Tech Insights

【CVE-2024-50203】Linux kernelのarm64におけるBPF脆弱性が修正、ヒープバッファオーバーフローの危険性に対処

【CVE-2024-50203】Linux kernelのarm64におけるBPF脆弱性が修正...

Linux kernelの開発チームがarm64アーキテクチャにおけるBPF実装の重要な脆弱性を修正した。BPF_TRAMP_F_CALL_ORIGが有効な状態でbpf_tramp_image構造体のアドレス処理時にヒープバッファオーバーフローが発生する可能性があり、特にタグベースのKASANが有効な環境で顕著だった。修正パッチでは最悪のケースを想定したサイズ計算を導入し、システムの安全性を向上させている。

【CVE-2024-50203】Linux kernelのarm64におけるBPF脆弱性が修正...

Linux kernelの開発チームがarm64アーキテクチャにおけるBPF実装の重要な脆弱性を修正した。BPF_TRAMP_F_CALL_ORIGが有効な状態でbpf_tramp_image構造体のアドレス処理時にヒープバッファオーバーフローが発生する可能性があり、特にタグベースのKASANが有効な環境で顕著だった。修正パッチでは最悪のケースを想定したサイズ計算を導入し、システムの安全性を向上させている。

【CVE-2024-50146】Linux kernelがmlx5eドライバの脆弱性を修正、システムの安定性が向上へ

【CVE-2024-50146】Linux kernelがmlx5eドライバの脆弱性を修正、シ...

Linux kernelプロジェクトは、mlx5eドライバにおける重大な脆弱性【CVE-2024-50146】の修正を発表した。この脆弱性は、profile rollback失敗時にnetdevプロファイル変数がNULLに設定され、ドライバのアンロード時にクラッシュを引き起こす問題であった。修正により、特にCtrl+Cによるmodprobeの中断時などにおいても、システムの安定性が維持されるようになっている。

【CVE-2024-50146】Linux kernelがmlx5eドライバの脆弱性を修正、シ...

Linux kernelプロジェクトは、mlx5eドライバにおける重大な脆弱性【CVE-2024-50146】の修正を発表した。この脆弱性は、profile rollback失敗時にnetdevプロファイル変数がNULLに設定され、ドライバのアンロード時にクラッシュを引き起こす問題であった。修正により、特にCtrl+Cによるmodprobeの中断時などにおいても、システムの安定性が維持されるようになっている。

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENETにDoS脆弱性、Ethernet通信への攻撃リスクが判明

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENET...

三菱電機のMELSEC iQ-F Series FX5-ENETおよびFX5-ENET/IPに深刻なDoS脆弱性が発見された。CVSSスコア7.5のHigh評価となる本脆弱性は、特別に細工されたSLMPパケットによってEthernet通信に障害を引き起こす可能性がある。FX5-ENETのバージョン1.100以降およびFX5-ENET/IPのバージョン1.100から1.104が影響を受け、早急な対応が求められている。

【CVE-2024-8403】三菱電機のMELSEC iQ-F Series FX5-ENET...

三菱電機のMELSEC iQ-F Series FX5-ENETおよびFX5-ENET/IPに深刻なDoS脆弱性が発見された。CVSSスコア7.5のHigh評価となる本脆弱性は、特別に細工されたSLMPパケットによってEthernet通信に障害を引き起こす可能性がある。FX5-ENETのバージョン1.100以降およびFX5-ENET/IPのバージョン1.100から1.104が影響を受け、早急な対応が求められている。

TECHFUNDとDAIJOBUがWeb3向け品質保証で提携、QAテストからセキュリティ監査まで一貫サービスを実現

TECHFUNDとDAIJOBUがWeb3向け品質保証で提携、QAテストからセキュリティ監査ま...

TECHFUNDとDAIJOBUは2024年11月19日、Web3プロジェクト向けの包括的な品質保証サービスで提携を開始。DAIJOBUのソフトウェアテスト・品質保証サービスとTECHFUNDの自動セキュリティ監査ツール「Hi AUDIT」を組み合わせ、開発初期からの品質保証とセキュリティ強化を実現。DevSecOpsの概念を導入し、効率的な開発とセキュリティ確保の両立を目指す。

TECHFUNDとDAIJOBUがWeb3向け品質保証で提携、QAテストからセキュリティ監査ま...

TECHFUNDとDAIJOBUは2024年11月19日、Web3プロジェクト向けの包括的な品質保証サービスで提携を開始。DAIJOBUのソフトウェアテスト・品質保証サービスとTECHFUNDの自動セキュリティ監査ツール「Hi AUDIT」を組み合わせ、開発初期からの品質保証とセキュリティ強化を実現。DevSecOpsの概念を導入し、効率的な開発とセキュリティ確保の両立を目指す。

フューチャーがFutureVulsに新機能を追加、外部スキャンツール連携とランサムウェア対策を強化し脆弱性管理の効率化を実現

フューチャーがFutureVulsに新機能を追加、外部スキャンツール連携とランサムウェア対策を...

フューチャー株式会社は脆弱性管理ソリューションFutureVulsに新機能を追加した。外部スキャンツールの結果インポート機能やランサムウェア攻撃への対応強化が実現し、統合的な社内外の脆弱性管理が可能になる。また、SSVC決定木を最新バージョン2.1に更新することで設定の簡易化を実現し、より効率的な脆弱性管理を可能にした。

フューチャーがFutureVulsに新機能を追加、外部スキャンツール連携とランサムウェア対策を...

フューチャー株式会社は脆弱性管理ソリューションFutureVulsに新機能を追加した。外部スキャンツールの結果インポート機能やランサムウェア攻撃への対応強化が実現し、統合的な社内外の脆弱性管理が可能になる。また、SSVC決定木を最新バージョン2.1に更新することで設定の簡易化を実現し、より効率的な脆弱性管理を可能にした。

primeNumberが脆弱性管理クラウドyamoryを導入、ITシステム全体のセキュリティ強化へ前進

primeNumberが脆弱性管理クラウドyamoryを導入、ITシステム全体のセキュリティ強...

株式会社アシュアードは、脆弱性管理クラウド「yamory」をprimeNumberに導入したことを発表した。yomoryのオートトリアージ機能により脆弱性の危険度を自動判別し、対応優先度の把握が容易になった。また、OSSライセンス管理機能やAWS連携、GitHub連携など複数の連携手段を活用することで、開発環境に適した脆弱性管理体制を構築することが可能になっている。

primeNumberが脆弱性管理クラウドyamoryを導入、ITシステム全体のセキュリティ強...

株式会社アシュアードは、脆弱性管理クラウド「yamory」をprimeNumberに導入したことを発表した。yomoryのオートトリアージ機能により脆弱性の危険度を自動判別し、対応優先度の把握が容易になった。また、OSSライセンス管理機能やAWS連携、GitHub連携など複数の連携手段を活用することで、開発環境に適した脆弱性管理体制を構築することが可能になっている。

【CVE-2024-9487】GitHub Enterprise Serverで重大な認証バイパスの脆弱性、複数バージョンで修正完了

【CVE-2024-9487】GitHub Enterprise Serverで重大な認証バイ...

GitHubは2024年10月10日、GitHub Enterprise Serverにおいて暗号化署名の検証が不適切で認証をバイパスできる重大な脆弱性を発見したことを発表した。この脆弱性は暗号化アサーション機能が有効な状態でSAML SSO認証をバイパスし、不正なユーザープロビジョニングやインスタンスへのアクセスが可能になるという深刻な問題である。CVSSスコアは9.5(CRITICAL)と評価され、早急な対応が必要とされている。

【CVE-2024-9487】GitHub Enterprise Serverで重大な認証バイ...

GitHubは2024年10月10日、GitHub Enterprise Serverにおいて暗号化署名の検証が不適切で認証をバイパスできる重大な脆弱性を発見したことを発表した。この脆弱性は暗号化アサーション機能が有効な状態でSAML SSO認証をバイパスし、不正なユーザープロビジョニングやインスタンスへのアクセスが可能になるという深刻な問題である。CVSSスコアは9.5(CRITICAL)と評価され、早急な対応が必要とされている。

【CVE-2024-9477】AirTies Air4443 FirmwareにXSS脆弱性が発見、EOL製品のため対応困難な状況に

【CVE-2024-9477】AirTies Air4443 FirmwareにXSS脆弱性が...

TR-CERTが2024年11月13日にAirTies Air4443 Firmwareの重大な脆弱性を公開した。CVE-2024-9477として識別されたこの問題は、ウェブページ生成時の入力の不適切な無害化処理に起因するXSS脆弱性である。CVSSスコア4.6(MEDIUM)と評価される一方、製品はすでにEOLおよびEOSの状態であり、セキュリティアップデートの提供は期待できない状況となっている。

【CVE-2024-9477】AirTies Air4443 FirmwareにXSS脆弱性が...

TR-CERTが2024年11月13日にAirTies Air4443 Firmwareの重大な脆弱性を公開した。CVE-2024-9477として識別されたこの問題は、ウェブページ生成時の入力の不適切な無害化処理に起因するXSS脆弱性である。CVSSスコア4.6(MEDIUM)と評価される一方、製品はすでにEOLおよびEOSの状態であり、セキュリティアップデートの提供は期待できない状況となっている。

【CVE-2024-8049】Progress SoftwareのTelerik Document Processing Librariesに深刻な脆弱性、リソース枯渇の危険性が判明

【CVE-2024-8049】Progress SoftwareのTelerik Docume...

Progress SoftwareのTelerik Document Processing Librariesにおいて、2024 Q4(バージョン2024.4.1106)より前のバージョンで深刻な脆弱性が発見された。サポートされていない機能を含むドキュメントのインポート時に過剰な処理が発生し、コンピューティングリソースの大量消費によってアプリケーションプロセスが利用不能になる可能性がある。CVSSスコアは6.5で、早急な対応が推奨されている。

【CVE-2024-8049】Progress SoftwareのTelerik Docume...

Progress SoftwareのTelerik Document Processing Librariesにおいて、2024 Q4(バージョン2024.4.1106)より前のバージョンで深刻な脆弱性が発見された。サポートされていない機能を含むドキュメントのインポート時に過剰な処理が発生し、コンピューティングリソースの大量消費によってアプリケーションプロセスが利用不能になる可能性がある。CVSSスコアは6.5で、早急な対応が推奨されている。

【CVE-2024-7295】Progress Telerik Report Serverに暗号化の脆弱性、ローカルアセットデータの保護に課題

【CVE-2024-7295】Progress Telerik Report Serverに暗...

Progress SoftwareはTelerik Report Server 10.3.24.1112未満のバージョンにおいて、ローカルアセットデータの暗号化アルゴリズムに脆弱性が発見されたことを公表した。CVE-2024-7295として識別されたこの脆弱性は、CVSSスコア7.1のHigh評価を受けており、熟練した攻撃者による情報の復号化を可能にする可能性がある。2024 Q4リリースで修正された。

【CVE-2024-7295】Progress Telerik Report Serverに暗...

Progress SoftwareはTelerik Report Server 10.3.24.1112未満のバージョンにおいて、ローカルアセットデータの暗号化アルゴリズムに脆弱性が発見されたことを公表した。CVE-2024-7295として識別されたこの脆弱性は、CVSSスコア7.1のHigh評価を受けており、熟練した攻撃者による情報の復号化を可能にする可能性がある。2024 Q4リリースで修正された。

【CVE-2024-52357】LIQUID BLOCKS 1.2.0にXSS脆弱性、バージョン1.3.0で修正完了

【CVE-2024-52357】LIQUID BLOCKS 1.2.0にXSS脆弱性、バージョ...

WordPressプラグインLIQUID BLOCKSにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、特権ユーザーによる永続的なXSS攻撃を可能にする。影響を受けるバージョン1.2.0以前のユーザーは、修正版となるバージョン1.3.0へのアップデートが推奨される。

【CVE-2024-52357】LIQUID BLOCKS 1.2.0にXSS脆弱性、バージョ...

WordPressプラグインLIQUID BLOCKSにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、特権ユーザーによる永続的なXSS攻撃を可能にする。影響を受けるバージョン1.2.0以前のユーザーは、修正版となるバージョン1.3.0へのアップデートが推奨される。

【CVE-2024-52355】WordPress OSM – OpenStreetMapプラグイン6.1.2にXSS脆弱性、バージョン6.1.3で修正完了

【CVE-2024-52355】WordPress OSM – OpenStreetMapプラ...

Patchstack OÜがWordPress OSM – OpenStreetMapプラグインにおけるXSS脆弱性を発見した。この脆弱性はバージョン6.1.2以前に影響し、CVSS v3.1で中程度(6.5)と評価された。攻撃には特権レベルとユーザーの操作が必要だが、情報漏洩やコンテンツ改ざんのリスクがある。Hyumikaはバージョン6.1.3で脆弱性を修正し、ユーザーに早急なアップデートを推奨している。

【CVE-2024-52355】WordPress OSM – OpenStreetMapプラ...

Patchstack OÜがWordPress OSM – OpenStreetMapプラグインにおけるXSS脆弱性を発見した。この脆弱性はバージョン6.1.2以前に影響し、CVSS v3.1で中程度(6.5)と評価された。攻撃には特権レベルとユーザーの操作が必要だが、情報漏洩やコンテンツ改ざんのリスクがある。Hyumikaはバージョン6.1.3で脆弱性を修正し、ユーザーに早急なアップデートを推奨している。

【CVE-2024-52354】Web Stories Widgets For Elementor 1.1にXSS脆弱性、中程度の深刻度でアップデートが必要に

【CVE-2024-52354】Web Stories Widgets For Element...

Cool PluginsのWordPress用プラグインWeb Stories Widgets For Elementorにおいて、格納型XSSの脆弱性が発見された。CVE-2024-52354として識別されるこの脆弱性は、バージョン1.1以前に影響し、CVSSスコア6.5の中程度の深刻度と評価されている。特権とユーザーの関与が必要だが攻撃の複雑さは低く、バージョン1.1.1へのアップデートで修正される。

【CVE-2024-52354】Web Stories Widgets For Element...

Cool PluginsのWordPress用プラグインWeb Stories Widgets For Elementorにおいて、格納型XSSの脆弱性が発見された。CVE-2024-52354として識別されるこの脆弱性は、バージョン1.1以前に影響し、CVSSスコア6.5の中程度の深刻度と評価されている。特権とユーザーの関与が必要だが攻撃の複雑さは低く、バージョン1.1.1へのアップデートで修正される。

【CVE-2024-52353】Christian Science Bible Lesson Subjects 2.0にXSS脆弱性、DOM操作時の入力処理に問題

【CVE-2024-52353】Christian Science Bible Lesson ...

WordPressプラグインChristian Science Bible Lesson Subjects 2.0以前のバージョンにDOM-Based XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、クライアントサイドでのDOM操作時に不適切な入力処理が行われる問題が指摘されている。バージョン2.1で修正済みだが、影響を受けるバージョンを使用しているユーザーは速やかなアップデートが推奨される。

【CVE-2024-52353】Christian Science Bible Lesson ...

WordPressプラグインChristian Science Bible Lesson Subjects 2.0以前のバージョンにDOM-Based XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、クライアントサイドでのDOM操作時に不適切な入力処理が行われる問題が指摘されている。バージョン2.1で修正済みだが、影響を受けるバージョンを使用しているユーザーは速やかなアップデートが推奨される。

【CVE-2024-52300】XWikiのmacro-pdfviewerでXSS脆弱性を発見、深刻度の高い影響範囲で早急な対応が必要

【CVE-2024-52300】XWikiのmacro-pdfviewerでXSS脆弱性を発見...

GitHubのセキュリティアドバイザリにて、XWikiのPDFビューアマクロmacro-pdfviewerにおいてクリティカルなXSS脆弱性が報告された。widthパラメータの不適切なエスケープにより、ページ編集権限を持つユーザーが攻撃可能な状態であることが判明。管理者がアクセスした場合、XWikiインストール全体のセキュリティに重大な影響を及ぼす可能性がある。バージョン2.5.6で修正済み。

【CVE-2024-52300】XWikiのmacro-pdfviewerでXSS脆弱性を発見...

GitHubのセキュリティアドバイザリにて、XWikiのPDFビューアマクロmacro-pdfviewerにおいてクリティカルなXSS脆弱性が報告された。widthパラメータの不適切なエスケープにより、ページ編集権限を持つユーザーが攻撃可能な状態であることが判明。管理者がアクセスした場合、XWikiインストール全体のセキュリティに重大な影響を及ぼす可能性がある。バージョン2.5.6で修正済み。

【CVE-2024-52299】XWikiのPDFビューワーマクロに深刻な脆弱性、アクセス権限チェックの不備で添付ファイルが閲覧可能に

【CVE-2024-52299】XWikiのPDFビューワーマクロに深刻な脆弱性、アクセス権限...

XWikiのPDFビューワーマクロにおいて、アクセス権限のチェック機能が正しく動作せず、XWiki.PDFViewerServiceの閲覧権限を持つユーザーが任意の添付ファイルにアクセスできる脆弱性が発見された。CVSSスコア7.5の高深刻度であり、影響を受けるバージョンは1.6.2以上2.5.6未満。修正版となる2.5.6が公開されており、早急なアップデートが推奨される。

【CVE-2024-52299】XWikiのPDFビューワーマクロに深刻な脆弱性、アクセス権限...

XWikiのPDFビューワーマクロにおいて、アクセス権限のチェック機能が正しく動作せず、XWiki.PDFViewerServiceの閲覧権限を持つユーザーが任意の添付ファイルにアクセスできる脆弱性が発見された。CVSSスコア7.5の高深刻度であり、影響を受けるバージョンは1.6.2以上2.5.6未満。修正版となる2.5.6が公開されており、早急なアップデートが推奨される。

【CVE-2024-51882】WordPress用Gboy Custom Google Map 1.2にSQLインジェクション脆弱性が発見、早急な対応が必要に

【CVE-2024-51882】WordPress用Gboy Custom Google Ma...

Patchstack OÜがWordPress用プラグインGboy Custom Google Map 1.2以前のバージョンにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア8.5の高リスク脆弱性として評価されており、攻撃に必要な特権レベルは低く設定されている一方で利用者の関与は不要とされている。機密情報漏洩のリスクが高く、早急な対応が推奨されている。

【CVE-2024-51882】WordPress用Gboy Custom Google Ma...

Patchstack OÜがWordPress用プラグインGboy Custom Google Map 1.2以前のバージョンにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア8.5の高リスク脆弱性として評価されており、攻撃に必要な特権レベルは低く設定されている一方で利用者の関与は不要とされている。機密情報漏洩のリスクが高く、早急な対応が推奨されている。

【CVE-2024-51668】MyCurator Content Curation 3.78にXSS脆弱性、アップデートで対策必須に

【CVE-2024-51668】MyCurator Content Curation 3.78...

WordPressプラグインMyCurator Content Curationにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51668として識別されるこの脆弱性は、バージョン3.78以前に影響し、CVSS 3.1で5.9(Medium)と評価されている。Patchstack AllianceのJoshua Chanによって発見され、開発者は対策版となるバージョン3.79をリリースしており、影響を受けるユーザーには早急なアップデートが推奨される。

【CVE-2024-51668】MyCurator Content Curation 3.78...

WordPressプラグインMyCurator Content Curationにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51668として識別されるこの脆弱性は、バージョン3.78以前に影響し、CVSS 3.1で5.9(Medium)と評価されている。Patchstack AllianceのJoshua Chanによって発見され、開発者は対策版となるバージョン3.79をリリースしており、影響を受けるユーザーには早急なアップデートが推奨される。

【CVE-2024-51664】Beds24 Online Bookingプラグインのクロスサイトスクリプティング脆弱性が修正、バージョン2.0.26で対策完了

【CVE-2024-51664】Beds24 Online Bookingプラグインのクロスサ...

WordPressプラグインのBeds24 Online Booking 2.0.25以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51664として識別されるこの脆弱性は、CVSSスコア5.9の中程度の深刻度と評価されており、認証された攻撃者がWebページ生成時に不適切な入力を行うことで引き起こされる可能性がある。最新バージョン2.0.26で修正済み。

【CVE-2024-51664】Beds24 Online Bookingプラグインのクロスサ...

WordPressプラグインのBeds24 Online Booking 2.0.25以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51664として識別されるこの脆弱性は、CVSSスコア5.9の中程度の深刻度と評価されており、認証された攻撃者がWebページ生成時に不適切な入力を行うことで引き起こされる可能性がある。最新バージョン2.0.26で修正済み。

【CVE-2024-51663】Bricksable for Bricks Builder 1.6.59にXSS脆弱性、新バージョンで修正完了

【CVE-2024-51663】Bricksable for Bricks Builder 1...

WordPress用プラグインBricksable for Bricks Builderにおいて、バージョン1.6.59以前に深刻なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.9のミディアム評価であり、高い特権レベルとユーザーの関与が必要となる。開発元は直ちに対応を行い、バージョン1.6.60で修正を完了。ユーザーには最新版へのアップデートが推奨される。

【CVE-2024-51663】Bricksable for Bricks Builder 1...

WordPress用プラグインBricksable for Bricks Builderにおいて、バージョン1.6.59以前に深刻なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.9のミディアム評価であり、高い特権レベルとユーザーの関与が必要となる。開発元は直ちに対応を行い、バージョン1.6.60で修正を完了。ユーザーには最新版へのアップデートが推奨される。

【CVE-2024-51599】WordPress用Simple Business Managerに深刻なXSS脆弱性、バージョン4.6.7.4まで影響

【CVE-2024-51599】WordPress用Simple Business Manag...

WordPressプラグインSimple Business Managerにおいて、Webページ生成時の入力値の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-51599として識別されるこの脆弱性は、バージョン4.6.7.4以前のすべてのバージョンに影響を及ぼす可能性があり、CVSSスコア6.5で中程度の深刻度と評価されている。

【CVE-2024-51599】WordPress用Simple Business Manag...

WordPressプラグインSimple Business Managerにおいて、Webページ生成時の入力値の不適切な無害化処理に起因するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-51599として識別されるこの脆弱性は、バージョン4.6.7.4以前のすべてのバージョンに影響を及ぼす可能性があり、CVSSスコア6.5で中程度の深刻度と評価されている。

【CVE-2024-51598】WordPress Selar.Co Widgetにクロスサイトスクリプティングの脆弱性、バージョン1.2以前のユーザーに影響

【CVE-2024-51598】WordPress Selar.Co Widgetにクロスサイ...

Patchstack OÜが2024年11月9日、WordPress用プラグインSelar.Co Widgetにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。この脆弱性はバージョン1.2以前に影響を与え、CVSSスコア6.5のミディアムリスクと評価されている。DOMベースのXSSとして確認され、Patchstack Allianceのメンバーによって発見された重要な脆弱性情報である。

【CVE-2024-51598】WordPress Selar.Co Widgetにクロスサイ...

Patchstack OÜが2024年11月9日、WordPress用プラグインSelar.Co Widgetにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。この脆弱性はバージョン1.2以前に影響を与え、CVSSスコア6.5のミディアムリスクと評価されている。DOMベースのXSSとして確認され、Patchstack Allianceのメンバーによって発見された重要な脆弱性情報である。

【CVE-2024-51596】WordPress Business Plugin 1.3にXSS脆弱性、早急な対応が必要に

【CVE-2024-51596】WordPress Business Plugin 1.3にX...

Patchstack OÜがWordPress Business Plugin 1.3以前のバージョンにクロスサイトスクリプティング脆弱性を発見した。CVSSスコア6.5のMedium評価で、攻撃者は低権限でネットワークを介して攻撃を実行可能。ユーザー操作を必要とするものの、情報漏洩やシステム改ざんのリスクが存在する。早急なアップデートによる対策が推奨される。

【CVE-2024-51596】WordPress Business Plugin 1.3にX...

Patchstack OÜがWordPress Business Plugin 1.3以前のバージョンにクロスサイトスクリプティング脆弱性を発見した。CVSSスコア6.5のMedium評価で、攻撃者は低権限でネットワークを介して攻撃を実行可能。ユーザー操作を必要とするものの、情報漏洩やシステム改ざんのリスクが存在する。早急なアップデートによる対策が推奨される。

【CVE-2024-51595】WordPress用SKSDEV Toolkitにストアド型XSS脆弱性、バージョン1.0.0以下のユーザーに影響

【CVE-2024-51595】WordPress用SKSDEV Toolkitにストアド型X...

WordPressプラグインのSKSDEV Toolkitにおいて、ストアド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51595として識別されるこの脆弱性は、CVSS3.1で6.5点と評価され、バージョン1.0.0以下のすべてのバージョンに影響を与える。攻撃には特権とユーザーの操作が必要だが、攻撃の複雑さは低く、早急な対策が推奨される。

【CVE-2024-51595】WordPress用SKSDEV Toolkitにストアド型X...

WordPressプラグインのSKSDEV Toolkitにおいて、ストアド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51595として識別されるこの脆弱性は、CVSS3.1で6.5点と評価され、バージョン1.0.0以下のすべてのバージョンに影響を与える。攻撃には特権とユーザーの操作が必要だが、攻撃の複雑さは低く、早急な対策が推奨される。

【CVE-2024-51593】WordPress用プラグインKурс валют UAHにXSS脆弱性、バージョン2.0以前に影響

【CVE-2024-51593】WordPress用プラグインKурс валют UAHにX...

WordPress用プラグインKурс валют UAHにStored XSS脆弱性が発見され、CVE-2024-51593として識別された。この脆弱性はバージョン2.0以前に影響を与え、CVSSスコア6.5と中程度の深刻度と評価されている。Webページ生成時の不適切な入力の無効化が原因で、攻撃者は低い特権レベルでこの脆弱性を悪用できる可能性があるため、早急な対応が求められている。

【CVE-2024-51593】WordPress用プラグインKурс валют UAHにX...

WordPress用プラグインKурс валют UAHにStored XSS脆弱性が発見され、CVE-2024-51593として識別された。この脆弱性はバージョン2.0以前に影響を与え、CVSSスコア6.5と中程度の深刻度と評価されている。Webページ生成時の不適切な入力の無効化が原因で、攻撃者は低い特権レベルでこの脆弱性を悪用できる可能性があるため、早急な対応が求められている。

【CVE-2024-51590】Hoo Addons for Elementor 1.0.6にXSS脆弱性、WordPressサイトのセキュリティリスクに警戒

【CVE-2024-51590】Hoo Addons for Elementor 1.0.6に...

Patchstack OÜはWordPress用プラグインHoo Addons for Elementorのバージョン1.0.6以前に存在するクロスサイトスクリプティング(XSS)の脆弱性を公開した。CVSSスコア6.5のミディアムレベルの脆弱性で、Webページ生成時の入力の不適切な無害化に起因するDOM-Based XSSの問題が確認されている。攻撃者はネットワーク経由でアクセス可能で、低い特権レベルとユーザーの関与が必要とされている。

【CVE-2024-51590】Hoo Addons for Elementor 1.0.6に...

Patchstack OÜはWordPress用プラグインHoo Addons for Elementorのバージョン1.0.6以前に存在するクロスサイトスクリプティング(XSS)の脆弱性を公開した。CVSSスコア6.5のミディアムレベルの脆弱性で、Webページ生成時の入力の不適切な無害化に起因するDOM-Based XSSの問題が確認されている。攻撃者はネットワーク経由でアクセス可能で、低い特権レベルとユーザーの関与が必要とされている。

【CVE-2024-51586】WordPress Elementary Addons 2.0.4に格納型XSS脆弱性、中程度の深刻度でユーザー介入が必要

【CVE-2024-51586】WordPress Elementary Addons 2.0...

BRAFTのWordPress用プラグインElementary Addonsにおいて、バージョン2.0.4以前に影響する格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃には特権とユーザーの介入が必要。Webページ生成時の入力の不適切な無害化が原因とされ、開発元は対応を進めている。

【CVE-2024-51586】WordPress Elementary Addons 2.0...

BRAFTのWordPress用プラグインElementary Addonsにおいて、バージョン2.0.4以前に影響する格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.5の中程度の深刻度で、攻撃には特権とユーザーの介入が必要。Webページ生成時の入力の不適切な無害化が原因とされ、開発元は対応を進めている。

【CVE-2024-51585】WordPress Sales Page Addonに格納型XSS脆弱性が発見、早急なアップデートの適用が推奨

【CVE-2024-51585】WordPress Sales Page Addonに格納型X...

WordPress Sales Page Addon – Elementor & Beaver Builderの1.4.2以前のバージョンにおいて、格納型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5のミディアムレベルと評価されており、攻撃者は低い特権レベルでネットワークを介した攻撃を実行できる可能性がある。データの機密性や整合性、可用性に対して軽度の影響を及ぼす可能性があるため、早急なアップデートが推奨される。

【CVE-2024-51585】WordPress Sales Page Addonに格納型X...

WordPress Sales Page Addon – Elementor & Beaver Builderの1.4.2以前のバージョンにおいて、格納型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5のミディアムレベルと評価されており、攻撃者は低い特権レベルでネットワークを介した攻撃を実行できる可能性がある。データの機密性や整合性、可用性に対して軽度の影響を及ぼす可能性があるため、早急なアップデートが推奨される。

【CVE-2024-51093】新たな重大な脆弱性が発見、システム全体のセキュリティに影響

【CVE-2024-51093】新たな重大な脆弱性が発見、システム全体のセキュリティに影響

セキュリティ研究者によって新たな重大な脆弱性CVE-2024-51093が発見された。この脆弱性はシステム全体に影響を及ぼす可能性があり、早急な対応が求められている。現在、セキュリティチームによる修正プログラムの開発が進められており、システム管理者には定期的なアップデートの確認と適用が強く推奨されている状況だ。

【CVE-2024-51093】新たな重大な脆弱性が発見、システム全体のセキュリティに影響

セキュリティ研究者によって新たな重大な脆弱性CVE-2024-51093が発見された。この脆弱性はシステム全体に影響を及ぼす可能性があり、早急な対応が求められている。現在、セキュリティチームによる修正プログラムの開発が進められており、システム管理者には定期的なアップデートの確認と適用が強く推奨されている状況だ。

【CVE-2024-50968】Agri-Trading Online Shopping System 1.0に価格操作の脆弱性、カート機能での不正な価格設定が可能に

【CVE-2024-50968】Agri-Trading Online Shopping Sy...

itsourcecode Agri-Trading Online Shopping System 1.0のAdd to Cart機能に深刻なビジネスロジックの脆弱性が発見された。攻撃者はquantパラメータを-0に設定することで合計金額を0円にできる問題が確認されており、早急な対策が必要とされている。MITREは本脆弱性をCVE-2024-50968として公開し、製品の状態を「Information not provided」としている。

【CVE-2024-50968】Agri-Trading Online Shopping Sy...

itsourcecode Agri-Trading Online Shopping System 1.0のAdd to Cart機能に深刻なビジネスロジックの脆弱性が発見された。攻撃者はquantパラメータを-0に設定することで合計金額を0円にできる問題が確認されており、早急な対策が必要とされている。MITREは本脆弱性をCVE-2024-50968として公開し、製品の状態を「Information not provided」としている。