Tech Insights

【CVE-2024-50139】Linux kernelのKVM ARM64でシフト演算バグを修正、MTEが有効な環境での安定性が向上

【CVE-2024-50139】Linux kernelのKVM ARM64でシフト演算バグを...

Linux kernelの開発チームがKVM ARM64環境におけるシフト演算の重大なバグを修正。Memory Tagging Extension(MTE)が有効な環境で発生する32ビット型への33ビットシフト演算問題に対処。この問題は【CVE-2024-50139】として特定され、バージョン6.3以降のシステムに影響。6.6.59以降と6.11.6以降のバージョンで修正を実装し、6.12では完全に解決された。

【CVE-2024-50139】Linux kernelのKVM ARM64でシフト演算バグを...

Linux kernelの開発チームがKVM ARM64環境におけるシフト演算の重大なバグを修正。Memory Tagging Extension(MTE)が有効な環境で発生する32ビット型への33ビットシフト演算問題に対処。この問題は【CVE-2024-50139】として特定され、バージョン6.3以降のシステムに影響。6.6.59以降と6.11.6以降のバージョンで修正を実装し、6.12では完全に解決された。

【CVE-2024-10965】emqx neuronのJSON Fileスキーマで情報漏洩の脆弱性が発見、パッチ適用による対応が必要に

【CVE-2024-10965】emqx neuronのJSON Fileスキーマで情報漏洩の...

emqx neuronのバージョン2.10.0までのシステムにおいて、JSON File Handlerコンポーネントの/api/v2/schemaファイルに関連する情報漏洩の脆弱性が確認された。CVSSスコアはMediumレベルとされ、リモートからの攻撃が可能な状態にある。CWE-200の情報漏洩とCWE-284の不適切なアクセス制御に分類されており、早急なパッチ適用による対応が推奨される。

【CVE-2024-10965】emqx neuronのJSON Fileスキーマで情報漏洩の...

emqx neuronのバージョン2.10.0までのシステムにおいて、JSON File Handlerコンポーネントの/api/v2/schemaファイルに関連する情報漏洩の脆弱性が確認された。CVSSスコアはMediumレベルとされ、リモートからの攻撃が可能な状態にある。CWE-200の情報漏洩とCWE-284の不適切なアクセス制御に分類されており、早急なパッチ適用による対応が推奨される。

【CVE-2024-10928】MonoCMS 20240528にクロスサイトスクリプティングの脆弱性、ベンダーの対応が課題に

【CVE-2024-10928】MonoCMS 20240528にクロスサイトスクリプティング...

MonoCMSのバージョン20240528以前において、Posts Pageコンポーネントの/monofiles/opensaved.phpファイルに深刻な脆弱性が発見された。filtcategoryやfiltstatusパラメータの操作によってクロスサイトスクリプティング攻撃が可能となり、CVSSスコアは5.3(MEDIUM)と評価された。ベンダーへの報告後も返答がなく、既に攻撃コードが公開されている状況だ。

【CVE-2024-10928】MonoCMS 20240528にクロスサイトスクリプティング...

MonoCMSのバージョン20240528以前において、Posts Pageコンポーネントの/monofiles/opensaved.phpファイルに深刻な脆弱性が発見された。filtcategoryやfiltstatusパラメータの操作によってクロスサイトスクリプティング攻撃が可能となり、CVSSスコアは5.3(MEDIUM)と評価された。ベンダーへの報告後も返答がなく、既に攻撃コードが公開されている状況だ。

アシュアードが金融分野におけるサイバーセキュリティガイドラインのウェビナーを開催、脆弱性管理要件の解説と効率的な対応方法を紹介

アシュアードが金融分野におけるサイバーセキュリティガイドラインのウェビナーを開催、脆弱性管理要...

株式会社アシュアードは2024年12月5日に金融分野におけるサイバーセキュリティガイドラインの解説ウェビナーを開催する。金融庁が2024年10月4日に策定したガイドラインの脆弱性管理要件に焦点を当て、yamoryを活用した効率的な脆弱性対応について解説する。参加費は無料で、Zoomによるオンライン配信となる。金融機関の情報システム部門やセキュリティ管理部門の担当者に向けた内容となっている。

アシュアードが金融分野におけるサイバーセキュリティガイドラインのウェビナーを開催、脆弱性管理要...

株式会社アシュアードは2024年12月5日に金融分野におけるサイバーセキュリティガイドラインの解説ウェビナーを開催する。金融庁が2024年10月4日に策定したガイドラインの脆弱性管理要件に焦点を当て、yamoryを活用した効率的な脆弱性対応について解説する。参加費は無料で、Zoomによるオンライン配信となる。金融機関の情報システム部門やセキュリティ管理部門の担当者に向けた内容となっている。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダーの対応の遅れに懸念

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1.0にStored XSSの脆弱性が発見、Author以上の権限で任意のスクリプト実行が可能に

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1...

WordPressプラグインのEasy SVG Uploadにおいて、バージョン1.0以前の全バージョンでStored Cross-Site Scriptingの脆弱性が確認された。この脆弱性はCVE-2024-9708として識別され、CVSS v3.1で深刻度6.4(MEDIUM)と評価。Author以上の権限を持つ攻撃者がSVGファイルを介して悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行される可能性がある。

【CVE-2024-9708】WordPress用プラグインEasy SVG Upload 1...

WordPressプラグインのEasy SVG Uploadにおいて、バージョン1.0以前の全バージョンでStored Cross-Site Scriptingの脆弱性が確認された。この脆弱性はCVE-2024-9708として識別され、CVSS v3.1で深刻度6.4(MEDIUM)と評価。Author以上の権限を持つ攻撃者がSVGファイルを介して悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行される可能性がある。

【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メモリ破損のリスクに対応

【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メ...

kernel.orgが2024年10月21日に公開したLinuxカーネルのiceドライバの脆弱性情報によると、VF上でのMSI-X値増加時に無効なメモリ操作が発生する問題が確認された。この脆弱性はCVE-2024-50042として識別され、デフォルト値の16を超えるMSI-X設定時にメモリ破損のリスクが高まる。修正パッチではice_vsi_rebuild()を使用して配列の再割り当てを適切に行うことで対応している。

【CVE-2024-50042】LinuxカーネルのiceドライバにMSI-X関連の脆弱性、メ...

kernel.orgが2024年10月21日に公開したLinuxカーネルのiceドライバの脆弱性情報によると、VF上でのMSI-X値増加時に無効なメモリ操作が発生する問題が確認された。この脆弱性はCVE-2024-50042として識別され、デフォルト値の16を超えるMSI-X設定時にメモリ破損のリスクが高まる。修正パッチではice_vsi_rebuild()を使用して配列の再割り当てを適切に行うことで対応している。

【CVE-2024-9676】Podman、Buildah、CRI-Oにシンボリックリンク脆弱性、DoS攻撃のリスクに警戒必要

【CVE-2024-9676】Podman、Buildah、CRI-Oにシンボリックリンク脆弱...

Red HatはPodman、Buildah、CRI-Oにおけるcontainers/storage libraryの重要な脆弱性を公開した。CVE-2024-9676として識別されるこの脆弱性は、シンボリックリンクの検証不備によりDoS攻撃やファイル読み取りのリスクを引き起こす可能性がある。Red Hat Enterprise Linux 9およびOpenShift Container Platformの各バージョンに対するセキュリティアップデートが提供され、早急な適用が推奨される。

【CVE-2024-9676】Podman、Buildah、CRI-Oにシンボリックリンク脆弱...

Red HatはPodman、Buildah、CRI-Oにおけるcontainers/storage libraryの重要な脆弱性を公開した。CVE-2024-9676として識別されるこの脆弱性は、シンボリックリンクの検証不備によりDoS攻撃やファイル読み取りのリスクを引き起こす可能性がある。Red Hat Enterprise Linux 9およびOpenShift Container Platformの各バージョンに対するセキュリティアップデートが提供され、早急な適用が推奨される。

【CVE-2024-9776】ImagePress Image Gallery 1.2.2以前のバージョンにXSS脆弱性、管理者権限で悪用可能な状態に

【CVE-2024-9776】ImagePress Image Gallery 1.2.2以前...

WordPressプラグインImagePress Image Galleryのバージョン1.2.2以前に、管理者権限を持つユーザーが任意のスクリプトを実行可能なXSS脆弱性が発見された。この脆弱性はマルチサイトインストールとunfiltered_html無効環境で影響を受け、CVSSスコアは4.4でMediumと評価されている。Wordfenceの報告によると、入力値の無害化とエスケープ処理の不備が原因とされ、早急なアップデートが推奨される。

【CVE-2024-9776】ImagePress Image Gallery 1.2.2以前...

WordPressプラグインImagePress Image Galleryのバージョン1.2.2以前に、管理者権限を持つユーザーが任意のスクリプトを実行可能なXSS脆弱性が発見された。この脆弱性はマルチサイトインストールとunfiltered_html無効環境で影響を受け、CVSSスコアは4.4でMediumと評価されている。Wordfenceの報告によると、入力値の無害化とエスケープ処理の不備が原因とされ、早急なアップデートが推奨される。

【CVE-2024-9756】Order Attachments for WooCommerceに認証バイパスの脆弱性、Subscriber以上で任意のファイルアップロードが可能に

【CVE-2024-9756】Order Attachments for WooCommerc...

WordPressプラグインのOrder Attachments for WooCommerceにおいて、認証をバイパスできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-9756】として登録され、バージョン2.0から2.4.1に影響を与える。Subscriber以上の権限を持つユーザーが限定的な任意のファイルアップロードを実行できる可能性があり、早急な対応が求められている。

【CVE-2024-9756】Order Attachments for WooCommerc...

WordPressプラグインのOrder Attachments for WooCommerceにおいて、認証をバイパスできる重大な脆弱性が発見された。この脆弱性は【CVE-2024-9756】として登録され、バージョン2.0から2.4.1に影響を与える。Subscriber以上の権限を持つユーザーが限定的な任意のファイルアップロードを実行できる可能性があり、早急な対応が求められている。

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以前にXSS脆弱性、Contributor権限で攻撃実行の可能性

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以...

WordPressプラグインSocial Sharing (By Danny)において、バージョン1.3.7以前に深刻な脆弱性が発見された。dvk_social_sharingショートコードでの入力検証とエスケープ処理の不備により、Contributor以上の権限を持つユーザーがCross-Site Scripting攻撃を実行可能。CVSS Score 6.4の中程度の脆弱性として評価され、早急な対応が推奨される。

【CVE-2024-9704】Social Sharing (By Danny) 1.3.7以...

WordPressプラグインSocial Sharing (By Danny)において、バージョン1.3.7以前に深刻な脆弱性が発見された。dvk_social_sharingショートコードでの入力検証とエスケープ処理の不備により、Contributor以上の権限を持つユーザーがCross-Site Scripting攻撃を実行可能。CVSS Score 6.4の中程度の脆弱性として評価され、早急な対応が推奨される。

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクが明らかに

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...

WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。

【CVE-2024-9696】Rescue Shortcodesプラグインに深刻な脆弱性、クロ...

WordPressプラグインのRescue Shortcodesにおいて、バージョン2.8以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、悪意のあるスクリプトをページに挿入することで、アクセスしたユーザーのブラウザ上で不正なスクリプトが実行される危険性がある。

【CVE-2024-9707】WordPressプラグインHunk Companionに認証回避の脆弱性、未認証での任意プラグインインストールが可能に

【CVE-2024-9707】WordPressプラグインHunk Companionに認証回...

WordPressプラグインHunk Companionのバージョン1.8.4以前に重大な認証回避の脆弱性が発見された。この脆弱性はCVE-2024-9707として識別され、REST APIエンドポイントの認証チェック欠落により、未認証の攻撃者が任意のプラグインをインストール・有効化可能な状態となっている。CVSSスコアは9.8と深刻度が極めて高く、リモートコード実行の危険性も指摘されている。

【CVE-2024-9707】WordPressプラグインHunk Companionに認証回...

WordPressプラグインHunk Companionのバージョン1.8.4以前に重大な認証回避の脆弱性が発見された。この脆弱性はCVE-2024-9707として識別され、REST APIエンドポイントの認証チェック欠落により、未認証の攻撃者が任意のプラグインをインストール・有効化可能な状態となっている。CVSSスコアは9.8と深刻度が極めて高く、リモートコード実行の危険性も指摘されている。

【CVE-2024-9802】Zoweにconformance validation endpointの脆弱性、認証なしでサービス情報にアクセス可能に

【CVE-2024-9802】Zoweにconformance validation endp...

Open Mainframe ProjectのZoweで認証バイパスの脆弱性が発見された。バージョン2.11.0から2.17.0未満が影響を受け、認証されていないユーザーがconformance validation endpointを通じてサービスの詳細情報にアクセス可能となる。CVSSスコア5.3のMedium深刻度で、CWE-312に分類される重要な脆弱性として注目される。早急な対応が推奨される。

【CVE-2024-9802】Zoweにconformance validation endp...

Open Mainframe ProjectのZoweで認証バイパスの脆弱性が発見された。バージョン2.11.0から2.17.0未満が影響を受け、認証されていないユーザーがconformance validation endpointを通じてサービスの詳細情報にアクセス可能となる。CVSSスコア5.3のMedium深刻度で、CWE-312に分類される重要な脆弱性として注目される。早急な対応が推奨される。

【CVE-2024-11649】Beauty Parlour Management System 1.0にSQL injection脆弱性、顧客データ漏洩のリスクに警戒

【CVE-2024-11649】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、search-appointment.phpファイルに重大な脆弱性が発見された。CVE-2024-11649として識別されるこの脆弱性は、SQL injectionによる攻撃が可能で、CVSS 4.0で6.9のスコアを記録。リモートからの攻撃が可能で、特権や利用者の操作を必要としないため、早急な対策が求められている。

【CVE-2024-11649】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、search-appointment.phpファイルに重大な脆弱性が発見された。CVE-2024-11649として識別されるこの脆弱性は、SQL injectionによる攻撃が可能で、CVSS 4.0で6.9のスコアを記録。リモートからの攻撃が可能で、特権や利用者の操作を必要としないため、早急な対策が求められている。

【CVE-2024-11557】IrfanView 4.67.0.0にDXFファイル解析の脆弱性、リモートコード実行のリスクが明らかに

【CVE-2024-11557】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

Zero Day Initiativeは2024年11月22日、IrfanViewのDXFファイル解析機能においてメモリ破損によるリモートコード実行の脆弱性を発見したことを公開した。CVE-2024-11557として識別されたこの脆弱性は、CVSS v3.0で7.8(HIGH)と評価され、ユーザー提供データの不適切な検証により、攻撃者が任意のコードを実行できる状態となっている。

【CVE-2024-11557】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

Zero Day Initiativeは2024年11月22日、IrfanViewのDXFファイル解析機能においてメモリ破損によるリモートコード実行の脆弱性を発見したことを公開した。CVE-2024-11557として識別されたこの脆弱性は、CVSS v3.0で7.8(HIGH)と評価され、ユーザー提供データの不適切な検証により、攻撃者が任意のコードを実行できる状態となっている。

【CVE-2024-11556】IrfanView 4.67.0.0にDXFファイル解析の脆弱性、リモートコード実行の危険性が判明

【CVE-2024-11556】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

Zero Day Initiativeが2024年11月22日、IrfanViewのDXFファイル解析における重大な脆弱性を発見した。CVE-2024-11556として識別されるこの脆弱性は、メモリ破損によるリモートコード実行を可能にし、CVSSスコア7.8の深刻度が付与された。影響を受けるバージョン4.67.0.0では、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる危険性がある。

【CVE-2024-11556】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

Zero Day Initiativeが2024年11月22日、IrfanViewのDXFファイル解析における重大な脆弱性を発見した。CVE-2024-11556として識別されるこの脆弱性は、メモリ破損によるリモートコード実行を可能にし、CVSSスコア7.8の深刻度が付与された。影響を受けるバージョン4.67.0.0では、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる危険性がある。

【CVE-2024-11555】IrfanView 4.67.0.0にDXFファイル解析の脆弱性、リモートコード実行のリスクが発覚

【CVE-2024-11555】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

Zero Day InitiativeがIrfanView 4.67.0.0のDXFファイル解析における重大な脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、悪意のあるページや不正なファイルを通じてリモートコード実行が可能となる。ユーザーの操作を必要とするものの、システムの制御権限が奪取される可能性があり、早急な対応が求められる。

【CVE-2024-11555】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

Zero Day InitiativeがIrfanView 4.67.0.0のDXFファイル解析における重大な脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、悪意のあるページや不正なファイルを通じてリモートコード実行が可能となる。ユーザーの操作を必要とするものの、システムの制御権限が奪取される可能性があり、早急な対応が求められる。

【CVE-2024-11553】IrfanView 4.67.0.0にDXFファイル解析の脆弱性、リモートコード実行の危険性

【CVE-2024-11553】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

Zero Day Initiativeは2024年11月22日、IrfanView 4.67.0.0においてDXFファイル解析時のメモリ破損によるリモートコード実行の脆弱性を公開した。CVE-2024-11553として識別されるこの脆弱性は、CVSS v3.0で7.8(HIGH)と評価され、悪意のあるページやファイルを通じて攻撃者が任意のコードを実行できる可能性がある深刻な問題として報告されている。

【CVE-2024-11553】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

Zero Day Initiativeは2024年11月22日、IrfanView 4.67.0.0においてDXFファイル解析時のメモリ破損によるリモートコード実行の脆弱性を公開した。CVE-2024-11553として識別されるこの脆弱性は、CVSS v3.0で7.8(HIGH)と評価され、悪意のあるページやファイルを通じて攻撃者が任意のコードを実行できる可能性がある深刻な問題として報告されている。

【CVE-2024-11552】IrfanView 4.67.0.0にリモートコード実行の脆弱性、DXFファイル解析時のメモリ破損の危険性

【CVE-2024-11552】IrfanView 4.67.0.0にリモートコード実行の脆弱...

Zero Day InitiativeがIrfanViewのDXFファイル解析における重大な脆弱性を報告。CVE-2024-11552として特定されたこの脆弱性は、メモリ破損を引き起こし、リモートコード実行を可能にする。CVSSスコア7.8の高リスク脆弱性で、バージョン4.67.0.0が影響を受ける。ユーザー操作を必要とするものの、システムのセキュリティを著しく損なう可能性がある。

【CVE-2024-11552】IrfanView 4.67.0.0にリモートコード実行の脆弱...

Zero Day InitiativeがIrfanViewのDXFファイル解析における重大な脆弱性を報告。CVE-2024-11552として特定されたこの脆弱性は、メモリ破損を引き起こし、リモートコード実行を可能にする。CVSSスコア7.8の高リスク脆弱性で、バージョン4.67.0.0が影響を受ける。ユーザー操作を必要とするものの、システムのセキュリティを著しく損なう可能性がある。

【CVE-2024-11551】IrfanView 4.67.0.0にDXFファイル解析の脆弱性、リモートコード実行のリスクが判明

【CVE-2024-11551】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

画像処理ソフトウェアIrfanViewのバージョン4.67.0.0においてDXFファイル解析に関連する重大な脆弱性が発見された。CVE-2024-11551として識別されるこの脆弱性は、メモリ破損を引き起こし任意のコード実行を可能にする。CVSSスコアは7.8(High)であり、攻撃にはユーザーの操作が必要だが、適切な対策が求められる状況である。

【CVE-2024-11551】IrfanView 4.67.0.0にDXFファイル解析の脆弱...

画像処理ソフトウェアIrfanViewのバージョン4.67.0.0においてDXFファイル解析に関連する重大な脆弱性が発見された。CVE-2024-11551として識別されるこの脆弱性は、メモリ破損を引き起こし任意のコード実行を可能にする。CVSSスコアは7.8(High)であり、攻撃にはユーザーの操作が必要だが、適切な対策が求められる状況である。

【CVE-2024-11549】IrfanView 4.67.0.0でDXFファイル解析の脆弱性、リモートコード実行のリスクが浮上

【CVE-2024-11549】IrfanView 4.67.0.0でDXFファイル解析の脆弱...

Zero Day InitiativeはIrfanView 4.67.0.0においてDXFファイル解析時のバッファオーバーフローによるリモートコード実行の脆弱性を発見した。CVE-2024-11549として識別されるこの脆弱性は、CVSS 3.0でHigh(7.8)と評価され、ユーザーの操作を介して悪意のあるコードが実行される可能性がある。機密性・整合性・可用性のすべてにおいて高いリスクが存在する。

【CVE-2024-11549】IrfanView 4.67.0.0でDXFファイル解析の脆弱...

Zero Day InitiativeはIrfanView 4.67.0.0においてDXFファイル解析時のバッファオーバーフローによるリモートコード実行の脆弱性を発見した。CVE-2024-11549として識別されるこの脆弱性は、CVSS 3.0でHigh(7.8)と評価され、ユーザーの操作を介して悪意のあるコードが実行される可能性がある。機密性・整合性・可用性のすべてにおいて高いリスクが存在する。

【CVE-2024-11548】IrfanView 4.67.0.0にDWGファイル解析の脆弱性、リモートコード実行の危険性が浮上

【CVE-2024-11548】IrfanView 4.67.0.0にDWGファイル解析の脆弱...

Zero Day Initiativeは2024年11月22日、IrfanView 4.67.0.0にDWGファイル解析の脆弱性を発見したと発表した。この脆弱性はバッファオーバーフローを引き起こし、攻撃者による任意のコード実行を可能にする。CVSSスコアは7.8(High)と評価されており、ユーザーの操作を必要とするものの、攻撃の複雑さは低いとされている。

【CVE-2024-11548】IrfanView 4.67.0.0にDWGファイル解析の脆弱...

Zero Day Initiativeは2024年11月22日、IrfanView 4.67.0.0にDWGファイル解析の脆弱性を発見したと発表した。この脆弱性はバッファオーバーフローを引き起こし、攻撃者による任意のコード実行を可能にする。CVSSスコアは7.8(High)と評価されており、ユーザーの操作を必要とするものの、攻撃の複雑さは低いとされている。

【CVE-2024-11547】IrfanView 4.67.0.0にDWGファイル解析の脆弱性、任意のコード実行のリスクが発生

【CVE-2024-11547】IrfanView 4.67.0.0にDWGファイル解析の脆弱...

Zero Day InitiativeがIrfanView 4.67.0.0のDWGファイル解析機能に重大な脆弱性を発見した。CVSSスコア7.8と評価される本脆弱性は、ユーザーの操作を介して攻撃者による任意のコード実行を可能にする。メモリ破損を引き起こす可能性があり、企業環境での使用において特に注意が必要となっている。

【CVE-2024-11547】IrfanView 4.67.0.0にDWGファイル解析の脆弱...

Zero Day InitiativeがIrfanView 4.67.0.0のDWGファイル解析機能に重大な脆弱性を発見した。CVSSスコア7.8と評価される本脆弱性は、ユーザーの操作を介して攻撃者による任意のコード実行を可能にする。メモリ破損を引き起こす可能性があり、企業環境での使用において特に注意が必要となっている。

【CVE-2024-11545】IrfanView 4.67.0.0にUse-After-Free脆弱性、DXFファイル解析時に任意コード実行の危険性

【CVE-2024-11545】IrfanView 4.67.0.0にUse-After-Fr...

Zero Day InitiativeはIrfanView 4.67.0.0のDXFファイル解析機能にUse-After-Free脆弱性が存在することを公開した。CVSSスコア7.8と高い深刻度を示すこの脆弱性は、悪意のあるDXFファイルを開くことで攻撃者による任意のコード実行を許してしまう可能性がある。特権は不要だが、ユーザーの操作が必要となる。

【CVE-2024-11545】IrfanView 4.67.0.0にUse-After-Fr...

Zero Day InitiativeはIrfanView 4.67.0.0のDXFファイル解析機能にUse-After-Free脆弱性が存在することを公開した。CVSSスコア7.8と高い深刻度を示すこの脆弱性は、悪意のあるDXFファイルを開くことで攻撃者による任意のコード実行を許してしまう可能性がある。特権は不要だが、ユーザーの操作が必要となる。

【CVE-2024-51151】D-Link DI-8200に深刻な遠隔コマンド実行の脆弱性、早急な対応が必要に

【CVE-2024-51151】D-Link DI-8200に深刻な遠隔コマンド実行の脆弱性、...

MITREが公開したD-Link DI-8200 16.07.26A1の脆弱性は、msp_info_htm機能においてflagパラメータとcmdパラメータを介して遠隔からコマンドを実行できる問題である。CVSSスコア8.0のハイリスク評価で、攻撃の自動化も可能とされており、早急な対応が必要とされている。CWE-78に分類されるこの脆弱性は、組織の情報セキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-51151】D-Link DI-8200に深刻な遠隔コマンド実行の脆弱性、...

MITREが公開したD-Link DI-8200 16.07.26A1の脆弱性は、msp_info_htm機能においてflagパラメータとcmdパラメータを介して遠隔からコマンドを実行できる問題である。CVSSスコア8.0のハイリスク評価で、攻撃の自動化も可能とされており、早急な対応が必要とされている。CWE-78に分類されるこの脆弱性は、組織の情報セキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-48986】MBed OS 6.16.0でバッファオーバーフローの脆弱性を発見、サービス拒否攻撃のリスクに警鐘

【CVE-2024-48986】MBed OS 6.16.0でバッファオーバーフローの脆弱性を...

MITRE CorporationがMBed OS 6.16.0に存在するバッファオーバーフローの脆弱性を報告した。HCIパケット処理におけるバッファ長の制御に問題があり、サービス拒否攻撃の可能性が指摘されている。バッファが動的に割り当てられる実装の特性上、影響は限定的である可能性が高いものの、IoTデバイスのセキュリティ設計における重要な課題として認識されている。

【CVE-2024-48986】MBed OS 6.16.0でバッファオーバーフローの脆弱性を...

MITRE CorporationがMBed OS 6.16.0に存在するバッファオーバーフローの脆弱性を報告した。HCIパケット処理におけるバッファ長の制御に問題があり、サービス拒否攻撃の可能性が指摘されている。バッファが動的に割り当てられる実装の特性上、影響は限定的である可能性が高いものの、IoTデバイスのセキュリティ設計における重要な課題として認識されている。

【CVE-2024-11493】115cms v20240807でクロスサイトスクリプティングの脆弱性が発見、ベンダーの対応が課題に

【CVE-2024-11493】115cms v20240807でクロスサイトスクリプティング...

115cms v20240807以前のバージョンにおいて、/index.php/setpage/admin/pageAE.htmlファイルのtid引数に関する深刻な脆弱性が発見された。CVE-2024-11493として識別されるこの脆弱性は、クロスサイトスクリプティング攻撃を可能にし、CVSS v4.0で5.3(MEDIUM)と評価されている。早期の脆弱性情報開示にもかかわらずベンダーの対応が行われていない状況が続いており、セキュリティリスクが高まっている。

【CVE-2024-11493】115cms v20240807でクロスサイトスクリプティング...

115cms v20240807以前のバージョンにおいて、/index.php/setpage/admin/pageAE.htmlファイルのtid引数に関する深刻な脆弱性が発見された。CVE-2024-11493として識別されるこの脆弱性は、クロスサイトスクリプティング攻撃を可能にし、CVSS v4.0で5.3(MEDIUM)と評価されている。早期の脆弱性情報開示にもかかわらずベンダーの対応が行われていない状況が続いており、セキュリティリスクが高まっている。

【CVE-2024-11492】115cmsバージョン20240807にCross Site Scripting脆弱性が発見、早急な対応が必要な状況に

【CVE-2024-11492】115cmsバージョン20240807にCross Site ...

115cmsバージョン20240807において、管理画面の/index.php/admin/web/appurladd.htmlファイルのtid引数に関連するCross Site Scriptingの脆弱性が発見された。CVE-2024-11492として識別されるこの脆弱性は、CVSS 4.0で5.3点(MEDIUM)と評価され、リモートからの攻撃が可能で、すでに公開されている状態である。ベンダーへの早期連絡にも関わらず対応が行われていない状況が続いており、早急な対策が必要とされている。

【CVE-2024-11492】115cmsバージョン20240807にCross Site ...

115cmsバージョン20240807において、管理画面の/index.php/admin/web/appurladd.htmlファイルのtid引数に関連するCross Site Scriptingの脆弱性が発見された。CVE-2024-11492として識別されるこの脆弱性は、CVSS 4.0で5.3点(MEDIUM)と評価され、リモートからの攻撃が可能で、すでに公開されている状態である。ベンダーへの早期連絡にも関わらず対応が行われていない状況が続いており、早急な対策が必要とされている。

【CVE-2024-11486】Code4Berry Decoration Management System 1.0に権限の脆弱性、ベンダー対応なく公開状態が継続

【CVE-2024-11486】Code4Berry Decoration Managemen...

Code4Berry Decoration Management System 1.0のuser_permission.phpファイルにおいて深刻な権限の脆弱性が発見された。CVE-2024-11486として識別されたこの脆弱性は、リモートからの攻撃が可能でCVSSスコアは最大5.3を記録。ベンダーへの早期通知にも関わらず対応がなく、脆弱性が一般に公開された状態が続いている。システム管理者による迅速な対応が求められる状況だ。

【CVE-2024-11486】Code4Berry Decoration Managemen...

Code4Berry Decoration Management System 1.0のuser_permission.phpファイルにおいて深刻な権限の脆弱性が発見された。CVE-2024-11486として識別されたこの脆弱性は、リモートからの攻撃が可能でCVSSスコアは最大5.3を記録。ベンダーへの早期通知にも関わらず対応がなく、脆弱性が一般に公開された状態が続いている。システム管理者による迅速な対応が求められる状況だ。