Tech Insights

【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサ...

2024年11月9日

GitHubは2024年10月21日、Nginx用WebインターフェースNginx UI v2.0.0-beta.35以前にパストラバーサルの脆弱性が存在することを公開した。この脆弱性はCVE-2024-49366として識別され、CVSSスコア7.7（HIGH）と評価されている。jsonフィールドの値検証が不十分なため、攻撃者によるサーバー上の任意のファイル書き込みが可能となる深刻な問題だ。

【CVE-2024-49366】Nginx UI v2.0.0-beta.35にパストラバーサ...

2024年11月9日

GitHubは2024年10月21日、Nginx用WebインターフェースNginx UI v2.0.0-beta.35以前にパストラバーサルの脆弱性が存在することを公開した。この脆弱性はCVE-2024-49366として識別され、CVSSスコア7.7（HIGH）と評価されている。jsonフィールドの値検証が不十分なため、攻撃者によるサーバー上の任意のファイル書き込みが可能となる深刻な問題だ。

【CVE-2024-48921】Kyvernoに深刻な脆弱性、ClusterPolicyが任意...

2024年11月9日

KubernetesのポリシーエンジンKyvernoにおいて、任意のnamespaceでPolicyExceptionを作成できる深刻な脆弱性が発見された。CVSSスコア8.7の高リスク脆弱性として識別され、特権不要で容易に攻撃可能な状態であった。開発チームは迅速に対応し、バージョン1.13.0で修正を実施。セキュリティポリシーの無効化を防ぐ機能が実装された。

【CVE-2024-48921】Kyvernoに深刻な脆弱性、ClusterPolicyが任意...

2024年11月9日

KubernetesのポリシーエンジンKyvernoにおいて、任意のnamespaceでPolicyExceptionを作成できる深刻な脆弱性が発見された。CVSSスコア8.7の高リスク脆弱性として識別され、特権不要で容易に攻撃可能な状態であった。開発チームは迅速に対応し、バージョン1.13.0で修正を実施。セキュリティポリシーの無効化を防ぐ機能が実装された。

【CVE-2024-47255】2N Access Commander 3.1.1.2に特権昇...

2024年11月9日

2N社が2N Access Commander 3.1.1.2およびそれ以前のバージョンにおいて特権昇格の脆弱性【CVE-2024-47255】を発見したことを公開した。この脆弱性によりローカル攻撃者がシステムの特権を昇格させ、root権限で任意のコードを実行できる可能性がある。CVSSスコアは4.7（Medium）で、攻撃の複雑さは高いものの、ユーザーインタラクションは不要とされている。

【CVE-2024-47255】2N Access Commander 3.1.1.2に特権昇...

2024年11月9日

2N社が2N Access Commander 3.1.1.2およびそれ以前のバージョンにおいて特権昇格の脆弱性【CVE-2024-47255】を発見したことを公開した。この脆弱性によりローカル攻撃者がシステムの特権を昇格させ、root権限で任意のコードを実行できる可能性がある。CVSSスコアは4.7（Medium）で、攻撃の複雑さは高いものの、ユーザーインタラクションは不要とされている。

【CVE-2024-38407】QualcommのSnapdragonデバイスでTOCTOU脆...

2024年11月9日

QualcommはSnapdragonデバイスのJPEG Encoderドライバに存在するTime-Of-Check Time-Of-Use（TOCTOU）脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、FastConnect、QCAシリーズ、Snapdragon Compute、Industrial IoT、Wearablesなど44製品に影響。入力パラメータ処理時のメモリ破損により、権限昇格などの深刻な影響を引き起こす可能性がある。

【CVE-2024-38407】QualcommのSnapdragonデバイスでTOCTOU脆...

2024年11月9日

QualcommはSnapdragonデバイスのJPEG Encoderドライバに存在するTime-Of-Check Time-Of-Use（TOCTOU）脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、FastConnect、QCAシリーズ、Snapdragon Compute、Industrial IoT、Wearablesなど44製品に影響。入力パラメータ処理時のメモリ破損により、権限昇格などの深刻な影響を引き起こす可能性がある。

【CVE-2024-38406】QualcommのSnapdragonプラットフォームにTOC...

2024年11月9日

QualcommがSnapdragonプラットフォームのJPEGエンコーダドライバにおけるTime-Of-Check Time-Of-Use（TOCTOU）レースコンディション脆弱性を公開した。FastConnect、QCA、WCDシリーズなど44製品に影響し、CVSSスコア7.8のHigh深刻度に分類される。メモリ破損を引き起こす可能性があり、早急なパッチ適用が推奨されている。

【CVE-2024-38406】QualcommのSnapdragonプラットフォームにTOC...

2024年11月9日

QualcommがSnapdragonプラットフォームのJPEGエンコーダドライバにおけるTime-Of-Check Time-Of-Use（TOCTOU）レースコンディション脆弱性を公開した。FastConnect、QCA、WCDシリーズなど44製品に影響し、CVSSスコア7.8のHigh深刻度に分類される。メモリ破損を引き起こす可能性があり、早急なパッチ適用が推奨されている。

【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、Fast...

2024年11月9日

Qualcommは2024年11月4日、WLANホストにおけるバッファオーバーリードの脆弱性【CVE-2024-38405】を公開した。この脆弱性はCVSSスコア7.5と評価され、FastConnect 6700/6900/7800やSnapdragon 8 Gen 2/Gen 3など多数の製品に影響を及ぼす。特権やユーザーの操作を必要とせず、ネットワーク経由で攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-38405】QualcommがWLANホストの重大な脆弱性を公開、Fast...

2024年11月9日

Qualcommは2024年11月4日、WLANホストにおけるバッファオーバーリードの脆弱性【CVE-2024-38405】を公開した。この脆弱性はCVSSスコア7.5と評価され、FastConnect 6700/6900/7800やSnapdragon 8 Gen 2/Gen 3など多数の製品に影響を及ぼす。特権やユーザーの操作を必要とせず、ネットワーク経由で攻撃が可能なため、早急な対応が必要とされている。

【CVE-2024-38403】QualcommのWLANファームウェアにバッファオーバーリー...

2024年11月9日

QualcommがWLANファームウェアにおける重大な脆弱性【CVE-2024-38403】を公開。BTM ML IEのパース処理における一時的なサービス拒否の可能性が判明し、CVSSスコア7.5（High）と評価された。FastConnect 6900やFastConnect 7800など、78のバージョンで影響が確認され、Snapdragon AutoやCompute、Mobileなど幅広いプラットフォームに影響を及ぼすことが明らかになっている。

【CVE-2024-38403】QualcommのWLANファームウェアにバッファオーバーリー...

2024年11月9日

QualcommがWLANファームウェアにおける重大な脆弱性【CVE-2024-38403】を公開。BTM ML IEのパース処理における一時的なサービス拒否の可能性が判明し、CVSSスコア7.5（High）と評価された。FastConnect 6900やFastConnect 7800など、78のバージョンで影響が確認され、Snapdragon AutoやCompute、Mobileなど幅広いプラットフォームに影響を及ぼすことが明らかになっている。

【CVE-2024-33068】Qualcommが複数のSnapdragonプラットフォームで...

2024年11月9日

QualcommはSnapdragonプラットフォームのWLANホスト通信機能においてUse After Free脆弱性【CVE-2024-33068】を公開した。この脆弱性はCVSS v3.1で深刻度7.5（High）と評価されており、ネットワークを介した攻撃が可能で、特権レベルや利用者の関与を必要としない。影響を受ける製品にはSnapdragon Auto、Mobile、Wearablesなど幅広いプラットフォームが含まれている。

【CVE-2024-33068】Qualcommが複数のSnapdragonプラットフォームで...

2024年11月9日

QualcommはSnapdragonプラットフォームのWLANホスト通信機能においてUse After Free脆弱性【CVE-2024-33068】を公開した。この脆弱性はCVSS v3.1で深刻度7.5（High）と評価されており、ネットワークを介した攻撃が可能で、特権レベルや利用者の関与を必要としない。影響を受ける製品にはSnapdragon Auto、Mobile、Wearablesなど幅広いプラットフォームが含まれている。

【CVE-2024-33033】Qualcommが複数のSnapdragon製品に影響する脆弱...

2024年11月9日

QualcommはSnapdragonプラットフォームにおいて、ComputerVisionのIOCTL処理に関連する深刻な脆弱性【CVE-2024-33033】を公開した。FastConnect 6900/7800、Snapdragon 8 Gen 2/8+ Gen 2など複数の製品でバッファのアンマップ処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7（Medium）と評価されている。高い特権レベルが必要だが、攻撃成功時の影響が大きいため、早急な対応が推奨される。

【CVE-2024-33033】Qualcommが複数のSnapdragon製品に影響する脆弱...

2024年11月9日

QualcommはSnapdragonプラットフォームにおいて、ComputerVisionのIOCTL処理に関連する深刻な脆弱性【CVE-2024-33033】を公開した。FastConnect 6900/7800、Snapdragon 8 Gen 2/8+ Gen 2など複数の製品でバッファのアンマップ処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7（Medium）と評価されている。高い特権レベルが必要だが、攻撃成功時の影響が大きいため、早急な対応が推奨される。

【CVE-2024-33032】Qualcommが複数のSnapdragon製品でカメラ機能の...

2024年11月9日

Qualcommは2024年11月4日、Snapdragonプラットフォームのカメラ機能に関する重要な脆弱性【CVE-2024-33032】を公開した。この脆弱性は、ユーザーアプリケーションが共有メモリを非同期的に変更することでメモリ破損を引き起こす可能性があり、Snapdragon AutoやMobileなど69の製品バージョンに影響を与える。CVSSスコアは6.7で、ローカルアクセスと高い特権レベルが必要とされている。

【CVE-2024-33032】Qualcommが複数のSnapdragon製品でカメラ機能の...

2024年11月9日

Qualcommは2024年11月4日、Snapdragonプラットフォームのカメラ機能に関する重要な脆弱性【CVE-2024-33032】を公開した。この脆弱性は、ユーザーアプリケーションが共有メモリを非同期的に変更することでメモリ破損を引き起こす可能性があり、Snapdragon AutoやMobileなど69の製品バージョンに影響を与える。CVSSスコアは6.7で、ローカルアクセスと高い特権レベルが必要とされている。

【CVE-2024-33031】QualcommがSnapdragonプラットフォームの入力検...

2024年11月9日

QualcommはSnapdragonプラットフォームにおいて、RILの入力検証における重大な脆弱性【CVE-2024-33031】を発見した。SIMフォンブックレコードの更新処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7を記録。FastConnect 7800やQCC710、QCN6224など複数のチップセットが影響を受け、11月のセキュリティブリテンで修正プログラムが提供された。

【CVE-2024-33031】QualcommがSnapdragonプラットフォームの入力検...

2024年11月9日

QualcommはSnapdragonプラットフォームにおいて、RILの入力検証における重大な脆弱性【CVE-2024-33031】を発見した。SIMフォンブックレコードの更新処理時にメモリ破損が発生する可能性があり、CVSSスコア6.7を記録。FastConnect 7800やQCC710、QCN6224など複数のチップセットが影響を受け、11月のセキュリティブリテンで修正プログラムが提供された。

【CVE-2024-33030】QualcommのSnapdragonプラットフォームでバッフ...

2024年11月9日

QualcommはSnapdragonプラットフォームにおける重大な脆弱性【CVE-2024-33030】を公開した。この脆弱性はLPLHのIPC周波数テーブルパラメータを解析する際のバッファオーバーフローに関するもので、CVSSスコア6.7（Medium）と評価されている。Snapdragon 8 Gen 1 Mobile PlatformやFastConnect 6900/7800など、複数の製品に影響を与える可能性がある重要な問題だ。

【CVE-2024-33030】QualcommのSnapdragonプラットフォームでバッフ...

2024年11月9日

QualcommはSnapdragonプラットフォームにおける重大な脆弱性【CVE-2024-33030】を公開した。この脆弱性はLPLHのIPC周波数テーブルパラメータを解析する際のバッファオーバーフローに関するもので、CVSSスコア6.7（Medium）と評価されている。Snapdragon 8 Gen 1 Mobile PlatformやFastConnect 6900/7800など、複数の製品に影響を与える可能性がある重要な問題だ。

【CVE-2024-33029】QualcommのDSPサービスにUse After Free...

2024年11月9日

QualcommはDSPサービスにおいてPDRドライバーのリモートヒープマップ取得時にメモリ破損が発生する脆弱性を公開した。CVE-2024-33029として識別されるこの脆弱性は、QCA6584AU、QCA6698AQ、Snapdragon Auto 5G Modem-RF Gen 2に影響を与え、特権ユーザーによるローカルからの攻撃が可能となっている。CVSSスコアは6.7（MEDIUM）に分類され、早急な対応が求められる。

【CVE-2024-33029】QualcommのDSPサービスにUse After Free...

2024年11月9日

QualcommはDSPサービスにおいてPDRドライバーのリモートヒープマップ取得時にメモリ破損が発生する脆弱性を公開した。CVE-2024-33029として識別されるこの脆弱性は、QCA6584AU、QCA6698AQ、Snapdragon Auto 5G Modem-RF Gen 2に影響を与え、特権ユーザーによるローカルからの攻撃が可能となっている。CVSSスコアは6.7（MEDIUM）に分類され、早急な対応が求められる。

【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQL...

2024年11月9日

romadebrian WEB-Sekolah 1.0のMail Handlerコンポーネントに重大な脆弱性が発見された。/Proses_Kirim.phpファイルのName引数操作によるSQLインジェクションが可能で、CVSSスコアは中程度だが遠隔から攻撃実行が可能な状態となっている。既にエクスプロイトコードが公開されており、早急な対策が必要とされる。

【CVE-2024-10841】romadebrian WEB-Sekolah 1.0にSQL...

2024年11月9日

romadebrian WEB-Sekolah 1.0のMail Handlerコンポーネントに重大な脆弱性が発見された。/Proses_Kirim.phpファイルのName引数操作によるSQLインジェクションが可能で、CVSSスコアは中程度だが遠隔から攻撃実行が可能な状態となっている。既にエクスプロイトコードが公開されており、早急な対策が必要とされる。

【CVE-2024-10840】romadebrian WEB-Sekolah 1.0にクロス...

2024年11月9日

romadebrian WEB-Sekolah 1.0のBackendシステムにおいて、深刻なクロスサイトスクリプティング脆弱性が発見された。Admin/akun_edit.phpのkode引数に対する入力値の検証が不十分であり、リモートからの攻撃が可能。CVSS v4.0で5.1（MEDIUM）と評価され、高権限は必要だがユーザー操作不要で攻撃可能。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2024-10840】romadebrian WEB-Sekolah 1.0にクロス...

2024年11月9日

romadebrian WEB-Sekolah 1.0のBackendシステムにおいて、深刻なクロスサイトスクリプティング脆弱性が発見された。Admin/akun_edit.phpのkode引数に対する入力値の検証が不十分であり、リモートからの攻撃が可能。CVSS v4.0で5.1（MEDIUM）と評価され、高権限は必要だがユーザー操作不要で攻撃可能。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2024-10805】code-projects University Event ...

2024年11月9日

code-projects University Event Management System 1.0のdoedit.phpファイルにおいて、重大なSQL injection脆弱性が発見された。CVE-2024-10805として識別されたこの脆弱性は、リモートからの攻撃が可能で特別な権限を必要としない。CVSS v4.0で5.3（MEDIUM）と評価され、教育機関のデータセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2024-10805】code-projects University Event ...

2024年11月9日

code-projects University Event Management System 1.0のdoedit.phpファイルにおいて、重大なSQL injection脆弱性が発見された。CVE-2024-10805として識別されたこの脆弱性は、リモートからの攻撃が可能で特別な権限を必要としない。CVSS v4.0で5.3（MEDIUM）と評価され、教育機関のデータセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2024-10750】Tenda i22にnull pointer derefere...

2024年11月9日

Tenda i22 1.0.0.3(4687)のwebsReadEvent機能において、Content-Length引数の操作によるnull pointer dereferenceの脆弱性が発見された。この脆弱性はリモートから攻撃可能で、CVSS v4.0で7.1（HIGH）のスコアが付けられている。攻撃の難易度は低く、認証情報があれば容易に実行可能であり、システムの可用性に重大な影響を及ぼす可能性が高い。

【CVE-2024-10750】Tenda i22にnull pointer derefere...

2024年11月9日

Tenda i22 1.0.0.3(4687)のwebsReadEvent機能において、Content-Length引数の操作によるnull pointer dereferenceの脆弱性が発見された。この脆弱性はリモートから攻撃可能で、CVSS v4.0で7.1（HIGH）のスコアが付けられている。攻撃の難易度は低く、認証情報があれば容易に実行可能であり、システムの可用性に重大な影響を及ぼす可能性が高い。

【CVE-2024-10711】WooCommerce Report 1.5.1以前のバージョ...

2024年11月9日

WordfenceはWooCommerce Report 1.5.1以前のバージョンにおいて、設定更新機能に関するCross-Site Request Forgery脆弱性を発見した。CVSSスコア8.8のHigh評価で、攻撃者は管理者を騙して任意のオプション設定を更新できる可能性がある。これにより特権昇格のリスクが指摘されており、早急なアップデートが推奨されている。

【CVE-2024-10711】WooCommerce Report 1.5.1以前のバージョ...

2024年11月9日

WordfenceはWooCommerce Report 1.5.1以前のバージョンにおいて、設定更新機能に関するCross-Site Request Forgery脆弱性を発見した。CVSSスコア8.8のHigh評価で、攻撃者は管理者を騙して任意のオプション設定を更新できる可能性がある。これにより特権昇格のリスクが指摘されており、早急なアップデートが推奨されている。

【CVE-2024-10503】Klokan MapTiler tileserver-gl 2...

2024年11月9日

Klokan MapTiler tileserver-gl 2.3.1においてクロスサイトスクリプティング（XSS）の脆弱性が発見された。URLハンドラーコンポーネントの処理に関連する脆弱性で、リモートからの攻撃が可能となっている。CVSS 4.0で中程度の深刻度5.3を記録し、既に一般に公開されているため、早急な対策が求められる状況だ。

【CVE-2024-10503】Klokan MapTiler tileserver-gl 2...

2024年11月9日

Klokan MapTiler tileserver-gl 2.3.1においてクロスサイトスクリプティング（XSS）の脆弱性が発見された。URLハンドラーコンポーネントの処理に関連する脆弱性で、リモートからの攻撃が可能となっている。CVSS 4.0で中程度の深刻度5.3を記録し、既に一般に公開されているため、早急な対策が求められる状況だ。

【CVE-2024-10491】Expressのresponse.links関数に重大な脆弱性...

2024年11月9日

HeroDevsがExpressのresponse.links関数における重大な脆弱性【CVE-2024-10491】を公開した。Express 3.0.0-alpha1から3.21.2に影響を与えるこの脆弱性は、Link headerの値における特殊文字の不適切な処理が原因で、悪意のあるリソースの挿入を可能にする。CVSSスコアは4.0（MEDIUM）と評価され、特権レベルは不要だが攻撃条件の複雑さは高いとされている。

【CVE-2024-10491】Expressのresponse.links関数に重大な脆弱性...

2024年11月9日

HeroDevsがExpressのresponse.links関数における重大な脆弱性【CVE-2024-10491】を公開した。Express 3.0.0-alpha1から3.21.2に影響を与えるこの脆弱性は、Link headerの値における特殊文字の不適切な処理が原因で、悪意のあるリソースの挿入を可能にする。CVSSスコアは4.0（MEDIUM）と評価され、特権レベルは不要だが攻撃条件の複雑さは高いとされている。

【CVE-2024-10228】HashiCorpがVagrant VMWare Utilit...

2024年11月9日

HashiCorpは2024年10月29日、Vagrant VMWare Utilityの重要なセキュリティアップデートを公開した。Windows環境において未権限ユーザーによるファイルシステムの改変が可能となる脆弱性が発見され、この問題はCVE-2024-10228として識別された。インストーラーが保護されていないパスをカスタムロケーションとして指定していたことが原因で、Vagrant VMWare Utility 1.0.23で修正されている。

【CVE-2024-10228】HashiCorpがVagrant VMWare Utilit...

2024年11月9日

HashiCorpは2024年10月29日、Vagrant VMWare Utilityの重要なセキュリティアップデートを公開した。Windows環境において未権限ユーザーによるファイルシステムの改変が可能となる脆弱性が発見され、この問題はCVE-2024-10228として識別された。インストーラーが保護されていないパスをカスタムロケーションとして指定していたことが原因で、Vagrant VMWare Utility 1.0.23で修正されている。

【CVE-2024-10122】Topdata Inner Rep Plus WebServe...

2024年11月9日

Topdata社のInner Rep Plus WebServer 2.01において、InnerRepPlus.htmlファイルのOperator Details Formコンポーネントにパスワードフィールドマスキングが実装されていない脆弱性が発見された。この脆弱性はCVE-2024-10122として識別され、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能であり、高度な権限を持つ攻撃者による悪用のリスクが存在する。

【CVE-2024-10122】Topdata Inner Rep Plus WebServe...

2024年11月9日

Topdata社のInner Rep Plus WebServer 2.01において、InnerRepPlus.htmlファイルのOperator Details Formコンポーネントにパスワードフィールドマスキングが実装されていない脆弱性が発見された。この脆弱性はCVE-2024-10122として識別され、CVSSスコアでは中程度の深刻度と評価されている。リモートからの攻撃が可能であり、高度な権限を持つ攻撃者による悪用のリスクが存在する。

パナソニックオートモーティブシステムズがEdgeTech+ 2024に出展、SDVとVERZ...

2024年11月8日

パナソニックオートモーティブシステムズが2024年11月20日から22日までパシフィコ横浜で開催されるEdgeTech+ 2024に初出展する。SDVに向けた技術開発の事例とVERZEUSEシリーズを展示し、コックピットHPC技術やキャビンUX技術など、次世代モビリティの実現に向けた最新の取り組みを紹介する予定だ。展示は技術開発ゾーンと自動車サイバーセキュリティゾーンの2箇所で実施される。

パナソニックオートモーティブシステムズがEdgeTech+ 2024に出展、SDVとVERZ...

2024年11月8日

パナソニックオートモーティブシステムズが2024年11月20日から22日までパシフィコ横浜で開催されるEdgeTech+ 2024に初出展する。SDVに向けた技術開発の事例とVERZEUSEシリーズを展示し、コックピットHPC技術やキャビンUX技術など、次世代モビリティの実現に向けた最新の取り組みを紹介する予定だ。展示は技術開発ゾーンと自動車サイバーセキュリティゾーンの2箇所で実施される。

NTTセキュリティとトレンドマイクロがAIセキュリティで協業、総合的な対策ソリューションの開発強化へ

2024年11月8日

NTTセキュリティとトレンドマイクロは、AIの普及に伴う新たなサイバー脅威に対する総合的なセキュリティ対策の市場開拓とAIを活用したセキュリティソリューション開発で協業することを発表。ディープフェイクを悪用した仮想誘拐や送金詐欺などの脅威に対し、両社の強みを活かした包括的な対策を提供していく方針だ。

NTTセキュリティとトレンドマイクロがAIセキュリティで協業、総合的な対策ソリューションの開発強化へ

2024年11月8日

NTTセキュリティとトレンドマイクロは、AIの普及に伴う新たなサイバー脅威に対する総合的なセキュリティ対策の市場開拓とAIを活用したセキュリティソリューション開発で協業することを発表。ディープフェイクを悪用した仮想誘拐や送金詐欺などの脅威に対し、両社の強みを活かした包括的な対策を提供していく方針だ。

【CVE-2024-9883】WordPressプラグインPods 3.2.7.1未満にXSS...

2024年11月8日

WPScanがWordPressプラグインPodsのバージョン3.2.7.1未満において、Stored XSS脆弱性を発見した。この脆弱性は設定項目の不適切なサニタイズとエスケープに起因し、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.8でMedium（中程度）に分類され、マルチサイト環境でも攻撃が成立する可能性がある。

【CVE-2024-9883】WordPressプラグインPods 3.2.7.1未満にXSS...

2024年11月8日

WPScanがWordPressプラグインPodsのバージョン3.2.7.1未満において、Stored XSS脆弱性を発見した。この脆弱性は設定項目の不適切なサニタイズとエスケープに起因し、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.8でMedium（中程度）に分類され、マルチサイト環境でも攻撃が成立する可能性がある。

【CVE-2024-9846】Enable Shortcodesプラグインに認証不要な任意コー...

2024年11月8日

WordPressプラグインEnable Shortcodes inside Widgets,Comments and Expertsのバージョン1.0.0以前において、認証不要で任意のショートコードを実行可能な脆弱性が発見された。CVSSスコア7.3のハイリスク脆弱性として報告されており、攻撃の複雑性は低く特権も不要とされている。機密性と整合性、可用性のすべてに影響があるため、早急な対応が必要だ。

【CVE-2024-9846】Enable Shortcodesプラグインに認証不要な任意コー...

2024年11月8日

WordPressプラグインEnable Shortcodes inside Widgets,Comments and Expertsのバージョン1.0.0以前において、認証不要で任意のショートコードを実行可能な脆弱性が発見された。CVSSスコア7.3のハイリスク脆弱性として報告されており、攻撃の複雑性は低く特権も不要とされている。機密性と整合性、可用性のすべてに影響があるため、早急な対応が必要だ。

【CVE-2024-9689】WordPressプラグインPost From Frontend...

2024年11月8日

WordPressプラグインPost From Frontend 1.0.0以前にCSRF脆弱性が発見され、CVE-2024-9689として報告された。WPScanによって発見されたこの脆弱性は、投稿削除機能にCSRFチェックが実装されていないことが原因で、管理者権限を持つユーザーが意図せず投稿を削除してしまう可能性がある。CVSSスコアは4.8でMedium（中程度）の深刻度に分類されている。

【CVE-2024-9689】WordPressプラグインPost From Frontend...

2024年11月8日

WordPressプラグインPost From Frontend 1.0.0以前にCSRF脆弱性が発見され、CVE-2024-9689として報告された。WPScanによって発見されたこの脆弱性は、投稿削除機能にCSRFチェックが実装されていないことが原因で、管理者権限を持つユーザーが意図せず投稿を削除してしまう可能性がある。CVSSスコアは4.8でMedium（中程度）の深刻度に分類されている。

【CVE-2024-9686】Order Notification for Telegram ...

2024年11月8日

WordPressプラグインのOrder Notification for Telegramにおいて、バージョン1.0.1以前に重大な認証機能の不備が発見された。CVE-2024-9686として識別されたこの脆弱性により、未認証の攻撃者がTelegram Bot APIを介してテストメッセージを送信可能な状態となっている。CVSSスコアは5.3で中程度の深刻度とされ、早急な対応が推奨される。

【CVE-2024-9686】Order Notification for Telegram ...

2024年11月8日

WordPressプラグインのOrder Notification for Telegramにおいて、バージョン1.0.1以前に重大な認証機能の不備が発見された。CVE-2024-9686として識別されたこの脆弱性により、未認証の攻撃者がTelegram Bot APIを介してテストメッセージを送信可能な状態となっている。CVSSスコアは5.3で中程度の深刻度とされ、早急な対応が推奨される。

【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...

2024年11月8日

WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。

【CVE-2024-9488】wpDiscuz 7.6.24に認証バイパスの脆弱性、管理者権限...

2024年11月8日

WordPressプラグインのwpDiscuz 7.6.24以前のバージョンに、認証バイパスの重大な脆弱性が発見された。ソーシャルログインのトークン検証が不十分であり、攻撃者は既存ユーザーのメールアドレスを使用して管理者権限でのログインが可能となる。CVSSスコアは9.8と深刻度が非常に高く、早急なアップデートが推奨される。

【CVE-2024-9459】ManageEngine Exchange Reporter P...

2024年11月8日

ManageEngine Exchange Reporter Plusのバージョン5718以前に、認証済みSQL Injectionの脆弱性が発見された。CVSSスコア8.3の高リスク脆弱性として報告されており、攻撃の難易度は低く評価されている。機密性と完全性への高い影響が指摘されており、早急なバージョン5719へのアップデートが推奨される。レポートモジュールを介した攻撃により、データベースの改ざんや情報漏洩のリスクがある。

【CVE-2024-9459】ManageEngine Exchange Reporter P...

2024年11月8日

ManageEngine Exchange Reporter Plusのバージョン5718以前に、認証済みSQL Injectionの脆弱性が発見された。CVSSスコア8.3の高リスク脆弱性として報告されており、攻撃の難易度は低く評価されている。機密性と完全性への高い影響が指摘されており、早急なバージョン5719へのアップデートが推奨される。レポートモジュールを介した攻撃により、データベースの改ざんや情報漏洩のリスクがある。