Tech Insights

【CVE-2024-11669】GitLab CE/EEに認可の不備による脆弱性、機密データへの不正アクセスのリスクが判明

【CVE-2024-11669】GitLab CE/EEに認可の不備による脆弱性、機密データへ...

GitLab社がGitLab CE/EEの認可の不備による脆弱性【CVE-2024-11669】を公開。16.9.8から17.4.5未満、17.5から17.5.3未満、17.6から17.6.1未満のバージョンで、APIトークンのスコープ設定の問題により機密データへの不正アクセスが可能になる脆弱性が存在。CVSSスコア6.5で評価され、修正版として17.4.5、17.5.3、17.6.1以降のバージョンを提供している。

【CVE-2024-11669】GitLab CE/EEに認可の不備による脆弱性、機密データへ...

GitLab社がGitLab CE/EEの認可の不備による脆弱性【CVE-2024-11669】を公開。16.9.8から17.4.5未満、17.5から17.5.3未満、17.6から17.6.1未満のバージョンで、APIトークンのスコープ設定の問題により機密データへの不正アクセスが可能になる脆弱性が存在。CVSSスコア6.5で評価され、修正版として17.4.5、17.5.3、17.6.1以降のバージョンを提供している。

【CVE-2024-11668】GitLab CE/EEにセッション期限切れの脆弱性、ストリーミング結果への不正アクセスの可能性

【CVE-2024-11668】GitLab CE/EEにセッション期限切れの脆弱性、ストリー...

GitLab社が2024年11月26日、GitLab CE/EEにおけるセッション期限切れの不備に関する脆弱性を公開した。CVE-2024-11668として識別されるこの脆弱性は、16.11から17.4.5未満、17.5から17.5.3未満、17.6から17.6.1未満のバージョンに影響を与え、長時間接続時に認証制御をバイパスしてストリーミング結果への不正アクセスを許可してしまう可能性がある。

【CVE-2024-11668】GitLab CE/EEにセッション期限切れの脆弱性、ストリー...

GitLab社が2024年11月26日、GitLab CE/EEにおけるセッション期限切れの不備に関する脆弱性を公開した。CVE-2024-11668として識別されるこの脆弱性は、16.11から17.4.5未満、17.5から17.5.3未満、17.6から17.6.1未満のバージョンに影響を与え、長時間接続時に認証制御をバイパスしてストリーミング結果への不正アクセスを許可してしまう可能性がある。

【CVE-2024-11659】EnGenius製品にコマンドインジェクションの脆弱性、ベンダーの対応の遅れが深刻な問題に

【CVE-2024-11659】EnGenius製品にコマンドインジェクションの脆弱性、ベンダ...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTの3製品にコマンドインジェクション脆弱性が発見された。CVE-2024-11659として識別されるこの脆弱性は、/admin/network/diag_iperfファイル内のiPerfパラメータの操作により、リモートからの攻撃が可能となる。CVSS 4.0で5.1(中程度)と評価されているが、ベンダーからの応答がなく対策が遅れている状況だ。

【CVE-2024-11659】EnGenius製品にコマンドインジェクションの脆弱性、ベンダ...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTの3製品にコマンドインジェクション脆弱性が発見された。CVE-2024-11659として識別されるこの脆弱性は、/admin/network/diag_iperfファイル内のiPerfパラメータの操作により、リモートからの攻撃が可能となる。CVSS 4.0で5.1(中程度)と評価されているが、ベンダーからの応答がなく対策が遅れている状況だ。

【CVE-2024-11657】EnGenius製品に重大な脆弱性、コマンドインジェクション攻撃のリスクが発覚し早急な対応が必要に

【CVE-2024-11657】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が発見された。diag_nslookup機能の引数操作によってコマンドインジェクションが可能となり、遠隔からの攻撃リスクが存在する。ベンダーは報告に未対応で、エクスプロイトも公開されている状況だ。CVSS 4.0では5.1、CVSS 3.1および3.0では4.7と評価されており、20241118までの全バージョンが影響を受ける。

【CVE-2024-11657】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が発見された。diag_nslookup機能の引数操作によってコマンドインジェクションが可能となり、遠隔からの攻撃リスクが存在する。ベンダーは報告に未対応で、エクスプロイトも公開されている状況だ。CVSS 4.0では5.1、CVSS 3.1および3.0では4.7と評価されており、20241118までの全バージョンが影響を受ける。

【CVE-2024-11156】Rockwell Automation Arena®に深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-11156】Rockwell Automation Arena®に深刻な脆...

Rockwell Automationは2024年12月5日、同社のArena®において深刻な脆弱性【CVE-2024-11156】を公開した。バージョン16.20.03以前の全バージョンで、DOEファイルを介したメモリ境界を超えた書き込みが可能となり、任意のコード実行につながる可能性がある。CVSSスコア8.5の高リスク脆弱性として評価されており、早急な対策が求められている。

【CVE-2024-11156】Rockwell Automation Arena®に深刻な脆...

Rockwell Automationは2024年12月5日、同社のArena®において深刻な脆弱性【CVE-2024-11156】を公開した。バージョン16.20.03以前の全バージョンで、DOEファイルを介したメモリ境界を超えた書き込みが可能となり、任意のコード実行につながる可能性がある。CVSSスコア8.5の高リスク脆弱性として評価されており、早急な対策が求められている。

【CVE-2024-10251】Ivanti Security Controlsに特権昇格の脆弱性、デフォルト権限設定の不備が原因で深刻な影響の恐れ

【CVE-2024-10251】Ivanti Security Controlsに特権昇格の脆...

Ivantiは2024年12月11日、Ivanti Security Controlsのバージョン2024.4.1未満に特権昇格の脆弱性が存在することを公開した。CWE-276に分類されるこの脆弱性は、デフォルトのパーミッション設定が不適切であることが原因で、CVSSスコアは7.8(High)と評価されている。ローカルの認証済みユーザーによる特権昇格が可能となることから、早急な対応が求められている。

【CVE-2024-10251】Ivanti Security Controlsに特権昇格の脆...

Ivantiは2024年12月11日、Ivanti Security Controlsのバージョン2024.4.1未満に特権昇格の脆弱性が存在することを公開した。CWE-276に分類されるこの脆弱性は、デフォルトのパーミッション設定が不適切であることが原因で、CVSSスコアは7.8(High)と評価されている。ローカルの認証済みユーザーによる特権昇格が可能となることから、早急な対応が求められている。

【CVE-2024-10240】GitLabの複数バージョンで情報漏えいの脆弱性、未認証ユーザーによるプライベートプロジェクト情報へのアクセスが可能に

【CVE-2024-10240】GitLabの複数バージョンで情報漏えいの脆弱性、未認証ユーザ...

GitLab社は2024年11月26日、GitLab Enterprise Edition(EE)の複数バージョンにおいて情報漏えいの脆弱性が発見されたことを公表した。この脆弱性は、未認証ユーザーが特定の条件下でプライベートプロジェクトのMerge Request情報にアクセス可能となる問題を引き起こすもので、CVSSスコアは5.3(MEDIUM)と評価されている。影響を受けるバージョンは17.3から17.3.7未満、17.4から17.4.4未満、17.5から17.5.2未満である。

【CVE-2024-10240】GitLabの複数バージョンで情報漏えいの脆弱性、未認証ユーザ...

GitLab社は2024年11月26日、GitLab Enterprise Edition(EE)の複数バージョンにおいて情報漏えいの脆弱性が発見されたことを公表した。この脆弱性は、未認証ユーザーが特定の条件下でプライベートプロジェクトのMerge Request情報にアクセス可能となる問題を引き起こすもので、CVSSスコアは5.3(MEDIUM)と評価されている。影響を受けるバージョンは17.3から17.3.7未満、17.4から17.4.4未満、17.5から17.5.2未満である。

サイカルトラストがWeb3×AI鑑定証明システムで東京都X-HUB SCRAM PROGRAMに採択、グローバル展開を加速

サイカルトラストがWeb3×AI鑑定証明システムで東京都X-HUB SCRAM PROGRAM...

cycaltrust株式会社が開発したWeb3×AI鑑定証明システムが、東京都主催の2024年X-HUB SCRAM PROGRAMに採択された。複数特許を取得済みの同システムは、ブロックチェーンやAIなどの最新技術を組み合わせ、製品の真正性担保とサプライチェーンの透明化を実現。村田製作所との協力による独自暗号技術搭載のRFIDチップ開発も進み、グローバル市場での展開加速を目指す。

サイカルトラストがWeb3×AI鑑定証明システムで東京都X-HUB SCRAM PROGRAM...

cycaltrust株式会社が開発したWeb3×AI鑑定証明システムが、東京都主催の2024年X-HUB SCRAM PROGRAMに採択された。複数特許を取得済みの同システムは、ブロックチェーンやAIなどの最新技術を組み合わせ、製品の真正性担保とサプライチェーンの透明化を実現。村田製作所との協力による独自暗号技術搭載のRFIDチップ開発も進み、グローバル市場での展開加速を目指す。

TTSがSORACOMのソリューションパートナーに参画、IoT活用の車両遠隔制御システムで債権管理の効率化を実現

TTSがSORACOMのソリューションパートナーに参画、IoT活用の車両遠隔制御システムで債権...

TTS株式会社がSORACOMパートナースペースの認定ソリューションパートナーとして認定され、SORACOM IoT SIMを活用した新しい車両管理システムの提供を開始した。中古自動車販売店やカーレンタカー業者向けに、車両位置情報のリアルタイム把握と支払い遅延時の遠隔エンジン制御機能を提供することで、業務効率と債権管理の向上を実現する。

TTSがSORACOMのソリューションパートナーに参画、IoT活用の車両遠隔制御システムで債権...

TTS株式会社がSORACOMパートナースペースの認定ソリューションパートナーとして認定され、SORACOM IoT SIMを活用した新しい車両管理システムの提供を開始した。中古自動車販売店やカーレンタカー業者向けに、車両位置情報のリアルタイム把握と支払い遅延時の遠隔エンジン制御機能を提供することで、業務効率と債権管理の向上を実現する。

AironWorksがICTスタートアップリーグに2年連続採択、AIを活用したサイバーセキュリティ訓練プラットフォームの開発を加速

AironWorksがICTスタートアップリーグに2年連続採択、AIを活用したサイバーセキュリ...

AironWorks株式会社が総務省主導の『ICTスタートアップリーグ』2024年度採択企業に選出された。AI技術を活用したサイバーセキュリティ訓練プラットフォームを開発し、ハッカーの攻撃プロセスを高度に再現する実戦的な訓練環境を提供。イスラエルの開発拠点を活かした最先端技術の導入により、日本発のサイバーセキュリティ技術のグローバル展開を目指している。

AironWorksがICTスタートアップリーグに2年連続採択、AIを活用したサイバーセキュリ...

AironWorks株式会社が総務省主導の『ICTスタートアップリーグ』2024年度採択企業に選出された。AI技術を活用したサイバーセキュリティ訓練プラットフォームを開発し、ハッカーの攻撃プロセスを高度に再現する実戦的な訓練環境を提供。イスラエルの開発拠点を活かした最先端技術の導入により、日本発のサイバーセキュリティ技術のグローバル展開を目指している。

GoogleがChrome安定版をアップデート、V8エンジンと翻訳機能の重大な脆弱性に対処

GoogleがChrome安定版をアップデート、V8エンジンと翻訳機能の重大な脆弱性に対処

米Googleは2024年12月10日、デスクトップ向けGoogle Chromeの安定版チャネルをアップデートした。Windows/Mac環境ではv131.0.6778.139/.140、Linux環境ではv131.0.6778.139が展開され、V8エンジンのType Confusionと翻訳機能のUse after freeという2つの重大な脆弱性が修正された。セキュリティ研究者との連携により、より安全なブラウジング環境の実現を目指している。

GoogleがChrome安定版をアップデート、V8エンジンと翻訳機能の重大な脆弱性に対処

米Googleは2024年12月10日、デスクトップ向けGoogle Chromeの安定版チャネルをアップデートした。Windows/Mac環境ではv131.0.6778.139/.140、Linux環境ではv131.0.6778.139が展開され、V8エンジンのType Confusionと翻訳機能のUse after freeという2つの重大な脆弱性が修正された。セキュリティ研究者との連携により、より安全なブラウジング環境の実現を目指している。

AppleがiOS 18.2とiPadOS 18.2をリリース、Apple Intelligence機能の大幅強化とセキュリティ修正を実施

AppleがiOS 18.2とiPadOS 18.2をリリース、Apple Intellige...

米AppleがiOS 18.2とiPadOS 18.2の提供を開始。Apple Intelligence機能の強化によりImage PlaygroundやGenmoji、Writing Toolsの機能が拡充され、ユーザーの創造性を引き出す新機能が追加された。また、CVE番号ベースで21件のセキュリティ修正も実施され、システムの安定性が向上している。

AppleがiOS 18.2とiPadOS 18.2をリリース、Apple Intellige...

米AppleがiOS 18.2とiPadOS 18.2の提供を開始。Apple Intelligence機能の強化によりImage PlaygroundやGenmoji、Writing Toolsの機能が拡充され、ユーザーの創造性を引き出す新機能が追加された。また、CVE番号ベースで21件のセキュリティ修正も実施され、システムの安定性が向上している。

マクニカが独自サービスMacnica ASMのWebポータルを提供開始、日系企業のASM運用に特化したUI設計で効率的なリスク管理が可能に

マクニカが独自サービスMacnica ASMのWebポータルを提供開始、日系企業のASM運用に...

マクニカは12月11日、自社独自開発のMacnica Attack Surface Management(ASM)において顧客向けWebポータルの提供を開始すると発表した。日系企業のASM運用に特化して設計されたUIと、プロフェッショナルによる精査・トリアージを経た情報提供により、効率的なリスク管理と対処が可能になる。従来のレポートやメール通知から機能が拡張され、ユーザビリティが大幅に向上することが期待される。

マクニカが独自サービスMacnica ASMのWebポータルを提供開始、日系企業のASM運用に...

マクニカは12月11日、自社独自開発のMacnica Attack Surface Management(ASM)において顧客向けWebポータルの提供を開始すると発表した。日系企業のASM運用に特化して設計されたUIと、プロフェッショナルによる精査・トリアージを経た情報提供により、効率的なリスク管理と対処が可能になる。従来のレポートやメール通知から機能が拡張され、ユーザビリティが大幅に向上することが期待される。

EGセキュアソリューションズがDevSecOpsトレーニングを開始、セキュリティを統合したソフトウェア開発手法の実践的な学習が可能に

EGセキュアソリューションズがDevSecOpsトレーニングを開始、セキュリティを統合したソフ...

EGセキュアソリューションズはSecurity Campus GroupTrainingの新コースとして、DevSecOpsトレーニングの提供を2024年12月11日より開始した。全9時間のコースでは、システム開発の各工程におけるセキュリティ実装の考え方と手法を実践的に学ぶことができる。先進的な企業での導入が進むDevSecOpsの必要性や利点、留意事項を理解し、自社への導入知見を習得可能だ。

EGセキュアソリューションズがDevSecOpsトレーニングを開始、セキュリティを統合したソフ...

EGセキュアソリューションズはSecurity Campus GroupTrainingの新コースとして、DevSecOpsトレーニングの提供を2024年12月11日より開始した。全9時間のコースでは、システム開発の各工程におけるセキュリティ実装の考え方と手法を実践的に学ぶことができる。先進的な企業での導入が進むDevSecOpsの必要性や利点、留意事項を理解し、自社への導入知見を習得可能だ。

KnowBe4が2025年サイバーセキュリティ動向を予測、AIによる攻撃と防御の進化が加速

KnowBe4が2025年サイバーセキュリティ動向を予測、AIによる攻撃と防御の進化が加速

KnowBe4は2025年のサイバーセキュリティ動向予測を発表し、AIツールの進化が攻撃と防御の両面で加速することを指摘した。特にディープフェイク検知技術の進化やヒューマンファクターの重要性増加、ゼロトラストの考え方の浸透など、包括的な対策の必要性を強調している。サイバーセキュリティの専門家による分析に基づく予測は、組織の防御戦略構築に重要な示唆を与えるものとなっている。

KnowBe4が2025年サイバーセキュリティ動向を予測、AIによる攻撃と防御の進化が加速

KnowBe4は2025年のサイバーセキュリティ動向予測を発表し、AIツールの進化が攻撃と防御の両面で加速することを指摘した。特にディープフェイク検知技術の進化やヒューマンファクターの重要性増加、ゼロトラストの考え方の浸透など、包括的な対策の必要性を強調している。サイバーセキュリティの専門家による分析に基づく予測は、組織の防御戦略構築に重要な示唆を与えるものとなっている。

【CVE-2024-6871】G DATA Total Security 25.5.15.21に権限昇格の脆弱性、SYSTEM権限での任意コード実行が可能に

【CVE-2024-6871】G DATA Total Security 25.5.15.21...

Zero Day Initiativeは2024年11月22日、G DATA Total Securityにおいて権限昇格の脆弱性(CVE-2024-6871)を発見したことを公開した。この脆弱性は自動起動タスクの処理に関連しており、フォルダに対して不適切な権限が設定されることで、SYSTEM権限での任意のコード実行が可能になる。CVSSスコアは7.0(HIGH)を記録しており、影響を受けるバージョンはG DATA Total Security 25.5.15.21。

【CVE-2024-6871】G DATA Total Security 25.5.15.21...

Zero Day Initiativeは2024年11月22日、G DATA Total Securityにおいて権限昇格の脆弱性(CVE-2024-6871)を発見したことを公開した。この脆弱性は自動起動タスクの処理に関連しており、フォルダに対して不適切な権限が設定されることで、SYSTEM権限での任意のコード実行が可能になる。CVSSスコアは7.0(HIGH)を記録しており、影響を受けるバージョンはG DATA Total Security 25.5.15.21。

【CVE-2024-8359】Visteonインフォテインメントシステムに重大な脆弱性、物理アクセスで任意のコード実行が可能に

【CVE-2024-8359】Visteonインフォテインメントシステムに重大な脆弱性、物理ア...

Visteonのインフォテインメントシステムにおいて、REFLASH_DDU_FindFile機能に深刻な脆弱性が発見された。物理的なアクセス権を持つ攻撃者が認証なしで任意のコードを実行可能で、特にcmu150_NA_74.00.324Aバージョンに影響。CVSSスコアは6.8(MEDIUM)で、機密性・完全性・可用性への影響が高いと評価されている。

【CVE-2024-8359】Visteonインフォテインメントシステムに重大な脆弱性、物理ア...

Visteonのインフォテインメントシステムにおいて、REFLASH_DDU_FindFile機能に深刻な脆弱性が発見された。物理的なアクセス権を持つ攻撃者が認証なしで任意のコードを実行可能で、特にcmu150_NA_74.00.324Aバージョンに影響。CVSSスコアは6.8(MEDIUM)で、機密性・完全性・可用性への影響が高いと評価されている。

【CVE-2024-7238】VIPRE Advanced Security 12.0.1.214に特権昇格の脆弱性、シンボリックリンク処理の不備により深刻な影響の可能性

【CVE-2024-7238】VIPRE Advanced Security 12.0.1.2...

Zero Day InitiativeはVIPRE Advanced Security 12.0.1.214にローカル特権昇格の脆弱性が存在することを報告した。Anti Malware Serviceのシンボリックリンク処理に不備があり、攻撃者が低権限から SYSTEM権限までの特権昇格が可能となる深刻な脆弱性。CVSSスコアは7.8と高く評価され、早急な対応が必要とされている。

【CVE-2024-7238】VIPRE Advanced Security 12.0.1.2...

Zero Day InitiativeはVIPRE Advanced Security 12.0.1.214にローカル特権昇格の脆弱性が存在することを報告した。Anti Malware Serviceのシンボリックリンク処理に不備があり、攻撃者が低権限から SYSTEM権限までの特権昇格が可能となる深刻な脆弱性。CVSSスコアは7.8と高く評価され、早急な対応が必要とされている。

【CVE-2024-8025】NikonのNEF Codec 1.31.2に深刻な脆弱性、リモートでの任意コード実行が可能に

【CVE-2024-8025】NikonのNEF Codec 1.31.2に深刻な脆弱性、リモ...

Zero Day InitiativeはNikonのNEF Codec 1.31.2にヒープベースのバッファオーバーフローの脆弱性が存在することを公開した。CVE-2024-8025として識別されるこの脆弱性は、NRWファイルの解析処理においてユーザーが供給するデータの長さを適切に検証せずにヒープバッファにコピーする際に発生する。攻撃者は特別に細工されたNRWファイルを用意することで、任意のコードを実行することが可能となる。

【CVE-2024-8025】NikonのNEF Codec 1.31.2に深刻な脆弱性、リモ...

Zero Day InitiativeはNikonのNEF Codec 1.31.2にヒープベースのバッファオーバーフローの脆弱性が存在することを公開した。CVE-2024-8025として識別されるこの脆弱性は、NRWファイルの解析処理においてユーザーが供給するデータの長さを適切に検証せずにヒープバッファにコピーする際に発生する。攻撃者は特別に細工されたNRWファイルを用意することで、任意のコードを実行することが可能となる。

【CVE-2024-11477】7-Zip 24.06にZstandard解凍処理の脆弱性、整数アンダーフローによるリモートコード実行の危険性

【CVE-2024-11477】7-Zip 24.06にZstandard解凍処理の脆弱性、整...

Zero Day Initiativeが7-Zip 24.06のZstandard解凍処理における重大な脆弱性を発見した。CVE-2024-11477として識別されるこの脆弱性は、整数アンダーフローによりリモートコード実行が可能となる危険性を持つ。CVSSスコア7.8の高リスク脆弱性として分類され、ユーザーデータの不適切な検証が主な原因とされている。

【CVE-2024-11477】7-Zip 24.06にZstandard解凍処理の脆弱性、整...

Zero Day Initiativeが7-Zip 24.06のZstandard解凍処理における重大な脆弱性を発見した。CVE-2024-11477として識別されるこの脆弱性は、整数アンダーフローによりリモートコード実行が可能となる危険性を持つ。CVSSスコア7.8の高リスク脆弱性として分類され、ユーザーデータの不適切な検証が主な原因とされている。

【CVE-2024-7232】Avast Free Antivirusに特権昇格の脆弱性、シンボリックリンク攻撃による権限奪取の危険性

【CVE-2024-7232】Avast Free Antivirusに特権昇格の脆弱性、シン...

Zero Day Initiativeは2024年11月22日、Avast Free AntivirusのAvastSvcコンポーネントに特権昇格の脆弱性(CVE-2024-7232)を公開した。CVSSスコア7.8の深刻な脆弱性で、低権限ユーザーがシンボリックリンクを利用してフォルダを削除し、SYSTEM権限でコードを実行できる可能性がある。影響を受けるバージョンは23.12.6094(ビルド23.12.8700.813)。

【CVE-2024-7232】Avast Free Antivirusに特権昇格の脆弱性、シン...

Zero Day Initiativeは2024年11月22日、Avast Free AntivirusのAvastSvcコンポーネントに特権昇格の脆弱性(CVE-2024-7232)を公開した。CVSSスコア7.8の深刻な脆弱性で、低権限ユーザーがシンボリックリンクを利用してフォルダを削除し、SYSTEM権限でコードを実行できる可能性がある。影響を受けるバージョンは23.12.6094(ビルド23.12.8700.813)。

【CVE-2024-8358】Visteon Infotainmentシステムに重大な脆弱性、物理アクセスで任意コード実行の可能性

【CVE-2024-8358】Visteon Infotainmentシステムに重大な脆弱性、...

Zero Day Initiativeが2024年11月22日、Visteon InfotainmentシステムのUPDATES_ExtractFile関数にコマンドインジェクションの脆弱性を発見したと発表。物理的なアクセスさえあれば認証なしで任意のコード実行が可能となる深刻な問題で、CVSSスコアは6.8(中程度)と評価されている。影響を受けるバージョンはcmu150_NA_74.00.324Aで、早急な対策が求められている。

【CVE-2024-8358】Visteon Infotainmentシステムに重大な脆弱性、...

Zero Day Initiativeが2024年11月22日、Visteon InfotainmentシステムのUPDATES_ExtractFile関数にコマンドインジェクションの脆弱性を発見したと発表。物理的なアクセスさえあれば認証なしで任意のコード実行が可能となる深刻な問題で、CVSSスコアは6.8(中程度)と評価されている。影響を受けるバージョンはcmu150_NA_74.00.324Aで、早急な対策が求められている。

【CVE-2024-7240】F-Secure Total 19.2に特権昇格の脆弱性、WithSecureプラグインホストサービスの不具合で深刻な影響

【CVE-2024-7240】F-Secure Total 19.2に特権昇格の脆弱性、Wit...

Zero Day InitiativeがF-Secure Total 19.2に特権昇格の脆弱性(CVE-2024-7240)を発見した。WithSecureプラグインホストサービスにおいてシンボリックリンクの処理が適切に制御されておらず、攻撃者が管理者権限でコードを実行できる可能性がある。CVSS v3.0で7.3(High)と評価されており、早急な対応が必要とされている。

【CVE-2024-7240】F-Secure Total 19.2に特権昇格の脆弱性、Wit...

Zero Day InitiativeがF-Secure Total 19.2に特権昇格の脆弱性(CVE-2024-7240)を発見した。WithSecureプラグインホストサービスにおいてシンボリックリンクの処理が適切に制御されておらず、攻撃者が管理者権限でコードを実行できる可能性がある。CVSS v3.0で7.3(High)と評価されており、早急な対応が必要とされている。

【CVE-2024-7239】VIPRE Advanced Security 12.0.1.214にリンクフォローの脆弱性、特権昇格のリスクに警戒

【CVE-2024-7239】VIPRE Advanced Security 12.0.1.2...

Zero Day InitiativeはVIPRE Advanced Security 12.0.1.214にローカル特権昇格の脆弱性(CVE-2024-7239)を発見した。Anti Malwareサービス内のリンクフォロー処理の不備により、攻撃者はシンボリックリンクを悪用してファイル削除操作を行い、SYSTEM権限でのコード実行が可能となる。CVSSスコア7.8の深刻な脆弱性として評価されている。

【CVE-2024-7239】VIPRE Advanced Security 12.0.1.2...

Zero Day InitiativeはVIPRE Advanced Security 12.0.1.214にローカル特権昇格の脆弱性(CVE-2024-7239)を発見した。Anti Malwareサービス内のリンクフォロー処理の不備により、攻撃者はシンボリックリンクを悪用してファイル削除操作を行い、SYSTEM権限でのコード実行が可能となる。CVSSスコア7.8の深刻な脆弱性として評価されている。

【CVE-2024-11658】EnGenius製品に重大な脆弱性、コマンドインジェクション攻撃が可能に

【CVE-2024-11658】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて重大な脆弱性が発見された。countryCode引数の操作によるコマンドインジェクションが可能で、CVSSスコアは中程度の評価。リモートからの攻撃が可能で既にエクスプロイトが公開されているが、ベンダーからの対応は行われていない状況が続いている。

【CVE-2024-11658】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて重大な脆弱性が発見された。countryCode引数の操作によるコマンドインジェクションが可能で、CVSSスコアは中程度の評価。リモートからの攻撃が可能で既にエクスプロイトが公開されているが、ベンダーからの対応は行われていない状況が続いている。

【CVE-2024-11653】EnGenius製品の複数機種でコマンドインジェクション脆弱性、製造元の対応の遅れが深刻な事態に

【CVE-2024-11653】EnGenius製品の複数機種でコマンドインジェクション脆弱性...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて、diag_tracerouteファイルに関連する重大な脆弱性が発見された。リモートからの攻撃が可能で、既に一般公開されている点が特に懸念される。製造元による対応の遅れも問題視されており、影響を受ける製品のバージョンは20241118までとされている。CVSSスコアは中程度だが、早急な対策が必要な状況が続いている。

【CVE-2024-11653】EnGenius製品の複数機種でコマンドインジェクション脆弱性...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて、diag_tracerouteファイルに関連する重大な脆弱性が発見された。リモートからの攻撃が可能で、既に一般公開されている点が特に懸念される。製造元による対応の遅れも問題視されており、影響を受ける製品のバージョンは20241118までとされている。CVSSスコアは中程度だが、早急な対策が必要な状況が続いている。

【CVE-2024-11656】EnGenius製品に重大な脆弱性、コマンドインジェクション攻撃が可能な状態に

【CVE-2024-11656】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて、/admin/network/diag_ping6ファイルの処理に関連する重大な脆弱性が発見された。この脆弱性はCVE-2024-11656として識別され、遠隔からのコマンドインジェクション攻撃を可能にする。CVSSスコアは中程度と評価されているが、攻撃手法が既に公開されており、早急な対応が必要とされる。

【CVE-2024-11656】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて、/admin/network/diag_ping6ファイルの処理に関連する重大な脆弱性が発見された。この脆弱性はCVE-2024-11656として識別され、遠隔からのコマンドインジェクション攻撃を可能にする。CVSSスコアは中程度と評価されているが、攻撃手法が既に公開されており、早急な対応が必要とされる。

【CVE-2024-11654】EnGenius製品に重大な脆弱性、コマンドインジェクション攻撃の危険性が浮上

【CVE-2024-11654】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに深刻な脆弱性が発見された。この脆弱性は遠隔からの攻撃が可能で、diag_traceroute6引数の操作によってコマンドインジェクションが実行可能となっている。CVSS 4.0で中程度の評価を受けており、既に公開情報として扱われているため、早急な対応が必要とされている。

【CVE-2024-11654】EnGenius製品に重大な脆弱性、コマンドインジェクション攻...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに深刻な脆弱性が発見された。この脆弱性は遠隔からの攻撃が可能で、diag_traceroute6引数の操作によってコマンドインジェクションが実行可能となっている。CVSS 4.0で中程度の評価を受けており、既に公開情報として扱われているため、早急な対応が必要とされている。

【CVE-2024-11652】EnGeniusの3製品にコマンドインジェクションの脆弱性、製品ベンダーの対応が課題に

【CVE-2024-11652】EnGeniusの3製品にコマンドインジェクションの脆弱性、製...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が発見された。この脆弱性はコマンドインジェクションを可能にし、CVSS v4.0で5.1(Medium)と評価されている。既に公開されているにもかかわらず、製品ベンダーからの対応が得られていない状況が続いており、早急な対策が求められている。

【CVE-2024-11652】EnGeniusの3製品にコマンドインジェクションの脆弱性、製...

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が発見された。この脆弱性はコマンドインジェクションを可能にし、CVSS v4.0で5.1(Medium)と評価されている。既に公開されているにもかかわらず、製品ベンダーからの対応が得られていない状況が続いており、早急な対策が求められている。

【CVE-2024-11655】EnGeniusの無線LAP製品に重大な脆弱性、コマンドインジェクション攻撃の危険性が浮上

【CVE-2024-11655】EnGeniusの無線LAP製品に重大な脆弱性、コマンドインジ...

EnGeniusのENH1350EXT、ENS500-AC、ENS620EXTに重大なセキュリティ脆弱性が発見された。CVE-2024-11655として識別されるこの脆弱性は、diag_pinginterfaceのコマンドインジェクションに関するもので、CVSSスコア4.7と評価される。早期の通知にもかかわらず対応が行われず、既に攻撃手法が公開されているため、ユーザーの迅速な対策が必要とされている。

【CVE-2024-11655】EnGeniusの無線LAP製品に重大な脆弱性、コマンドインジ...

EnGeniusのENH1350EXT、ENS500-AC、ENS620EXTに重大なセキュリティ脆弱性が発見された。CVE-2024-11655として識別されるこの脆弱性は、diag_pinginterfaceのコマンドインジェクションに関するもので、CVSSスコア4.7と評価される。早期の通知にもかかわらず対応が行われず、既に攻撃手法が公開されているため、ユーザーの迅速な対策が必要とされている。