Tech Insights

【CVE-2024-53058】LinuxカーネルのstmmacドライバーにDMAバッファの処理に関する脆弱性、複数バージョンに影響

【CVE-2024-53058】LinuxカーネルのstmmacドライバーにDMAバッファの処...

kernel.orgは2024年11月19日、LinuxカーネルのstmmacドライバーにDMAバッファのマップ/アンマップ処理に関する脆弱性を発見したことを公開した。この脆弱性は【CVE-2024-53058】として識別されており、特定プラットフォームのDMA AXIアドレス幅設定環境で発生する可能性がある。Linux 4.7以降の複数バージョンに影響し、データ破損やIOMMUフォールトのリスクが指摘されている。

【CVE-2024-53058】LinuxカーネルのstmmacドライバーにDMAバッファの処...

kernel.orgは2024年11月19日、LinuxカーネルのstmmacドライバーにDMAバッファのマップ/アンマップ処理に関する脆弱性を発見したことを公開した。この脆弱性は【CVE-2024-53058】として識別されており、特定プラットフォームのDMA AXIアドレス幅設定環境で発生する可能性がある。Linux 4.7以降の複数バージョンに影響し、データ破損やIOMMUフォールトのリスクが指摘されている。

【CVE-2024-50286】Linuxカーネルでksmbd関連の重大な脆弱性を修正、セッション管理の安全性が向上へ

【CVE-2024-50286】Linuxカーネルでksmbd関連の重大な脆弱性を修正、セッシ...

2024年11月19日、Linuxカーネルコミュニティがksmbd_smb2_session_createにおけるスラブの解放後使用の脆弱性に対する修正を公開した。この脆弱性は競合状態に起因しており、6.1.117以前、6.6.61以前、6.11.8以前のバージョンに影響する。修正パッチによりsessions_table_lockが実装され、セッションテーブルの操作における競合状態が解消された。

【CVE-2024-50286】Linuxカーネルでksmbd関連の重大な脆弱性を修正、セッシ...

2024年11月19日、Linuxカーネルコミュニティがksmbd_smb2_session_createにおけるスラブの解放後使用の脆弱性に対する修正を公開した。この脆弱性は競合状態に起因しており、6.1.117以前、6.6.61以前、6.11.8以前のバージョンに影響する。修正パッチによりsessions_table_lockが実装され、セッションテーブルの操作における競合状態が解消された。

【CVE-2024-53054】Linuxカーネルのcgroup/bpfにデッドロックの脆弱性、専用ワークキューで修正へ

【CVE-2024-53054】Linuxカーネルのcgroup/bpfにデッドロックの脆弱性...

Linuxカーネルのcgroup/bpfコンポーネントで重大な脆弱性が発見された。この問題は大量のcpusetの削除処理時にsystem_wqが飽和し、cgroup_mutexとcpu_hotplug_lockの取得が循環待ちとなってデッドロックが発生する。開発チームは専用ワークキューを実装することで問題を解決。Linux 5.3以降の複数バージョンに影響があり、早急な更新が推奨される。

【CVE-2024-53054】Linuxカーネルのcgroup/bpfにデッドロックの脆弱性...

Linuxカーネルのcgroup/bpfコンポーネントで重大な脆弱性が発見された。この問題は大量のcpusetの削除処理時にsystem_wqが飽和し、cgroup_mutexとcpu_hotplug_lockの取得が循環待ちとなってデッドロックが発生する。開発チームは専用ワークキューを実装することで問題を解決。Linux 5.3以降の複数バージョンに影響があり、早急な更新が推奨される。

【CVE-2024-53061】Linux kernelのs5p-jpegにバッファオーバーフロー脆弱性、複数バージョンに影響

【CVE-2024-53061】Linux kernelのs5p-jpegにバッファオーバーフ...

Linux kernelのmediaサブシステムにおいて、s5p-jpegコンポーネントに深刻なバッファオーバーフロー脆弱性が発見された。この脆弱性はwordが2未満になることを許可してしまう問題で、特にバージョン4.4では全てのユーザーが影響を受ける可能性がある。対策パッチは複数のカーネルブランチに適用され、最新バージョンでは脆弱性が修正されている。

【CVE-2024-53061】Linux kernelのs5p-jpegにバッファオーバーフ...

Linux kernelのmediaサブシステムにおいて、s5p-jpegコンポーネントに深刻なバッファオーバーフロー脆弱性が発見された。この脆弱性はwordが2未満になることを許可してしまう問題で、特にバージョン4.4では全てのユーザーが影響を受ける可能性がある。対策パッチは複数のカーネルブランチに適用され、最新バージョンでは脆弱性が修正されている。

【CVE-2024-53055】Linuxカーネルのiwlwifiドライバーに無限ループの脆弱性、6 GHzスキャン処理の安定性向上へ

【CVE-2024-53055】Linuxカーネルのiwlwifiドライバーに無限ループの脆弱...

kernel.orgがLinuxカーネルのiwlwifiドライバーにおける重要な脆弱性(CVE-2024-53055)を修正。この問題は255個以上の共存APが存在する環境で6 GHzスキャン構築時に無限ループが発生する可能性があるもので、変数型の変更とAP数の制限により解決。影響を受けるバージョンは5.11から特定のバージョンまでで、最新版では修正済み。

【CVE-2024-53055】Linuxカーネルのiwlwifiドライバーに無限ループの脆弱...

kernel.orgがLinuxカーネルのiwlwifiドライバーにおける重要な脆弱性(CVE-2024-53055)を修正。この問題は255個以上の共存APが存在する環境で6 GHzスキャン構築時に無限ループが発生する可能性があるもので、変数型の変更とAP数の制限により解決。影響を受けるバージョンは5.11から特定のバージョンまでで、最新版では修正済み。

【CVE-2024-53062】Linuxカーネルのmgb4ドライバーにspectreの脆弱性、投機的実行攻撃のリスクに対応が必要

【CVE-2024-53062】Linuxカーネルのmgb4ドライバーにspectreの脆弱性...

kernel.orgが2024年11月19日にLinuxカーネルのメディアドライバー「mgb4」にspectreに対する脆弱性を発見したと発表。周波数範囲をsysfsから設定する機能において、ドライバーがspectreに対して脆弱であることが判明。この問題はバージョン6.7から6.11.7まで影響し、コミットe0bc90742bbdおよび2aee207e5b3cによって修正された。

【CVE-2024-53062】Linuxカーネルのmgb4ドライバーにspectreの脆弱性...

kernel.orgが2024年11月19日にLinuxカーネルのメディアドライバー「mgb4」にspectreに対する脆弱性を発見したと発表。周波数範囲をsysfsから設定する機能において、ドライバーがspectreに対して脆弱であることが判明。この問題はバージョン6.7から6.11.7まで影響し、コミットe0bc90742bbdおよび2aee207e5b3cによって修正された。

【CVE-2024-53069】Linux kernelのfirmware qcom scmにNULLポインタ参照の脆弱性が発見、kernel.orgが修正パッチを提供

【CVE-2024-53069】Linux kernelのfirmware qcom scmに...

kernel.orgは2024年11月19日、Linux kernelのfirmware qcom scmドライバーにNULLポインタ参照の脆弱性が発見されたと発表した。この脆弱性はCVE-2024-53069として識別され、デバイスツリーにSCMエントリが存在しない場合にドライバーがプローブされない状況で発生する可能性がある。Linux kernel 6.11未満のバージョンおよび6.11.8以降の6.11.xシリーズ、6.12以降のバージョンでは影響を受けない。

【CVE-2024-53069】Linux kernelのfirmware qcom scmに...

kernel.orgは2024年11月19日、Linux kernelのfirmware qcom scmドライバーにNULLポインタ参照の脆弱性が発見されたと発表した。この脆弱性はCVE-2024-53069として識別され、デバイスツリーにSCMエントリが存在しない場合にドライバーがプローブされない状況で発生する可能性がある。Linux kernel 6.11未満のバージョンおよび6.11.8以降の6.11.xシリーズ、6.12以降のバージョンでは影響を受けない。

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

イオンカードは2024年11月22日、不正利用被害に対するセキュリティ対応の声明を発表した。カード利用停止後もオフライン取引による不正利用が継続する問題に対し、照会基準の見直しや店舗端末への停止情報登録などの対策を実施。24時間365日の異常検知モニタリングや本人認証サービスの導入など、セキュリティ体制の強化を進めている。

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

イオンカードは2024年11月22日、不正利用被害に対するセキュリティ対応の声明を発表した。カード利用停止後もオフライン取引による不正利用が継続する問題に対し、照会基準の見直しや店舗端末への停止情報登録などの対策を実施。24時間365日の異常検知モニタリングや本人認証サービスの導入など、セキュリティ体制の強化を進めている。

三菱UFJ銀行が元行員による貸金庫からの資産窃取を公表、被害総額は十数億円で約60人の顧客に影響

三菱UFJ銀行が元行員による貸金庫からの資産窃取を公表、被害総額は十数億円で約60人の顧客に影響

三菱UFJ銀行は2024年11月22日、元行員による貸金庫からの顧客資産窃取事案を公表した。練馬支店と玉川支店で2020年4月から2024年10月まで続いた不正行為により、約60人の顧客に被害が発生。被害総額は元行員の供述に基づき時価十数億円程度とされるが、現在も詳細な調査を継続中である。銀行は対策本部を設置し、全容解明と再発防止に向けた取り組みを進めている。

三菱UFJ銀行が元行員による貸金庫からの資産窃取を公表、被害総額は十数億円で約60人の顧客に影響

三菱UFJ銀行は2024年11月22日、元行員による貸金庫からの顧客資産窃取事案を公表した。練馬支店と玉川支店で2020年4月から2024年10月まで続いた不正行為により、約60人の顧客に被害が発生。被害総額は元行員の供述に基づき時価十数億円程度とされるが、現在も詳細な調査を継続中である。銀行は対策本部を設置し、全容解明と再発防止に向けた取り組みを進めている。

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホットプラグ処理の安定性が向上へ

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...

Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...

Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。

【CVE-2024-50065】Linux kernelのntfs3にメモリアロケーション脆弱性、非ブロッキング方式への変更で対策を実施

【CVE-2024-50065】Linux kernelのntfs3にメモリアロケーション脆弱...

Linux kernelのntfs3コンポーネントで重大な脆弱性が発見された。ntfs_d_hash関数内のメモリアロケーション処理において、__get_name()関数がGFP_KERNELを使用することでメモリ圧迫時にスリープする可能性があり、rcu-walk中の予期せぬ動作を引き起こす可能性がある。この問題に対し、アロケーション方式をGFP_NOWAITに変更することで対策を実施。Linux 6.6.57以降および6.11.4以降のバージョンで修正が適用された。

【CVE-2024-50065】Linux kernelのntfs3にメモリアロケーション脆弱...

Linux kernelのntfs3コンポーネントで重大な脆弱性が発見された。ntfs_d_hash関数内のメモリアロケーション処理において、__get_name()関数がGFP_KERNELを使用することでメモリ圧迫時にスリープする可能性があり、rcu-walk中の予期せぬ動作を引き起こす可能性がある。この問題に対し、アロケーション方式をGFP_NOWAITに変更することで対策を実施。Linux 6.6.57以降および6.11.4以降のバージョンで修正が適用された。

【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRのジョブ解放処理の脆弱性を修正、UAF発生のリスクに対処

【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...

LinuxカーネルのTDR(Timeout Detection and Recovery)において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF(Use After Free)の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。

【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...

LinuxカーネルのTDR(Timeout Detection and Recovery)において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF(Use After Free)の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。

【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョンに影響を与える深刻な問題に

【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョ...

Microsoftは2024年11月12日、WindowsのNTLMハッシュ開示に関する脆弱性【CVE-2024-43451】を公開した。この脆弱性はWindows Server 2025からWindows Server 2008まで、Windows 11からWindows 10の広範なバージョンに影響を与えることが判明。CISAによる評価では攻撃の自動化は不可能とされているものの、CVSSスコア6.5の中程度の深刻度が付けられており、早急な対応が求められている。

【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョ...

Microsoftは2024年11月12日、WindowsのNTLMハッシュ開示に関する脆弱性【CVE-2024-43451】を公開した。この脆弱性はWindows Server 2025からWindows Server 2008まで、Windows 11からWindows 10の広範なバージョンに影響を与えることが判明。CISAによる評価では攻撃の自動化は不可能とされているものの、CVSSスコア6.5の中程度の深刻度が付けられており、早急な対応が求められている。

【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読み取り専用フィールドの改変が可能な脆弱性を確認

【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読...

SAPのS/4 HANA Manage Bank Statementsアプリケーションにおいて、読み取り専用フィールドがMERGEメソッドによって改変可能な脆弱性が発見された。CVE-2024-45282として識別されたこの脆弱性は、CVSS v3.1で中程度(4.3)と評価され、S4CORE 102から107までの広範なバージョンに影響を与える。整合性への影響が指摘されているが、機密性とアベイラビリティへの影響はない。

【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読...

SAPのS/4 HANA Manage Bank Statementsアプリケーションにおいて、読み取り専用フィールドがMERGEメソッドによって改変可能な脆弱性が発見された。CVE-2024-45282として識別されたこの脆弱性は、CVSS v3.1で中程度(4.3)と評価され、S4CORE 102から107までの広範なバージョンに影響を与える。整合性への影響が指摘されているが、機密性とアベイラビリティへの影響はない。

【CVE-2024-38203】Windows Package Library Managerに情報開示の脆弱性、複数のプラットフォームで対策版の適用が必要に

【CVE-2024-38203】Windows Package Library Manager...

MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。

【CVE-2024-38203】Windows Package Library Manager...

MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。

EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的な開発者向け知見の提供へ

EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...

イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。

EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...

イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。

CyCraftがITmedia Security Week 2024秋で講演、ASMによるセキュリティリスク管理の重要性を解説

CyCraftがITmedia Security Week 2024秋で講演、ASMによるセキ...

CyCraftは11月29日開催のITmedia Security Week 2024秋にてASM(アタック・サーフェイス・マネジメント)の重要性について講演を実施する。情報セキュリティ人材不足をテーマに、AIによる自動化技術を活用したセキュリティリスク管理の手法を解説。サプライチェーン全体のセキュリティ統制実現に向けた具体的な強化策を提示する予定だ。

CyCraftがITmedia Security Week 2024秋で講演、ASMによるセキ...

CyCraftは11月29日開催のITmedia Security Week 2024秋にてASM(アタック・サーフェイス・マネジメント)の重要性について講演を実施する。情報セキュリティ人材不足をテーマに、AIによる自動化技術を活用したセキュリティリスク管理の手法を解説。サプライチェーン全体のセキュリティ統制実現に向けた具体的な強化策を提示する予定だ。

Re-grit Partnersが品質不正対策セミナーを開催、実践的な対応策と点検シートの提供で企業の課題解決を支援

Re-grit Partnersが品質不正対策セミナーを開催、実践的な対応策と点検シートの提供...

株式会社Re-grit Partnersが2024年12月19日に品質不正対策の無料セミナーを開催する。セミナーでは品質不正の原因分析と実効性のある対応策を提示し、参加者には支援実績に基づいて作成された品質不正リスク点検シートが提供される。様々な業種での支援経験を活かした実践的な解説により、企業の具体的な課題解決を支援する。

Re-grit Partnersが品質不正対策セミナーを開催、実践的な対応策と点検シートの提供...

株式会社Re-grit Partnersが2024年12月19日に品質不正対策の無料セミナーを開催する。セミナーでは品質不正の原因分析と実効性のある対応策を提示し、参加者には支援実績に基づいて作成された品質不正リスク点検シートが提供される。様々な業種での支援経験を活かした実践的な解説により、企業の具体的な課題解決を支援する。

GMOサイバーセキュリティ byイエラエがモンゴル国最大級の商業銀行ゴロムト銀行へ脆弱性診断サービスを提供、デジタルバンキングの安全性向上に貢献

GMOサイバーセキュリティ byイエラエがモンゴル国最大級の商業銀行ゴロムト銀行へ脆弱性診断サ...

GMOサイバーセキュリティ byイエラエは、モンゴル国最大級の商業銀行であるゴロムト銀行のWebサイトとスマートフォンアプリに対する脆弱性診断サービスを2024年8月5日から8月23日まで提供した。モンゴル国・ウランバートル市との基本合意書に基づき、デジタル化が進む同国の金融インフラのセキュリティ強化を推進している。国内最大規模のホワイトハッカー組織としての技術力を活かし、サイバー攻撃対策の重要な役割を担っていく。

GMOサイバーセキュリティ byイエラエがモンゴル国最大級の商業銀行ゴロムト銀行へ脆弱性診断サ...

GMOサイバーセキュリティ byイエラエは、モンゴル国最大級の商業銀行であるゴロムト銀行のWebサイトとスマートフォンアプリに対する脆弱性診断サービスを2024年8月5日から8月23日まで提供した。モンゴル国・ウランバートル市との基本合意書に基づき、デジタル化が進む同国の金融インフラのセキュリティ強化を推進している。国内最大規模のホワイトハッカー組織としての技術力を活かし、サイバー攻撃対策の重要な役割を担っていく。

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCoreとWebKitの重大な脆弱性に対処

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCo...

AppleはiOS 18.1.1およびiPadOS 18.1.1で、JavaScriptCoreとWebKitの2つの重要な脆弱性を修正した。GoogleのThreat Analysis Groupが発見した脆弱性は、Intel搭載Macで既に悪用の可能性があり、任意のコード実行やクロスサイトスクリプト攻撃のリスクが存在していた。iPhone XS以降などの対象デバイスに対し、チェック機能の改善とクッキー管理の強化で対策を実施している。

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCo...

AppleはiOS 18.1.1およびiPadOS 18.1.1で、JavaScriptCoreとWebKitの2つの重要な脆弱性を修正した。GoogleのThreat Analysis Groupが発見した脆弱性は、Intel搭載Macで既に悪用の可能性があり、任意のコード実行やクロスサイトスクリプト攻撃のリスクが存在していた。iPhone XS以降などの対象デバイスに対し、チェック機能の改善とクッキー管理の強化で対策を実施している。

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウントが乗っ取られ個人情報流出の可能性

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...

JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...

JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。

【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパスの脆弱性、管理者権限取得のリスクが発覚

【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...

Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。

【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...

Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既にエクスプロイトコード公開で対応急務に

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...

Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...

Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。

【CVE-2024-11214】SourceCodester Best Employee Management System 1.0に無制限アップロードの脆弱性が発見、リモート攻撃のリスクに警戒

【CVE-2024-11214】SourceCodester Best Employee Ma...

SourceCodester Best Employee Management System 1.0のprofile.phpファイルに重大な脆弱性が発見された。【CVE-2024-11214】として識別されるこの脆弱性は、website_image引数を介した無制限アップロードを可能にし、リモートからの攻撃実行のリスクがある。CVSSスコアは最新のバージョン4.0で中程度の5.1を記録し、既に公開されて攻撃に利用される可能性が指摘されている。

【CVE-2024-11214】SourceCodester Best Employee Ma...

SourceCodester Best Employee Management System 1.0のprofile.phpファイルに重大な脆弱性が発見された。【CVE-2024-11214】として識別されるこの脆弱性は、website_image引数を介した無制限アップロードを可能にし、リモートからの攻撃実行のリスクがある。CVSSスコアは最新のバージョン4.0で中程度の5.1を記録し、既に公開されて攻撃に利用される可能性が指摘されている。

【CVE-2024-10877】AFI 1.92.0以前にXSS脆弱性、未認証攻撃者によるスクリプト実行の可能性

【CVE-2024-10877】AFI 1.92.0以前にXSS脆弱性、未認証攻撃者によるスク...

WordPressプラグインAFI – The Easiest Integration Plugin 1.92.0以前のバージョンにReflected Cross-Site Scriptingの脆弱性が発見された。add_query_argとremove_query_argのURL処理における不適切なエスケープが原因で、未認証の攻撃者が細工したURLを介して任意のスクリプトを実行可能。CVSSスコア6.1のMedium評価で、ユーザーの操作を必要とする攻撃手法となっている。

【CVE-2024-10877】AFI 1.92.0以前にXSS脆弱性、未認証攻撃者によるスク...

WordPressプラグインAFI – The Easiest Integration Plugin 1.92.0以前のバージョンにReflected Cross-Site Scriptingの脆弱性が発見された。add_query_argとremove_query_argのURL処理における不適切なエスケープが原因で、未認証の攻撃者が細工したURLを介して任意のスクリプトを実行可能。CVSSスコア6.1のMedium評価で、ユーザーの操作を必要とする攻撃手法となっている。

【CVE-2024-10571】WordPressのChartifyプラグインに重大な脆弱性、未認証の攻撃者が任意のファイルを実行可能な状態に

【CVE-2024-10571】WordPressのChartifyプラグインに重大な脆弱性、...

WordPressのChartifyプラグインにおいて、バージョン2.9.5以前に重大な脆弱性が発見された。CVE-2024-10571として特定されたこの脆弱性は、未認証の攻撃者がソースパラメータを介してローカルファイルインクルージョン攻撃を実行可能とするもので、CVSSスコア9.8と非常に高い危険度を示している。攻撃者はサーバー上の任意のファイルを実行でき、アクセス制御の回避や機密データの取得が可能となる。

【CVE-2024-10571】WordPressのChartifyプラグインに重大な脆弱性、...

WordPressのChartifyプラグインにおいて、バージョン2.9.5以前に重大な脆弱性が発見された。CVE-2024-10571として特定されたこの脆弱性は、未認証の攻撃者がソースパラメータを介してローカルファイルインクルージョン攻撃を実行可能とするもので、CVSSスコア9.8と非常に高い危険度を示している。攻撃者はサーバー上の任意のファイルを実行でき、アクセス制御の回避や機密データの取得が可能となる。

【CVE-2024-10443】SynologyのBeePhotosとPhotosに深刻な脆弱性、コマンドインジェクションによる任意コード実行の危険性

【CVE-2024-10443】SynologyのBeePhotosとPhotosに深刻な脆弱...

SynologyのBeePhotosとSynology Photosの複数バージョンにおいて、Task Managerコンポーネントに重大なコマンドインジェクション脆弱性が発見された。CVSSスコア9.8の最高レベルの深刻度を持つこの脆弱性により、リモートからの任意コード実行が可能となる。PWN2OWN 2024で発見されたこの問題に対し、Synologyは修正版の適用を強く推奨している。

【CVE-2024-10443】SynologyのBeePhotosとPhotosに深刻な脆弱...

SynologyのBeePhotosとSynology Photosの複数バージョンにおいて、Task Managerコンポーネントに重大なコマンドインジェクション脆弱性が発見された。CVSSスコア9.8の最高レベルの深刻度を持つこの脆弱性により、リモートからの任意コード実行が可能となる。PWN2OWN 2024で発見されたこの問題に対し、Synologyは修正版の適用を強く推奨している。

【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウントリカバリーハッシュが露出しセキュリティリスクに

【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...

lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。

【CVE-2024-3502】lunary-ai/lunaryに深刻な情報漏洩の脆弱性、アカウ...

lunary-ai/lunaryのバージョン1.2.5以前において、認証済みユーザーがAPIエンドポイントを通じて他のユーザーのアカウントリカバリーハッシュに不正アクセスできる重大な脆弱性が発見された。CVSS 9.1のクリティカルスコアが付与されており、バージョン1.2.6で修正された。すべてのユーザーに早急なアップデートが推奨される。

【CVE-2024-42391】Mongoose Web Server v7.14に発見された脆弱性、ヒープメモリ読み取りのリスクが明らかに

【CVE-2024-42391】Mongoose Web Server v7.14に発見された...

Nozomi Networks Inc.がCesanta社のMongoose Web Server v7.14において範囲外のポインタオフセット使用の脆弱性を発見。攻撃者が特別に細工したTLSパケットを送信することで、意図しないヒープメモリ空間の読み取りが可能となる。CVSSスコア4.3の中程度の深刻度と評価され、バージョン0から7.14までの全てのバージョンが影響を受ける。

【CVE-2024-42391】Mongoose Web Server v7.14に発見された...

Nozomi Networks Inc.がCesanta社のMongoose Web Server v7.14において範囲外のポインタオフセット使用の脆弱性を発見。攻撃者が特別に細工したTLSパケットを送信することで、意図しないヒープメモリ空間の読み取りが可能となる。CVSSスコア4.3の中程度の深刻度と評価され、バージョン0から7.14までの全てのバージョンが影響を受ける。

【CVE-2024-42385】Mongoose Web Server v7.14でPEM証明書の脆弱性が発見、メモリ安全性に懸念

【CVE-2024-42385】Mongoose Web Server v7.14でPEM証明...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14において、PEM証明書の区切り文字処理に関する脆弱性を発見した。CVE-2024-42385として識別されるこの脆弱性は、予期しない文字を含むPEM証明書によって境界外メモリ書き込みを引き起こす可能性がある。CVSSスコア4.0のMEDIUM評価であり、v7.14以前のバージョンが影響を受ける。

【CVE-2024-42385】Mongoose Web Server v7.14でPEM証明...

Nozomi Networks社がCesanta社のMongoose Web Server v7.14において、PEM証明書の区切り文字処理に関する脆弱性を発見した。CVE-2024-42385として識別されるこの脆弱性は、予期しない文字を含むPEM証明書によって境界外メモリ書き込みを引き起こす可能性がある。CVSSスコア4.0のMEDIUM評価であり、v7.14以前のバージョンが影響を受ける。