。攻撃には高い特権レベルと複雑な条件が必要とされ、技術的影響も部分的なものにとどまるため、実際のリスクは限定的とされている。

【CVE-2024-10452】Grafana 10.4.0で認可バイパスの脆弱性が発見、組織...

Grafana Labsは2024年10月29日、Grafana 10.4.0における認可バイパスの脆弱性【CVE-2024-10452】を公開した。組織管理者が他組織の保留中の招待を削除できる問題で、CVSSスコアは2.2(Low)と評価されている。攻撃には高い特権レベルと複雑な条件が必要とされ、技術的影響も部分的なものにとどまるため、実際のリスクは限定的とされている。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃のリスクに警戒

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

【CVE-2024-8541】Discount Rules for WooCommerceに脆弱性、レビュー機能でXSS攻撃のリスクが判明

【CVE-2024-8541】Discount Rules for WooCommerceに脆...

WordfenceはWPプラグインDiscount Rules for WooCommerceにReflected XSS脆弱性が存在することを公開した。CVE-2024-8541として識別されたこの脆弱性は、バージョン2.6.5以前の全バージョンに影響を及ぼし、100件以上の注文後に表示されるレビュー通知でURLのadd_query_argが適切にエスケープされていないことが原因となっている。CVSSスコアは4.7で中程度の深刻度と評価されている。

【CVE-2024-8541】Discount Rules for WooCommerceに脆...

WordfenceはWPプラグインDiscount Rules for WooCommerceにReflected XSS脆弱性が存在することを公開した。CVE-2024-8541として識別されたこの脆弱性は、バージョン2.6.5以前の全バージョンに影響を及ぼし、100件以上の注文後に表示されるレビュー通知でURLのadd_query_argが適切にエスケープされていないことが原因となっている。CVSSスコアは4.7で中程度の深刻度と評価されている。

【CVE-2024-21257】Oracle Hyperion BI+ 11.2.18.0.000に脆弱性、データ読み取りのリスクに警戒必要

【CVE-2024-21257】Oracle Hyperion BI+ 11.2.18.0.0...

Oracleは2024年10月15日、Oracle Hyperion BI+ 11.2.18.0.000において重要な脆弱性【CVE-2024-21257】を公開した。物理通信セグメントにアクセス可能な低特権の攻撃者による不正なデータ読み取りのリスクが存在する。CVSS 3.1基本スコアは3.0で、攻撃には人的操作が必要となるものの、セキュリティ上の重要な課題として認識されている。

【CVE-2024-21257】Oracle Hyperion BI+ 11.2.18.0.0...

Oracleは2024年10月15日、Oracle Hyperion BI+ 11.2.18.0.000において重要な脆弱性【CVE-2024-21257】を公開した。物理通信セグメントにアクセス可能な低特権の攻撃者による不正なデータ読み取りのリスクが存在する。CVSS 3.1基本スコアは3.0で、攻撃には人的操作が必要となるものの、セキュリティ上の重要な課題として認識されている。

【CVE-2024-21250】Oracle Process Manufacturing Product Developmentに深刻な認証の欠如、データの改ざんリスクが発生

【CVE-2024-21250】Oracle Process Manufacturing Pr...

Oracle Process Manufacturing Product Developmentのバージョン12.2.13から12.2.14において、Quality Manager Specification機能に重大な脆弱性が発見された。低権限の攻撃者がHTTPを介して重要データへの不正アクセスや改変が可能となる脆弱性で、CVSS 3.1スコアは8.1を記録。CWE-862の認証の欠如に分類され、早急な対策が必要となっている。

【CVE-2024-21250】Oracle Process Manufacturing Pr...

Oracle Process Manufacturing Product Developmentのバージョン12.2.13から12.2.14において、Quality Manager Specification機能に重大な脆弱性が発見された。低権限の攻撃者がHTTPを介して重要データへの不正アクセスや改変が可能となる脆弱性で、CVSS 3.1スコアは8.1を記録。CWE-862の認証の欠如に分類され、早急な対策が必要となっている。

【CVE-2024-48783】Ruijie NBR3000D-E Gatewayに情報漏洩の脆弱性、リモートからの不正アクセスが可能に

【CVE-2024-48783】Ruijie NBR3000D-E Gatewayに情報漏洩の...

MITREが2024年10月15日にRuijie NBR3000D-E Gatewayの重大な脆弱性情報を公開した。この脆弱性は【CVE-2024-48783】として識別され、/tool/shell/postgresql.confコンポーネントを介して遠隔から機密情報を取得可能であることが判明。CISAの評価では自動化された攻撃の可能性が指摘されており、システムに部分的な影響を及ぼす可能性がある。

【CVE-2024-48783】Ruijie NBR3000D-E Gatewayに情報漏洩の...

MITREが2024年10月15日にRuijie NBR3000D-E Gatewayの重大な脆弱性情報を公開した。この脆弱性は【CVE-2024-48783】として識別され、/tool/shell/postgresql.confコンポーネントを介して遠隔から機密情報を取得可能であることが判明。CISAの評価では自動化された攻撃の可能性が指摘されており、システムに部分的な影響を及ぼす可能性がある。

【CVE-2024-9594】Kubernetes Image Builder v0.1.37以前に脆弱性、デフォルト認証情報によるルートアクセスが可能に

【CVE-2024-9594】Kubernetes Image Builder v0.1.37...

Kubernetesは2024年10月15日、Image Builderのバージョン0.1.37以前に存在する重要な脆弱性を公開した。Nutanix、OVA、QEMU、rawプロバイダーを使用したVMイメージのビルド時にデフォルトの認証情報が有効化され、ルートアクセスが可能になるという問題が発見された。CVSSスコアは6.3のMEDIUMと評価され、v0.1.38で修正された。

【CVE-2024-9594】Kubernetes Image Builder v0.1.37...

Kubernetesは2024年10月15日、Image Builderのバージョン0.1.37以前に存在する重要な脆弱性を公開した。Nutanix、OVA、QEMU、rawプロバイダーを使用したVMイメージのビルド時にデフォルトの認証情報が有効化され、ルートアクセスが可能になるという問題が発見された。CVSSスコアは6.3のMEDIUMと評価され、v0.1.38で修正された。

【CVE-2024-0129】NVIDIAのNeMoにパストラバーサルの脆弱性が発見、コード実行とデータ改ざんのリスクに警戒

【CVE-2024-0129】NVIDIAのNeMoにパストラバーサルの脆弱性が発見、コード実...

NVIDIAの機械学習フレームワークNeMoにおいて、SaveRestoreConnectorのパストラバーサル脆弱性が発見された。この脆弱性により、不正な.tarファイルの抽出を介して攻撃者がコード実行やデータ改ざんを引き起こす可能性がある。CVSSスコアは6.3でミディアムレベルの深刻度に分類されており、Windows、MacOS、Linuxの全プラットフォームのr2.0.0rc0より前のバージョンが影響を受ける。

【CVE-2024-0129】NVIDIAのNeMoにパストラバーサルの脆弱性が発見、コード実...

NVIDIAの機械学習フレームワークNeMoにおいて、SaveRestoreConnectorのパストラバーサル脆弱性が発見された。この脆弱性により、不正な.tarファイルの抽出を介して攻撃者がコード実行やデータ改ざんを引き起こす可能性がある。CVSSスコアは6.3でミディアムレベルの深刻度に分類されており、Windows、MacOS、Linuxの全プラットフォームのr2.0.0rc0より前のバージョンが影響を受ける。

【CVE-2024-8184】JettyのThreadLimitHandlerに重大な脆弱性、DoS攻撃のリスクが浮上

【CVE-2024-8184】JettyのThreadLimitHandlerに重大な脆弱性、...

Eclipse FoundationはJettyのThreadLimitHandler.getRemote()に存在する重大な脆弱性を公開した。この脆弱性は認証されていないユーザーによるDoS攻撃を可能とし、巧妙に細工されたリクエストによってサーバーのメモリーを枯渇させる危険性がある。影響を受けるバージョンはJetty 9.3.12から12.0.8まで広範囲に及び、CVSS v3.1で5.9(MEDIUM)と評価されている。

【CVE-2024-8184】JettyのThreadLimitHandlerに重大な脆弱性、...

Eclipse FoundationはJettyのThreadLimitHandler.getRemote()に存在する重大な脆弱性を公開した。この脆弱性は認証されていないユーザーによるDoS攻撃を可能とし、巧妙に細工されたリクエストによってサーバーのメモリーを枯渇させる危険性がある。影響を受けるバージョンはJetty 9.3.12から12.0.8まで広範囲に及び、CVSS v3.1で5.9(MEDIUM)と評価されている。

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱性、画像最適化機能の悪用でCPU過剰消費のリスク

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱...

Next.jsの画像最適化機能にDoS脆弱性が発見され、バージョン10.x~14.xの14.2.7未満が影響を受ける可能性がある。CVSSスコアは5.9でMediumと評価されており、攻撃者による悪用でCPUの過剰消費を引き起こす恐れがある。Vercelでホストされているアプリケーションや特定の設定では影響を受けず、Next.js 14.2.7へのアップデートで対策可能だ。

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱...

Next.jsの画像最適化機能にDoS脆弱性が発見され、バージョン10.x~14.xの14.2.7未満が影響を受ける可能性がある。CVSSスコアは5.9でMediumと評価されており、攻撃者による悪用でCPUの過剰消費を引き起こす恐れがある。Vercelでホストされているアプリケーションや特定の設定では影響を受けず、Next.js 14.2.7へのアップデートで対策可能だ。

【CVE-2024-35517】Netgear XR1000にコマンドインジェクションの脆弱性、システムの整合性に重大な影響

【CVE-2024-35517】Netgear XR1000にコマンドインジェクションの脆弱性...

Netgear XR1000 v1.0.0.64のusb_remote_smb_conf.cgiにおいて、share_nameパラメータを介したコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4と高い深刻度を示しており、ネットワークを介した攻撃が可能。高い権限を持つ攻撃者によって、システムの機密性、整合性、可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-35517】Netgear XR1000にコマンドインジェクションの脆弱性...

Netgear XR1000 v1.0.0.64のusb_remote_smb_conf.cgiにおいて、share_nameパラメータを介したコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4と高い深刻度を示しており、ネットワークを介した攻撃が可能。高い権限を持つ攻撃者によって、システムの機密性、整合性、可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-9484】AVG/Avast Antivirusにnullポインタ参照の脆弱性、MacOSユーザーに影響

【CVE-2024-9484】AVG/Avast Antivirusにnullポインタ参照の脆...

NortonLifeLock社はAVG/Avast Antivirusのシグネチャアップデート24092400をリリースし、MacOS環境でのxarファイル処理における重要な脆弱性に対処した。この脆弱性はnullポインタ参照の問題として報告され、CVSS 3.1で中程度の深刻度5.1を記録している。影響を受けるのはMacOS、Windows、Linuxプラットフォームだが、特にMacOS環境での影響が懸念される。

【CVE-2024-9484】AVG/Avast Antivirusにnullポインタ参照の脆...

NortonLifeLock社はAVG/Avast Antivirusのシグネチャアップデート24092400をリリースし、MacOS環境でのxarファイル処理における重要な脆弱性に対処した。この脆弱性はnullポインタ参照の問題として報告され、CVSS 3.1で中程度の深刻度5.1を記録している。影響を受けるのはMacOS、Windows、Linuxプラットフォームだが、特にMacOS環境での影響が懸念される。

【CVE-2024-49670】WordPress用プラグインClient Power Tools Portal 1.8.6に反射型XSS脆弱性が発見、早急な対応が必要に

【CVE-2024-49670】WordPress用プラグインClient Power Too...

WordPressプラグインClient Power Tools Portal 1.8.6以前のバージョンで反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価を受けており、攻撃条件の複雑さは低く特権も不要とされている。Patchstack OÜが2024年10月29日に公開し、【CVE-2024-49670】として識別された本脆弱性への対応が急務となっている。

【CVE-2024-49670】WordPress用プラグインClient Power Too...

WordPressプラグインClient Power Tools Portal 1.8.6以前のバージョンで反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価を受けており、攻撃条件の複雑さは低く特権も不要とされている。Patchstack OÜが2024年10月29日に公開し、【CVE-2024-49670】として識別された本脆弱性への対応が急務となっている。

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9にXSS脆弱性、アップデートによる対応が必要に

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9に...

Patchstack OÜは2024年10月29日、WordPressプラグインAffiliateXにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。CVE-2024-49692として識別されるこの脆弱性は、バージョン1.2.9以前に影響し、CVSSスコア6.5の中程度の危険性を有している。セキュリティパッチを含むバージョン1.2.9.1への更新が推奨される。

【CVE-2024-49692】WordPressプラグインAffiliateX 1.2.9に...

Patchstack OÜは2024年10月29日、WordPressプラグインAffiliateXにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。CVE-2024-49692として識別されるこの脆弱性は、バージョン1.2.9以前に影響し、CVSSスコア6.5の中程度の危険性を有している。セキュリティパッチを含むバージョン1.2.9.1への更新が推奨される。

【CVE-2024-49673】WordPress LaTeX2HTML 2.5.4にXSS脆弱性が発見、迅速な対応が必要に

【CVE-2024-49673】WordPress LaTeX2HTML 2.5.4にXSS脆...

WordPress用プラグインLaTeX2HTMLのバージョン2.5.4以前に、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価され、攻撃者は特権なしで攻撃を実行できる可能性がある。Webページ生成時の入力データの適切な無害化処理が実装されておらず、ユーザーの個人情報やセッション情報が窃取される危険性があるため、早急な対策が必要とされている。

【CVE-2024-49673】WordPress LaTeX2HTML 2.5.4にXSS脆...

WordPress用プラグインLaTeX2HTMLのバージョン2.5.4以前に、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1の高リスク脆弱性として評価され、攻撃者は特権なしで攻撃を実行できる可能性がある。Webページ生成時の入力データの適切な無害化処理が実装されておらず、ユーザーの個人情報やセッション情報が窃取される危険性があるため、早急な対策が必要とされている。

HOT TOPICS

新着順
ITニュース
イベント・セミナー
カテゴリ別
AmazonがAnthropicに追加40億ドル投資、基礎モデルのトレーニングと次世代チップ開発で協力体制を強化
  • XEXEQ編集部
  • XEXEQ編集部
BLUESOUNDがコンパクトなストリーマーNODE NANOを発表、高性能DACと6万円を切る価格で注目を集める
  • XEXEQ編集部
  • XEXEQ編集部
DUNUが9ドライバ搭載のフラッグシップイヤフォンDK3001 BDを発売、Glacierドライバー搭載で高音質を実現へ
  • XEXEQ編集部
  • XEXEQ編集部
Windows 11 バージョン 24H2でUbisoft製ゲームの応答不能問題が発生、アサシンクリードシリーズなど複数タイトルに影響
  • XEXEQ編集部
  • XEXEQ編集部
LINE WORKSがDrive機能専用アプリを提供開始、スマートフォンからのファイル管理が直感的に
  • XEXEQ編集部
  • XEXEQ編集部
IBMとAMDがIBM CloudでのAMD Instinctアクセラレータ導入を発表、生成AIモデルの処理性能向上へ
  • XEXEQ編集部
  • XEXEQ編集部
住友電工情報システムが楽々Webデータベース Ver.3.8.2を提供開始、複数アプリのデータ俯瞰機能で業務効率化を実現
  • XEXEQ編集部
  • XEXEQ編集部
NECが先端技術コンサルティングサービスの提供を開始、世界トップレベルの研究者の知見でDX推進を加速
  • XEXEQ編集部
  • XEXEQ編集部
NTTデータがデータセンター向け液体冷却技術の検証施設Data Center Trial Fieldを千葉県野田市に開設へ
  • XEXEQ編集部
  • XEXEQ編集部
メルカリが新たな補償方針とサポート体制を強化、商品回収センター新設で取引トラブル解決を加速
  • XEXEQ編集部
  • XEXEQ編集部
横浜市営地下鉄が全40駅でクレジットカード等のタッチ決済乗車サービスを開始、首都圏初の導入で利便性向上へ
  • XEXEQ編集部
  • XEXEQ編集部
英国CMAがAppleのブラウザ市場での制限的慣行を指摘、イノベーション阻害と暫定結論を発表
  • XEXEQ編集部
  • XEXEQ編集部
アクセルラボのSpaceCore導入IoT住宅が神奈川県警の認定を取得、戸建て住宅初の快挙を達成
  • XEXEQ編集部
  • XEXEQ編集部
エクセルソフトがAI/HPC開発者向けイベントを2025年1月に開催、インテルの最新技術とツールの活用法を解説
  • XEXEQ編集部
  • XEXEQ編集部
Baseusが完全ワイヤレスイヤホン6機種を日本初投入、高音質とノイズキャンセリング機能で差別化を図る
  • XEXEQ編集部
  • XEXEQ編集部
マイナビバイトの座ってイイッスPROJECTがACCグランプリ受賞、アルバイト環境改善の取り組みが高評価
  • XEXEQ編集部
  • XEXEQ編集部
FRとNFT Mediaがメディアパートナーシップを締結、Web3ゲームeスポーツの認知拡大へ向け新たな一歩
  • XEXEQ編集部
  • XEXEQ編集部
クラスターがバーチャルわかものハローワークで学生企画イベントを開催、メタバースからリアルへの送客を促進
  • XEXEQ編集部
  • XEXEQ編集部
finalがゲーム専用ワイヤレスイヤホンVR3000 Wirelessを発表、超低遅延接続で没入感を向上
  • XEXEQ編集部
  • XEXEQ編集部
CIOが3合1ワイヤレス充電器SMARTCOBY Ex02を発売、MagSafe対応で完全パススルー充電機能を搭載
  • XEXEQ編集部
  • XEXEQ編集部
スクウェア・エニックスがSYMBIOGENESIS SEASON3を発表、第三章キャラクターNFTの販売も開始へ
  • XEXEQ編集部
  • XEXEQ編集部
DXYZの顔認証プラットフォーム「FreeiD」が常石造船の東ティモール拠点に初の海外導入、人事システムと連携し勤怠管理の効率化を実現
  • XEXEQ編集部
  • XEXEQ編集部
ケンコー・トキナーがマルチバッテリーチャージャーU-#018MBCを発表、多様な充電に対応し利便性が向上
  • XEXEQ編集部
  • XEXEQ編集部
システムクリエイトがBobCAD-CAM V37対応の歯車設計・線文字作図アドオンをリリース、製造業の設計効率化に貢献
  • XEXEQ編集部
  • XEXEQ編集部
小池都知事がSMART BRIDAL吉野代表と面談し、95%の婚活成功率の秘訣について議論
  • XEXEQ編集部
  • XEXEQ編集部
BenQがZOWIEブランド初のワイヤレスゲーミングマウスDWシリーズ3機種を発表、最大4K対応で高精度な操作を実現
  • XEXEQ編集部
  • XEXEQ編集部
MODEがジェトロ主催セミナーで登壇、ベンチャークライアントモデルの実践例を紹介へ
  • XEXEQ編集部
  • XEXEQ編集部
パーフェクト社のAI肌分析技術がパナソニック初のフェイスケアアプリに採用、パーソナライズされた美容体験を実現
  • XEXEQ編集部
  • XEXEQ編集部
株式会社G-genの4名がGoogle Cloud Partner All-Stars 2024を受賞、AI・セールス・マーケティング部門で高評価
  • XEXEQ編集部
  • XEXEQ編集部
LOGOSがキャンプツールリュックをMakuakeで先行販売、テーブル付き3WAY構造で実用性が向上
  • XEXEQ編集部
  • XEXEQ編集部
すべての最新情報を見る
ITニュースの最新情報を見る
イベント・セミナーの最新情報を見る

#AI

#SEO

#SNS

#広告

#デザイン

#コンピュータ

#セキュリティ

#プログラミング

#ビジネススキル

#マーケティング

#経営

#経済

#資格

#職業

#職種

#心理学

#ブロックチェーン

#IoT

#インターネット

#VR

#AR

#MR

#ソフトウェア

#ハードウェア

#ゲーム

#DX