Tech Insights

【CVE-2024-56672】Linuxカーネルのblk-cgroupにUse-After-Free脆弱性、複数バージョンで修正パッチを提供

【CVE-2024-56672】Linuxカーネルのblk-cgroupにUse-After-...

kernel.orgは2024年12月27日、Linuxカーネルのblk-cgroupにおけるUse-After-Free脆弱性を公開した。この脆弱性はblkcg_unpin_online関数内でblkcg階層を上向きに移動する際に発生し、解放済みメモリへのアクセスによってシステムの安定性に影響を与える可能性がある。対象となるバージョンはLinux 5.7から6.13-rc3までの広範囲に及び、各バージョン向けの修正パッチが提供されている。

【CVE-2024-56672】Linuxカーネルのblk-cgroupにUse-After-...

kernel.orgは2024年12月27日、Linuxカーネルのblk-cgroupにおけるUse-After-Free脆弱性を公開した。この脆弱性はblkcg_unpin_online関数内でblkcg階層を上向きに移動する際に発生し、解放済みメモリへのアクセスによってシステムの安定性に影響を与える可能性がある。対象となるバージョンはLinux 5.7から6.13-rc3までの広範囲に及び、各バージョン向けの修正パッチが提供されている。

【CVE-2024-56673】Linux kernelのRISC-V実装におけるvmemmapページテーブル解放処理の脆弱性が発見、カーネルパニックのリスクに注意

【CVE-2024-56673】Linux kernelのRISC-V実装におけるvmemma...

LinuxカーネルのRISC-V実装において、vmemmapページテーブルの解放処理に関する重大な脆弱性【CVE-2024-56673】が発見された。この問題は、pmdデストラクタの不適切な呼び出しによってカーネルパニックを引き起こす可能性がある。影響を受けるバージョンはLinux kernel 6.11から6.12.5までで、6.12.6以降のバージョンで修正されている。RISC-V環境でSPARSEMEM_VMEMMAPを使用している場合、早急なアップデートが推奨される。

【CVE-2024-56673】Linux kernelのRISC-V実装におけるvmemma...

LinuxカーネルのRISC-V実装において、vmemmapページテーブルの解放処理に関する重大な脆弱性【CVE-2024-56673】が発見された。この問題は、pmdデストラクタの不適切な呼び出しによってカーネルパニックを引き起こす可能性がある。影響を受けるバージョンはLinux kernel 6.11から6.12.5までで、6.12.6以降のバージョンで修正されている。RISC-V環境でSPARSEMEM_VMEMMAPを使用している場合、早急なアップデートが推奨される。

【CVE-2024-56674】Linux kernelのvirtio-netモジュールに重大な脆弱性、BQLクラッシュの問題が解決へ

【CVE-2024-56674】Linux kernelのvirtio-netモジュールに重大...

Linux kernelのvirtio-netモジュールにおいて、virtnet_closeとvirtnet_openの処理順序に起因する重大な脆弱性が発見された。高負荷なネットワークトラフィック下で発生するBQLクラッシュの問題に対し、netdev_tx_reset_queue()の呼び出し位置を変更することで解決。この修正はLinux 6.12.6以降に適用され、フリーズ/リストアパスでの明示的な呼び出しが必要となった。

【CVE-2024-56674】Linux kernelのvirtio-netモジュールに重大...

Linux kernelのvirtio-netモジュールにおいて、virtnet_closeとvirtnet_openの処理順序に起因する重大な脆弱性が発見された。高負荷なネットワークトラフィック下で発生するBQLクラッシュの問題に対し、netdev_tx_reset_queue()の呼び出し位置を変更することで解決。この修正はLinux 6.12.6以降に適用され、フリーズ/リストアパスでの明示的な呼び出しが必要となった。

【CVE-2024-56675】Linuxカーネルのbpf_prog関連UAF脆弱性が修正、複数バージョンに影響

【CVE-2024-56675】Linuxカーネルのbpf_prog関連UAF脆弱性が修正、複...

Linuxカーネルにおいて、bpf_progとアタッチメントのRCUフレーバーの不一致によるUAF脆弱性が発見され修正された。Uprobesがtasks-trace-RCU保護下で動作する一方、非スリープ可能なBPFプログラムが通常のRCUで解放されることで発生する問題で、Linux 6.0以降の複数バージョンに影響。tasks-trace-RCU猶予期間の明示的待機により修正される。

【CVE-2024-56675】Linuxカーネルのbpf_prog関連UAF脆弱性が修正、複...

Linuxカーネルにおいて、bpf_progとアタッチメントのRCUフレーバーの不一致によるUAF脆弱性が発見され修正された。Uprobesがtasks-trace-RCU保護下で動作する一方、非スリープ可能なBPFプログラムが通常のRCUで解放されることで発生する問題で、Linux 6.0以降の複数バージョンに影響。tasks-trace-RCU猶予期間の明示的待機により修正される。

【CVE-2024-56710】Linuxカーネルのcephモジュールでメモリリーク脆弱性、6.6系と6.12系で修正パッチを提供

【CVE-2024-56710】Linuxカーネルのcephモジュールでメモリリーク脆弱性、6...

kernel.orgは2024年12月29日、Linuxカーネルのcephモジュールにおけるメモリリークの脆弱性を公開した。ceph_direct_read_write()関数でiter_get_bvecs_alloc()により確保したbvecs配列がメモリリークを引き起こす問題が確認された。Linux 6.6.69以降の6.6系、6.12.7以降の6.12系、および6.13-rc4以降では、この脆弱性に対するパッチが適用済みとなっている。

【CVE-2024-56710】Linuxカーネルのcephモジュールでメモリリーク脆弱性、6...

kernel.orgは2024年12月29日、Linuxカーネルのcephモジュールにおけるメモリリークの脆弱性を公開した。ceph_direct_read_write()関数でiter_get_bvecs_alloc()により確保したbvecs配列がメモリリークを引き起こす問題が確認された。Linux 6.6.69以降の6.6系、6.12.7以降の6.12系、および6.13-rc4以降では、この脆弱性に対するパッチが適用済みとなっている。

【CVE-2024-56712】Linuxカーネルのudmabufにメモリリーク脆弱性が発見、システムリソースへの影響に注意

【CVE-2024-56712】Linuxカーネルのudmabufにメモリリーク脆弱性が発見、...

kernel.orgは2024年12月29日、Linuxカーネルのudmabufコンポーネントにおけるメモリリークの脆弱性【CVE-2024-56712】を公開した。この問題は、export_udmabuf()関数でFDテーブルが満杯になった際にdma_buf_fd()が失敗すると、既に作成されたdma_bufがメモリリークを引き起こす。修正はLinux 6.12.7以降と6.13-rc4以降で提供される。

【CVE-2024-56712】Linuxカーネルのudmabufにメモリリーク脆弱性が発見、...

kernel.orgは2024年12月29日、Linuxカーネルのudmabufコンポーネントにおけるメモリリークの脆弱性【CVE-2024-56712】を公開した。この問題は、export_udmabuf()関数でFDテーブルが満杯になった際にdma_buf_fd()が失敗すると、既に作成されたdma_bufがメモリリークを引き起こす。修正はLinux 6.12.7以降と6.13-rc4以降で提供される。

【CVE-2024-56760】LinuxカーネルのPCI/MSI実装における脆弱性、RISCVプラットフォームの安定性向上へ

【CVE-2024-56760】LinuxカーネルのPCI/MSI実装における脆弱性、RISC...

LinuxカーネルのPCI/MSI実装において、RISCVプラットフォーム上での警告発生問題が修正された。この更新により、階層的な割り込みドメインを使用するシステムでの安定性が向上。特にpci_msi_setup_msi_irqs()からの警告問題が解決され、MSI-Xのレガシーフォールバックの処理が改善された。Loongarchプラットフォームでも同様の問題が修正され、より安定した運用が可能になった。

【CVE-2024-56760】LinuxカーネルのPCI/MSI実装における脆弱性、RISC...

LinuxカーネルのPCI/MSI実装において、RISCVプラットフォーム上での警告発生問題が修正された。この更新により、階層的な割り込みドメインを使用するシステムでの安定性が向上。特にpci_msi_setup_msi_irqs()からの警告問題が解決され、MSI-Xのレガシーフォールバックの処理が改善された。Loongarchプラットフォームでも同様の問題が修正され、より安定した運用が可能になった。

【CVE-2024-56763】Linuxカーネルのトレーシング機能に脆弱性、複数バージョンで修正パッチを適用

【CVE-2024-56763】Linuxカーネルのトレーシング機能に脆弱性、複数バージョンで...

Linuxカーネルのトレーシング機能において、tracing_cpumask_writeの不適切なカウント処理に関する脆弱性が発見された。この問題は大きなカウント値が提供された場合にbitmap_parse_userで警告がトリガーされる可能性があり、Linux 2.6.29以降の広範なバージョンに影響を与える。既に5.10.233、5.15.176、6.1.123など複数のバージョンで修正パッチが適用され、セキュリティ対策が実施されている。

【CVE-2024-56763】Linuxカーネルのトレーシング機能に脆弱性、複数バージョンで...

Linuxカーネルのトレーシング機能において、tracing_cpumask_writeの不適切なカウント処理に関する脆弱性が発見された。この問題は大きなカウント値が提供された場合にbitmap_parse_userで警告がトリガーされる可能性があり、Linux 2.6.29以降の広範なバージョンに影響を与える。既に5.10.233、5.15.176、6.1.123など複数のバージョンで修正パッチが適用され、セキュリティ対策が実施されている。

Linux kernelのublkコンポーネントでメモリ管理の脆弱性を修正、システムの安定性向上へ

Linux kernelのublkコンポーネントでメモリ管理の脆弱性を修正、システムの安定性向上へ

Linux kernelプロジェクトは2025年1月6日、ublkコンポーネントにおけるgendiskの参照に関する脆弱性の修正を公開した。この問題は、add_disk()が失敗した際にgendiskが解放される可能性があり、ublk_abort_requests()内でuse-after-freeが発生する可能性があることが判明。影響を受けるバージョンはLinux kernel 6.7および特定のコミットハッシュの範囲となっている。

Linux kernelのublkコンポーネントでメモリ管理の脆弱性を修正、システムの安定性向上へ

Linux kernelプロジェクトは2025年1月6日、ublkコンポーネントにおけるgendiskの参照に関する脆弱性の修正を公開した。この問題は、add_disk()が失敗した際にgendiskが解放される可能性があり、ublk_abort_requests()内でuse-after-freeが発生する可能性があることが判明。影響を受けるバージョンはLinux kernel 6.7および特定のコミットハッシュの範囲となっている。

【CVE-2024-56769】LinuxカーネルのDVBフロントエンドドライバに脆弱性、未初期化値の問題で修正アップデートを公開

【CVE-2024-56769】LinuxカーネルのDVBフロントエンドドライバに脆弱性、未初...

kernel.orgは2025年1月6日、LinuxカーネルのDVBフロントエンドドライバdib3000mbモジュールにおける未初期化値の脆弱性(CVE-2024-56769)を修正するアップデートを公開した。この問題はKMSANによって発見され、i2c_transfer関数呼び出し失敗時にローカル変数rb[2]が未定義値を保持する可能性があることが判明。影響を受けるバージョンは5.4系や5.10系、6.1系など複数存在し、各系統の最新版で修正される。

【CVE-2024-56769】LinuxカーネルのDVBフロントエンドドライバに脆弱性、未初...

kernel.orgは2025年1月6日、LinuxカーネルのDVBフロントエンドドライバdib3000mbモジュールにおける未初期化値の脆弱性(CVE-2024-56769)を修正するアップデートを公開した。この問題はKMSANによって発見され、i2c_transfer関数呼び出し失敗時にローカル変数rb[2]が未定義値を保持する可能性があることが判明。影響を受けるバージョンは5.4系や5.10系、6.1系など複数存在し、各系統の最新版で修正される。

ChillStackがKDDIデジタルセキュリティにIoT診断サービスを提供、高品質なセキュリティ診断でIoTデバイスの安全性向上に貢献

ChillStackがKDDIデジタルセキュリティにIoT診断サービスを提供、高品質なセキュリ...

ChillStackはKDDIデジタルセキュリティに対してIoT向け診断サービスのOEM提供を2025年1月8日より開始した。国際セキュリティコンテスト優勝経験を持つChillStackの技術力とKDSecの実績を組み合わせることで、IoTデバイス本体から周辺システムまでの包括的な診断を実現。経済産業省のセキュリティサービス基準に準拠した高品質なセキュリティ診断により、企業のセキュリティ体制強化を支援する。

ChillStackがKDDIデジタルセキュリティにIoT診断サービスを提供、高品質なセキュリ...

ChillStackはKDDIデジタルセキュリティに対してIoT向け診断サービスのOEM提供を2025年1月8日より開始した。国際セキュリティコンテスト優勝経験を持つChillStackの技術力とKDSecの実績を組み合わせることで、IoTデバイス本体から周辺システムまでの包括的な診断を実現。経済産業省のセキュリティサービス基準に準拠した高品質なセキュリティ診断により、企業のセキュリティ体制強化を支援する。

SB C&SがAironWorksと提携、AIを活用した標的型メール訓練サービスの提供でセキュリティー対策を強化

SB C&SがAironWorksと提携、AIを活用した標的型メール訓練サービスの提供でセキュ...

SB C&S株式会社はAironWorks株式会社とディストリビューター契約を締結し、AIと人の支援を組み合わせた次世代型サイバーセキュリティープラットフォーム「AironWorks」の提供を2025年1月9日に開始する。イスラエル発の技術を活用し、従業員のセキュリティー意識向上と人的リスクの低減を支援する包括的なソリューションを実現する。

SB C&SがAironWorksと提携、AIを活用した標的型メール訓練サービスの提供でセキュ...

SB C&S株式会社はAironWorks株式会社とディストリビューター契約を締結し、AIと人の支援を組み合わせた次世代型サイバーセキュリティープラットフォーム「AironWorks」の提供を2025年1月9日に開始する。イスラエル発の技術を活用し、従業員のセキュリティー意識向上と人的リスクの低減を支援する包括的なソリューションを実現する。

エーアイセキュリティラボが新プラットフォームAeyeCopilotを発表、セキュリティ統制の効率化を実現へ

エーアイセキュリティラボが新プラットフォームAeyeCopilotを発表、セキュリティ統制の効...

株式会社エーアイセキュリティラボは、セキュリティマネジメントプラットフォーム「AeyeCopilot」を2025年4月より提供開始すると発表した。既存の「診断マネジメント」機能を拡張し、Webアプリケーション脆弱性診断ツール「AeyeScan」との連携により、部門横断的なセキュリティ管理と自動診断を実現する。人材不足・コミュニケーション不足が課題となっている企業のセキュリティガバナンス実現を強力に支援するだろう。

エーアイセキュリティラボが新プラットフォームAeyeCopilotを発表、セキュリティ統制の効...

株式会社エーアイセキュリティラボは、セキュリティマネジメントプラットフォーム「AeyeCopilot」を2025年4月より提供開始すると発表した。既存の「診断マネジメント」機能を拡張し、Webアプリケーション脆弱性診断ツール「AeyeScan」との連携により、部門横断的なセキュリティ管理と自動診断を実現する。人材不足・コミュニケーション不足が課題となっている企業のセキュリティガバナンス実現を強力に支援するだろう。

ニーズウェルのITアウトソーシング事業が第1四半期に14%増加、DX推進と人材不足解消に貢献

ニーズウェルのITアウトソーシング事業が第1四半期に14%増加、DX推進と人材不足解消に貢献

株式会社ニーズウェルは2025年1月7日、注力分野であるITアウトソーシングの第1四半期売上高が前年同期比14%増加したと発表した。マネージドサービスや経費精算システムの保守・運用を通じて、企業のDX推進と人材不足の解消に貢献している。運用設計から監視、復旧作業やバックアップ作業まで、長年培った技術力とノウハウで企業のIT全般の統制をサポートしている。

ニーズウェルのITアウトソーシング事業が第1四半期に14%増加、DX推進と人材不足解消に貢献

株式会社ニーズウェルは2025年1月7日、注力分野であるITアウトソーシングの第1四半期売上高が前年同期比14%増加したと発表した。マネージドサービスや経費精算システムの保守・運用を通じて、企業のDX推進と人材不足の解消に貢献している。運用設計から監視、復旧作業やバックアップ作業まで、長年培った技術力とノウハウで企業のIT全般の統制をサポートしている。

GMOサイバーセキュリティが24時間自動運用サービスWAFエイドを発表、ホワイトハッカーの知見を活用した防御機能を提供

GMOサイバーセキュリティが24時間自動運用サービスWAFエイドを発表、ホワイトハッカーの知見...

GMOサイバーセキュリティ byイエラエは世界屈指のホワイトハッカー集団の知見を活用し、WAFの安全性向上と運用の自動化を支援するサービス「GMOサイバーセキュリティ WAFエイド」を2025年1月7日にリリースした。24時間365日の監視・分析体制と独自の検知ルールにより、サイバー攻撃からWebサイトを自動で防御する機能を実現。AWS WAFとCloudflareに対応し、月額89,000円から利用可能だ。

GMOサイバーセキュリティが24時間自動運用サービスWAFエイドを発表、ホワイトハッカーの知見...

GMOサイバーセキュリティ byイエラエは世界屈指のホワイトハッカー集団の知見を活用し、WAFの安全性向上と運用の自動化を支援するサービス「GMOサイバーセキュリティ WAFエイド」を2025年1月7日にリリースした。24時間365日の監視・分析体制と独自の検知ルールにより、サイバー攻撃からWebサイトを自動で防御する機能を実現。AWS WAFとCloudflareに対応し、月額89,000円から利用可能だ。

【CVE-2024-13072】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性が発見、顧客情報の漏洩リスクに注意

【CVE-2024-13072】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、Customer Detail Handler機能のadd-customer-services.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-13072として識別されるこの脆弱性は、sids[]パラメータの操作によりリモートからの攻撃が可能であり、CVSSスコアはバージョン4.0で5.3、バージョン3.1と3.0で6.3を記録している。

【CVE-2024-13072】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、Customer Detail Handler機能のadd-customer-services.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2024-13072として識別されるこの脆弱性は、sids[]パラメータの操作によりリモートからの攻撃が可能であり、CVSSスコアはバージョン4.0で5.3、バージョン3.1と3.0で6.3を記録している。

【CVE-2024-12108】WhatsUp Gold 2024.0.2未満のバージョンにパブリックAPI署名鍵の脆弱性、認証バイパスの危険性が浮上

【CVE-2024-12108】WhatsUp Gold 2024.0.2未満のバージョンにパ...

Progress Software Corporationが2024年12月31日に公開したWhatsUp Goldの脆弱性情報によると、2023.1.0から2024.0.2未満のバージョンにおいてパブリックAPI署名鍵のローテーション問題が存在する。CVSS基本値9.6のクリティカルと評価されており、攻撃者による不正アクセスのリスクが指摘されている。Windows環境で動作する本ツールは多くの企業で使用されており、早急な対応が求められる。

【CVE-2024-12108】WhatsUp Gold 2024.0.2未満のバージョンにパ...

Progress Software Corporationが2024年12月31日に公開したWhatsUp Goldの脆弱性情報によると、2023.1.0から2024.0.2未満のバージョンにおいてパブリックAPI署名鍵のローテーション問題が存在する。CVSS基本値9.6のクリティカルと評価されており、攻撃者による不正アクセスのリスクが指摘されている。Windows環境で動作する本ツールは多くの企業で使用されており、早急な対応が求められる。

【CVE-2024-13083】PHPGurukul Land Record System 1.0にクロスサイトスクリプティングの脆弱性、管理者権限での攻撃が可能に

【CVE-2024-13083】PHPGurukul Land Record System 1...

PHPGurukul Land Record System 1.0のAdmin Name引数処理に関する脆弱性が発見され、CVE-2024-13083として登録された。クロスサイトスクリプティングとコードインジェクションの脆弱性が確認され、CVSSスコア5.3でMediumレベルと評価されている。特権レベルは必要だがユーザー関与なしで攻撃可能であり、早急な対策が求められる。

【CVE-2024-13083】PHPGurukul Land Record System 1...

PHPGurukul Land Record System 1.0のAdmin Name引数処理に関する脆弱性が発見され、CVE-2024-13083として登録された。クロスサイトスクリプティングとコードインジェクションの脆弱性が確認され、CVSSスコア5.3でMediumレベルと評価されている。特権レベルは必要だがユーザー関与なしで攻撃可能であり、早急な対策が求められる。

【CVE-2024-13078】PHPGurukul Land Record System 1.0にSQL injection脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2024-13078】PHPGurukul Land Record System 1...

PHPGurukul Land Record System 1.0のindex.phpファイルにSQL injection脆弱性が発見され、CVE-2024-13078として登録された。searchdataパラメータを介してリモートから攻撃可能で、CVSS v4.0で5.3(MEDIUM)と評価。脆弱性情報と攻撃コードが公開されており、早急な対策が必要とされている。影響範囲は機密性、整合性、可用性すべてにおいて低レベルと評価されている。

【CVE-2024-13078】PHPGurukul Land Record System 1...

PHPGurukul Land Record System 1.0のindex.phpファイルにSQL injection脆弱性が発見され、CVE-2024-13078として登録された。searchdataパラメータを介してリモートから攻撃可能で、CVSS v4.0で5.3(MEDIUM)と評価。脆弱性情報と攻撃コードが公開されており、早急な対策が必要とされている。影響範囲は機密性、整合性、可用性すべてにおいて低レベルと評価されている。

【CVE-2024-13084】PHPGurukul Land Record System 1.0にSQLインジェクション脆弱性、リモート攻撃のリスクに警戒

【CVE-2024-13084】PHPGurukul Land Record System 1...

PHPGurukul Land Record System 1.0のsearch-property.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア6.3で中程度の深刻度に分類されるこの脆弱性は、searchdataパラメータを介したリモート攻撃が可能であり、機密性、整合性、可用性に影響を与える可能性がある。既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-13084】PHPGurukul Land Record System 1...

PHPGurukul Land Record System 1.0のsearch-property.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア6.3で中程度の深刻度に分類されるこの脆弱性は、searchdataパラメータを介したリモート攻撃が可能であり、機密性、整合性、可用性に影響を与える可能性がある。既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-13081】PHPGurukul Land Record System 1.0にXSS脆弱性、contactus.phpファイルがクロスサイトスクリプティングの影響を受ける可能性

【CVE-2024-13081】PHPGurukul Land Record System 1...

PHPGurukulが開発するLand Record System 1.0において、contactus.phpファイルに深刻な脆弱性が発見された。CVE-2024-13081として識別されるこの脆弱性は、クロスサイトスクリプティングとコードインジェクションの2つのCWEに分類され、CVSS 4.0では深刻度ミディアム(スコア5.3)と評価されている。既に公開され攻撃可能な状態となっているため、早急な対策が必要とされている。

【CVE-2024-13081】PHPGurukul Land Record System 1...

PHPGurukulが開発するLand Record System 1.0において、contactus.phpファイルに深刻な脆弱性が発見された。CVE-2024-13081として識別されるこの脆弱性は、クロスサイトスクリプティングとコードインジェクションの2つのCWEに分類され、CVSS 4.0では深刻度ミディアム(スコア5.3)と評価されている。既に公開され攻撃可能な状態となっているため、早急な対策が必要とされている。

【CVE-2024-12105】WhatsUp Gold 2024.0.2以前にパストラバーサルの脆弱性、認証済みユーザーによる情報漏洩のリスクに警鐘

【CVE-2024-12105】WhatsUp Gold 2024.0.2以前にパストラバーサ...

Progress Software Corporationのネットワーク監視ツールWhatsUp Goldにおいて、2024.0.2より前のバージョンでパストラバーサルの脆弱性が発見された。CVE-2024-12105として識別されたこの脆弱性は、認証済みユーザーが特別に細工されたHTTPリクエストを使用することで情報漏洩につながる可能性があり、CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-12105】WhatsUp Gold 2024.0.2以前にパストラバーサ...

Progress Software Corporationのネットワーク監視ツールWhatsUp Goldにおいて、2024.0.2より前のバージョンでパストラバーサルの脆弱性が発見された。CVE-2024-12105として識別されたこの脆弱性は、認証済みユーザーが特別に細工されたHTTPリクエストを使用することで情報漏洩につながる可能性があり、CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-13079】PHPGurukul Land Record System 1.0にSQL injection脆弱性、管理者ページでの不正アクセスのリスクが浮上

【CVE-2024-13079】PHPGurukul Land Record System 1...

PHPGurukul Land Record System 1.0において、管理者用ページのproperty-details.phpファイルにSQL injectionの脆弱性が発見された。2024年12月31日に公開されたこの脆弱性は、editidパラメータを操作することでリモートからの攻撃が可能となり、データベースへの不正アクセスや改ざんのリスクが指摘されている。CVSS 4.0では5.3のMEDIUMと評価され、早急な対応が求められている。

【CVE-2024-13079】PHPGurukul Land Record System 1...

PHPGurukul Land Record System 1.0において、管理者用ページのproperty-details.phpファイルにSQL injectionの脆弱性が発見された。2024年12月31日に公開されたこの脆弱性は、editidパラメータを操作することでリモートからの攻撃が可能となり、データベースへの不正アクセスや改ざんのリスクが指摘されている。CVSS 4.0では5.3のMEDIUMと評価され、早急な対応が求められている。

【CVE-2024-13050】Ashlar-Vellum GraphiteにVC6ファイル解析の重大な脆弱性、任意のコード実行が可能に

【CVE-2024-13050】Ashlar-Vellum GraphiteにVC6ファイル解...

Zero Day InitiativeはAshlar-Vellum GraphiteのVC6ファイル解析機能においてヒープベースのバッファオーバーフロー脆弱性を発見し公開した。この脆弱性は【CVE-2024-13050】として識別され、CVSSスコア7.8の高リスク評価となっている。影響を受けるバージョンは13_SE_13048で、悪意のあるページやファイルを開くことで攻撃者による任意のコード実行が可能となる深刻な問題である。

【CVE-2024-13050】Ashlar-Vellum GraphiteにVC6ファイル解...

Zero Day InitiativeはAshlar-Vellum GraphiteのVC6ファイル解析機能においてヒープベースのバッファオーバーフロー脆弱性を発見し公開した。この脆弱性は【CVE-2024-13050】として識別され、CVSSスコア7.8の高リスク評価となっている。影響を受けるバージョンは13_SE_13048で、悪意のあるページやファイルを開くことで攻撃者による任意のコード実行が可能となる深刻な問題である。

【CVE-2024-13048】Ashlar-Vellum Cobalt XEにバッファオーバーフローの脆弱性、リモートでの任意コード実行が可能に

【CVE-2024-13048】Ashlar-Vellum Cobalt XEにバッファオーバ...

Zero Day Initiativeは2024年12月30日、Ashlar-Vellum Cobalt XEファイル解析における重大な脆弱性【CVE-2024-13048】を公開した。この脆弱性は影響度の高いバッファオーバーフロー型の欠陥で、CVSSスコア7.8の深刻度が報告されている。攻撃者は悪意のあるWebページやファイルを介してリモートで任意のコードを実行できる可能性があり、早急な対応が必要とされている。

【CVE-2024-13048】Ashlar-Vellum Cobalt XEにバッファオーバ...

Zero Day Initiativeは2024年12月30日、Ashlar-Vellum Cobalt XEファイル解析における重大な脆弱性【CVE-2024-13048】を公開した。この脆弱性は影響度の高いバッファオーバーフロー型の欠陥で、CVSSスコア7.8の深刻度が報告されている。攻撃者は悪意のあるWebページやファイルを介してリモートで任意のコードを実行できる可能性があり、早急な対応が必要とされている。

【CVE-2024-13045】Ashlar-Vellum Cobaltに発見されたARファイル解析の脆弱性、リモートコード実行のリスクが深刻に

【CVE-2024-13045】Ashlar-Vellum Cobaltに発見されたARファイ...

Zero Day InitiativeがAshlar-Vellum Cobaltに重大な脆弱性を発見し、CVE-2024-13045として公開した。ARファイル解析時のスタックベースのバッファオーバーフローにより、悪意のあるページやファイルを通じてリモートコード実行が可能となる脆弱性が確認された。CVSSスコア7.8と高リスクに分類され、影響を受けるバージョンはCobalt 1204.90である。

【CVE-2024-13045】Ashlar-Vellum Cobaltに発見されたARファイ...

Zero Day InitiativeがAshlar-Vellum Cobaltに重大な脆弱性を発見し、CVE-2024-13045として公開した。ARファイル解析時のスタックベースのバッファオーバーフローにより、悪意のあるページやファイルを通じてリモートコード実行が可能となる脆弱性が確認された。CVSSスコア7.8と高リスクに分類され、影響を受けるバージョンはCobalt 1204.90である。

【CVE-2024-13046】Ashlar-Vellum CobaltでCOファイル解析の脆弱性が発見、任意のコード実行が可能な状態に

【CVE-2024-13046】Ashlar-Vellum CobaltでCOファイル解析の脆...

Zero Day Initiativeは2024年12月30日、Ashlar-Vellum CobaltのCOファイル解析処理における重大な脆弱性を公開した。CVSSスコア7.8と高く評価されており、ユーザーが悪意のあるページを訪問するかファイルを開くことで、攻撃者が任意のコードを実行可能になる。影響を受けるバージョンは1204.90で、機密性、完全性、可用性のすべてに高いリスクをもたらす可能性がある。

【CVE-2024-13046】Ashlar-Vellum CobaltでCOファイル解析の脆...

Zero Day Initiativeは2024年12月30日、Ashlar-Vellum CobaltのCOファイル解析処理における重大な脆弱性を公開した。CVSSスコア7.8と高く評価されており、ユーザーが悪意のあるページを訪問するかファイルを開くことで、攻撃者が任意のコードを実行可能になる。影響を受けるバージョンは1204.90で、機密性、完全性、可用性のすべてに高いリスクをもたらす可能性がある。

【CVE-2024-13044】Ashlar-Vellum Cobalt 1204.90で境界外書き込みの脆弱性が発見、リモートコード実行のリスクに警戒

【CVE-2024-13044】Ashlar-Vellum Cobalt 1204.90で境界...

Zero Day InitiativeがAshlar-Vellum Cobalt 1204.90におけるAR File解析の脆弱性を報告した。CVE-2024-13044として識別されるこの脆弱性は、境界外書き込みによってリモートコード実行を可能にする危険性を持つ。CVSSスコア7.8と高い深刻度を持ち、ユーザーの関与があれば攻撃者による任意コードの実行が可能となる。早急なセキュリティ対策が求められる状況だ。

【CVE-2024-13044】Ashlar-Vellum Cobalt 1204.90で境界...

Zero Day InitiativeがAshlar-Vellum Cobalt 1204.90におけるAR File解析の脆弱性を報告した。CVE-2024-13044として識別されるこの脆弱性は、境界外書き込みによってリモートコード実行を可能にする危険性を持つ。CVSSスコア7.8と高い深刻度を持ち、ユーザーの関与があれば攻撃者による任意コードの実行が可能となる。早急なセキュリティ対策が求められる状況だ。

【CVE-2024-13051】Ashlar-Vellum Graphiteに深刻な脆弱性、リモートでの任意コード実行の危険性

【CVE-2024-13051】Ashlar-Vellum Graphiteに深刻な脆弱性、リ...

Zero Day Initiativeは2024年12月30日、Ashlar-Vellum GraphiteのVC6ファイル解析機能においてヒープベースのバッファオーバーフローの脆弱性を発見した。CVSSスコア7.8の高リスク脆弱性であり、悪意のあるページやファイルを通じて攻撃が可能。製品のバージョン13_SE_13048に影響し、ユーザーの操作を介して任意のコード実行につながる可能性がある。

【CVE-2024-13051】Ashlar-Vellum Graphiteに深刻な脆弱性、リ...

Zero Day Initiativeは2024年12月30日、Ashlar-Vellum GraphiteのVC6ファイル解析機能においてヒープベースのバッファオーバーフローの脆弱性を発見した。CVSSスコア7.8の高リスク脆弱性であり、悪意のあるページやファイルを通じて攻撃が可能。製品のバージョン13_SE_13048に影響し、ユーザーの操作を介して任意のコード実行につながる可能性がある。

【CVE-2024-13049】Ashlar-Vellum Cobaltでタイプ混同の脆弱性を発見、悪意のあるコード実行のリスクに警戒

【CVE-2024-13049】Ashlar-Vellum Cobaltでタイプ混同の脆弱性を...

Zero Day Initiativeが2024年12月30日、Ashlar-Vellum CobaltのXEファイル解析処理におけるタイプ混同の脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性として評価されており、悪意のあるページやファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とする点で直接的な攻撃リスクは限定的だが、適切な対策が必要不可欠な状況となっている。

【CVE-2024-13049】Ashlar-Vellum Cobaltでタイプ混同の脆弱性を...

Zero Day Initiativeが2024年12月30日、Ashlar-Vellum CobaltのXEファイル解析処理におけるタイプ混同の脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性として評価されており、悪意のあるページやファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とする点で直接的な攻撃リスクは限定的だが、適切な対策が必要不可欠な状況となっている。