Tech Insights

【CVE-2024-9798】Zoweの健全性エンドポイントに認証機能の欠如、サービス一覧が無...

2024年11月28日

Open Mainframe ProjectのZoweにおいて、健全性エンドポイントに認証機能が実装されていない脆弱性が発見された。CVE-2024-9798として識別されたこの問題により、認証されていないユーザーが全てのオンボードサービスのリストを閲覧可能な状態となっている。Version 2.0.0から2.18.0未満、および Version 1.0.0から1.28.8未満の全バージョンが影響を受けるため、最新バージョンへの更新が推奨される。

【CVE-2024-9798】Zoweの健全性エンドポイントに認証機能の欠如、サービス一覧が無...

2024年11月28日

Open Mainframe ProjectのZoweにおいて、健全性エンドポイントに認証機能が実装されていない脆弱性が発見された。CVE-2024-9798として識別されたこの問題により、認証されていないユーザーが全てのオンボードサービスのリストを閲覧可能な状態となっている。Version 2.0.0から2.18.0未満、および Version 1.0.0から1.28.8未満の全バージョンが影響を受けるため、最新バージョンへの更新が推奨される。

【CVE-2024-9778】ImagePress – Image Galleryに深刻な脆弱...

2024年11月28日

WordPressプラグイン「ImagePress – Image Gallery」のバージョン1.2.2以前に、Cross-Site Request Forgeryの脆弱性が発見された。未認証の攻撃者が管理者に偽装されたリクエストをクリックさせることで、プラグインの設定を不正に更新可能となる。CVSSスコアは4.3（MEDIUM）で、特に管理者権限での設定変更が可能となることから、早急な対応が求められている。

【CVE-2024-9778】ImagePress – Image Galleryに深刻な脆弱...

2024年11月28日

WordPressプラグイン「ImagePress – Image Gallery」のバージョン1.2.2以前に、Cross-Site Request Forgeryの脆弱性が発見された。未認証の攻撃者が管理者に偽装されたリクエストをクリックさせることで、プラグインの設定を不正に更新可能となる。CVSSスコアは4.3（MEDIUM）で、特に管理者権限での設定変更が可能となることから、早急な対応が求められている。

【CVE-2024-9772】WordPressプラグインUix Shortcodesに深刻な...

2024年11月28日

WordPressプラグイン「Uix Shortcodes」のバージョン1.9.9以前に、未認証での任意ショートコード実行を許す重大な脆弱性が発見された。CVSSスコア7.3のHIGHレベルと評価されており、特権や特別な条件を必要としないため、早急な対応が必要となっている。脆弱性はfrontpage-init.phpファイルに存在し、入力値の検証が不十分なことが原因とされている。

【CVE-2024-9772】WordPressプラグインUix Shortcodesに深刻な...

2024年11月28日

WordPressプラグイン「Uix Shortcodes」のバージョン1.9.9以前に、未認証での任意ショートコード実行を許す重大な脆弱性が発見された。CVSSスコア7.3のHIGHレベルと評価されており、特権や特別な条件を必要としないため、早急な対応が必要となっている。脆弱性はfrontpage-init.phpファイルに存在し、入力値の検証が不十分なことが原因とされている。

【CVE-2024-9700】Forminator Forms 1.36.0以前にIDOR脆弱...

2024年11月28日

WordPressプラグインのForminator Forms 1.36.0以前にInsecure Direct Object Reference脆弱性が発見された。submit_quizzes()関数でentry_idの検証が不十分なため、未認証の攻撃者が他者のクイズ提出内容を改ざん可能。CVE-2024-9700として特定され、CVSSスコアは5.3。早急なアップデートが推奨される。

【CVE-2024-9700】Forminator Forms 1.36.0以前にIDOR脆弱...

2024年11月28日

WordPressプラグインのForminator Forms 1.36.0以前にInsecure Direct Object Reference脆弱性が発見された。submit_quizzes()関数でentry_idの検証が不十分なため、未認証の攻撃者が他者のクイズ提出内容を改ざん可能。CVE-2024-9700として特定され、CVSSスコアは5.3。早急なアップデートが推奨される。

【CVE-2024-9681】curlのHSTS実装に脆弱性、サブドメインの有効期限設定が親ド...

2024年11月28日

curlの開発チームが重要な脆弱性「CVE-2024-9681」を公開した。この脆弱性は、HSSTを使用する際にサブドメインの有効期限設定が親ドメインのキャッシュエントリを上書きしてしまう問題を引き起こす。影響を受けるバージョンは7.74.0から8.10.1までで、HTTPSへの変換タイミングが本来の設定と異なってしまう可能性がある。

【CVE-2024-9681】curlのHSTS実装に脆弱性、サブドメインの有効期限設定が親ド...

2024年11月28日

curlの開発チームが重要な脆弱性「CVE-2024-9681」を公開した。この脆弱性は、HSSTを使用する際にサブドメインの有効期限設定が親ドメインのキャッシュエントリを上書きしてしまう問題を引き起こす。影響を受けるバージョンは7.74.0から8.10.1までで、HTTPSへの変換タイミングが本来の設定と異なってしまう可能性がある。

【CVE-2024-10964】emqx neuronにバッファオーバーフロー脆弱性、リモート...

2024年11月28日

emqx neuronのプラグイン機能においてバッファオーバーフロー脆弱性が発見され、CVE-2024-10964として報告された。この脆弱性は2.10.0までの全バージョンに影響し、CVSS 4.0で5.3、CVSS 3.1で6.3という中程度の深刻度が評価されている。リモートからの攻撃が可能であり、システムのメモリ破壊につながる可能性があるため、パッチの適用が推奨されている。

【CVE-2024-10964】emqx neuronにバッファオーバーフロー脆弱性、リモート...

2024年11月28日

emqx neuronのプラグイン機能においてバッファオーバーフロー脆弱性が発見され、CVE-2024-10964として報告された。この脆弱性は2.10.0までの全バージョンに影響し、CVSS 4.0で5.3、CVSS 3.1で6.3という中程度の深刻度が評価されている。リモートからの攻撃が可能であり、システムのメモリ破壊につながる可能性があるため、パッチの適用が推奨されている。

【CVE-2024-48010】Dell PowerProtect DDにアクセス制御の脆弱性...

2024年11月28日

Dell EMCは2024年11月8日、Dell PowerProtect DDの特定バージョンにおけるアクセス制御の脆弱性（CVE-2024-48010）を公開した。この脆弱性により、権限を持つリモート攻撃者によってアプリケーション上での権限昇格が可能となる。CVSSスコアは6.5（中）で、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-48010】Dell PowerProtect DDにアクセス制御の脆弱性...

2024年11月28日

Dell EMCは2024年11月8日、Dell PowerProtect DDの特定バージョンにおけるアクセス制御の脆弱性（CVE-2024-48010）を公開した。この脆弱性により、権限を持つリモート攻撃者によってアプリケーション上での権限昇格が可能となる。CVSSスコアは6.5（中）で、影響を受けるバージョンのユーザーには速やかなアップデートが推奨されている。

【CVE-2024-9775】Anih WordPress Theme 2024にXSS脆弱性...

2024年11月28日

WordPressテーマ「Anih - Creative Agency WordPress Theme」において、2024年以前のバージョンに深刻なXSS脆弱性が発見された。この脆弱性により、管理者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、マルチサイトインストールとunfiltered_html無効環境で影響を受ける。CVSSスコアは5.5（MEDIUM）と評価され、適切なセキュリティ対策が求められている。

【CVE-2024-9775】Anih WordPress Theme 2024にXSS脆弱性...

2024年11月28日

WordPressテーマ「Anih - Creative Agency WordPress Theme」において、2024年以前のバージョンに深刻なXSS脆弱性が発見された。この脆弱性により、管理者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、マルチサイトインストールとunfiltered_html無効環境で影響を受ける。CVSSスコアは5.5（MEDIUM）と評価され、適切なセキュリティ対策が求められている。

【CVE-2024-11059】Project Worlds Free Download On...

2024年11月28日

Project Worlds Free Download Online Shopping Systemのsuccess.phpファイルにおいて、SQL injectionの脆弱性が発見された。CVE-2024-11059として識別されるこの脆弱性は、バージョン0.3から192.168.1.88まで影響を及ぼし、リモートからの攻撃が可能で既に公開されている。CVSSスコアは6.3（Medium）と評価され、早急な対策が求められている。

【CVE-2024-11059】Project Worlds Free Download On...

2024年11月28日

Project Worlds Free Download Online Shopping Systemのsuccess.phpファイルにおいて、SQL injectionの脆弱性が発見された。CVE-2024-11059として識別されるこの脆弱性は、バージョン0.3から192.168.1.88まで影響を及ぼし、リモートからの攻撃が可能で既に公開されている。CVSSスコアは6.3（Medium）と評価され、早急な対策が求められている。

【CVE-2024-9693】GitLab CE/EEに認証バイパスの脆弱性、Kubernet...

2024年11月28日

GitLabは2024年11月14日、GitLab CE/EEの複数バージョンにおいて認証バイパスの脆弱性を発見したことを発表した。CVE-2024-9693として識別されるこの脆弱性は、特定の設定下でKubernetes agentへの不正アクセスを可能にする。影響を受けるバージョンは16.0から17.3.7未満、17.4.0から17.4.4未満、17.5.0から17.5.2未満で、CVSSスコアは8.5と高い深刻度を示している。

【CVE-2024-9693】GitLab CE/EEに認証バイパスの脆弱性、Kubernet...

2024年11月28日

GitLabは2024年11月14日、GitLab CE/EEの複数バージョンにおいて認証バイパスの脆弱性を発見したことを発表した。CVE-2024-9693として識別されるこの脆弱性は、特定の設定下でKubernetes agentへの不正アクセスを可能にする。影響を受けるバージョンは16.0から17.3.7未満、17.4.0から17.4.4未満、17.5.0から17.5.2未満で、CVSSスコアは8.5と高い深刻度を示している。

【CVE-2024-53065】Linuxカーネルのkmem_cache重複警告、KASAN_...

2024年11月28日

Linuxカーネルのmm/slabモジュールにおいて、arm64環境でのkmem_cache重複生成による警告問題が報告された。KASAN_HW_TAGS有効時にarch_slab_minalignが16となることで発生する問題で、システム起動時に複数の警告メッセージが表示される。この問題はcommit b035f5a6d852による変更が原因とされ、システムの安定性への影響が懸念されている。

【CVE-2024-53065】Linuxカーネルのkmem_cache重複警告、KASAN_...

2024年11月28日

Linuxカーネルのmm/slabモジュールにおいて、arm64環境でのkmem_cache重複生成による警告問題が報告された。KASAN_HW_TAGS有効時にarch_slab_minalignが16となることで発生する問題で、システム起動時に複数の警告メッセージが表示される。この問題はcommit b035f5a6d852による変更が原因とされ、システムの安定性への影響が懸念されている。

【CVE-2024-53064】Linuxカーネルのidpf_vc_core_initにエラー...

2024年11月28日

Linuxカーネルにおいて、デバイスコントロールプレーンの再起動時におけるリソース管理の問題に対処するため、idpf_vc_core_initのエラーパス修正が実装された。メールボックスの終了処理とワークキューのキャンセル順序を最適化することで、null-ptr-derefの発生を防止。Linux 6.11.8以降および6.12以降のバージョンで対策が完了している。

【CVE-2024-53064】Linuxカーネルのidpf_vc_core_initにエラー...

2024年11月28日

Linuxカーネルにおいて、デバイスコントロールプレーンの再起動時におけるリソース管理の問題に対処するため、idpf_vc_core_initのエラーパス修正が実装された。メールボックスの終了処理とワークキューのキャンセル順序を最適化することで、null-ptr-derefの発生を防止。Linux 6.11.8以降および6.12以降のバージョンで対策が完了している。

NFSDのnfsd4_copy()にエラーフロー処理の脆弱性、Linux6.11.3-6.11...

2024年11月28日

LinuxカーネルのNFSDにおいて、nfsd4_copy()のエラーフロー処理に重要な脆弱性が発見された。cleanup_async_copy()呼び出し時にpending_async_copiesが二重デクリメントされる問題で、Linux6.11.3から6.11.7までのバージョンに影響。CVE-2024-53073として識別され、既に修正パッチが公開されている。システムの安定性向上が期待される。

NFSDのnfsd4_copy()にエラーフロー処理の脆弱性、Linux6.11.3-6.11...

2024年11月28日

LinuxカーネルのNFSDにおいて、nfsd4_copy()のエラーフロー処理に重要な脆弱性が発見された。cleanup_async_copy()呼び出し時にpending_async_copiesが二重デクリメントされる問題で、Linux6.11.3から6.11.7までのバージョンに影響。CVE-2024-53073として識別され、既に修正パッチが公開されている。システムの安定性向上が期待される。

【CVE-2024-53067】LinuxカーネルのUFSドライバー脆弱性が修正、RTCアップ...

2024年11月28日

LinuxカーネルチームがUFSドライバーのRTC更新作業に関する脆弱性CVE-2024-53067の修正パッチをリリースした。この問題は、ランタイムパワー管理の初期化前にRTC更新作業が開始されることで発生していた。修正により、UFSコントローラーの安定性が向上し、特にLinux 6.8以降のバージョンで発生していたカーネルクラッシュの問題が解決された。

【CVE-2024-53067】LinuxカーネルのUFSドライバー脆弱性が修正、RTCアップ...

2024年11月28日

LinuxカーネルチームがUFSドライバーのRTC更新作業に関する脆弱性CVE-2024-53067の修正パッチをリリースした。この問題は、ランタイムパワー管理の初期化前にRTC更新作業が開始されることで発生していた。修正により、UFSコントローラーの安定性が向上し、特にLinux 6.8以降のバージョンで発生していたカーネルクラッシュの問題が解決された。

【CVE-2024-53082】Linuxカーネルのvirtio_netにhash_key_l...

2024年11月28日

Linuxカーネルの開発チームは2024年11月19日、virtio_netコンポーネントにhash_key_lengthチェック機能を実装し、ハッシュキーの設定や読み取り時に発生する可能性のあるバウンドエラーを防止する対策を講じた。この修正はバージョン5.18以降のシステムに影響を及ぼし、各バージョンに対して個別の修正パッチが提供されている。

【CVE-2024-53082】Linuxカーネルのvirtio_netにhash_key_l...

2024年11月28日

Linuxカーネルの開発チームは2024年11月19日、virtio_netコンポーネントにhash_key_lengthチェック機能を実装し、ハッシュキーの設定や読み取り時に発生する可能性のあるバウンドエラーを防止する対策を講じた。この修正はバージョン5.18以降のシステムに影響を及ぼし、各バージョンに対して個別の修正パッチが提供されている。

【CVE-2024-53072】Linux kernelのamd_pmcモジュールにSTB検出...

2024年11月28日

Linux kernelプロジェクトは2024年11月19日、amd_pmcモジュールにおけるSTB機能の利用可否を適切に検出する機能を実装した。この更新により、STBが利用できない環境での不適切なメモリアクセスを防ぎ、システムの安定性が向上。影響を受けるバージョンはLinux kernel 5.18から6.1.116、6.6.60、6.11.7までとなっており、該当するユーザーはアップデートが推奨される。

【CVE-2024-53072】Linux kernelのamd_pmcモジュールにSTB検出...

2024年11月28日

Linux kernelプロジェクトは2024年11月19日、amd_pmcモジュールにおけるSTB機能の利用可否を適切に検出する機能を実装した。この更新により、STBが利用できない環境での不適切なメモリアクセスを防ぎ、システムの安定性が向上。影響を受けるバージョンはLinux kernel 5.18から6.1.116、6.6.60、6.11.7までとなっており、該当するユーザーはアップデートが推奨される。

【CVE-2024-53077】Linuxカーネルのrpcrdmaデバイスにメモリリークの脆弱...

2024年11月28日

Linuxカーネルにおいて、rpcrdmaデバイスのxa_arrayメモリ解放に関する重要な脆弱性が発見された。この問題はCVE-2024-53077として識別され、rpcrdma_add_one()内のxa_init_flags()にメモリリークの可能性が存在することが判明。Linux 6.11以降のバージョンで修正が完了し、システムの安定性が向上している。

【CVE-2024-53077】Linuxカーネルのrpcrdmaデバイスにメモリリークの脆弱...

2024年11月28日

Linuxカーネルにおいて、rpcrdmaデバイスのxa_arrayメモリ解放に関する重要な脆弱性が発見された。この問題はCVE-2024-53077として識別され、rpcrdma_add_one()内のxa_init_flags()にメモリリークの可能性が存在することが判明。Linux 6.11以降のバージョンで修正が完了し、システムの安定性が向上している。

【CVE-2024-53068】Linuxカーネルarm_scmiにメモリ管理の脆弱性、scm...

2024年11月28日

2024年11月19日、Linux Foundationはarm_scmiファームウェアにおけるslab-use-after-freeの脆弱性（CVE-2024-53068）を修正したことを発表した。__scmi_device_destroy()内でのscmi_dev->nameの早期解放により、scmi_bus_notifier()でメモリアクセス違反が発生する問題が確認された。この脆弱性は、Linux kernel 5.6以降のバージョンに影響を与え、6.6.61以降、6.11.8以降、6.12以降のバージョンで修正された。

【CVE-2024-53068】Linuxカーネルarm_scmiにメモリ管理の脆弱性、scm...

2024年11月28日

2024年11月19日、Linux Foundationはarm_scmiファームウェアにおけるslab-use-after-freeの脆弱性（CVE-2024-53068）を修正したことを発表した。__scmi_device_destroy()内でのscmi_dev->nameの早期解放により、scmi_bus_notifier()でメモリアクセス違反が発生する問題が確認された。この脆弱性は、Linux kernel 5.6以降のバージョンに影響を与え、6.6.61以降、6.11.8以降、6.12以降のバージョンで修正された。

【CVE-2024-53070】Linuxカーネルのusb: dwc3における脆弱性修正、システムサスペンド時の安定性が向上