Tech Insights

【CVE-2024-13047】Ashlar-Vellum Cobalt 1204.90にタイプ混同の脆弱性、任意コード実行の危険性が浮上

【CVE-2024-13047】Ashlar-Vellum Cobalt 1204.90にタイ...

Zero Day InitiativeはAshlar-Vellum Cobalt 1204.90において、COファイル解析時のタイプ混同による任意コード実行の脆弱性を報告した。CVSSスコア7.8と高い深刻度を示すこの脆弱性は、ユーザーの操作を介して悪意のあるファイルを開くことで発動する可能性がある。CWE-843に分類される本脆弱性は、適切なバージョンへのアップデートによる対策が推奨されている。

【CVE-2024-13047】Ashlar-Vellum Cobalt 1204.90にタイ...

Zero Day InitiativeはAshlar-Vellum Cobalt 1204.90において、COファイル解析時のタイプ混同による任意コード実行の脆弱性を報告した。CVSSスコア7.8と高い深刻度を示すこの脆弱性は、ユーザーの操作を介して悪意のあるファイルを開くことで発動する可能性がある。CWE-843に分類される本脆弱性は、適切なバージョンへのアップデートによる対策が推奨されている。

【CVE-2024-13037】1000 Projects Attendance Tracking Management System 1.0に脆弱性、SQLインジェクションによる不正アクセスの危険性

【CVE-2024-13037】1000 Projects Attendance Tracki...

1000 Projects Attendance Tracking Management System 1.0のadmin/report.phpファイルにおいて、attendance_report機能のcourse_idパラメータを悪用したSQLインジェクションの脆弱性が発見された。CVE-2024-13037として報告されたこの脆弱性は、CVSS 4.0で5.3(中程度)と評価されており、遠隔からの攻撃が可能で、すでに悪用可能な状態にある。

【CVE-2024-13037】1000 Projects Attendance Tracki...

1000 Projects Attendance Tracking Management System 1.0のadmin/report.phpファイルにおいて、attendance_report機能のcourse_idパラメータを悪用したSQLインジェクションの脆弱性が発見された。CVE-2024-13037として報告されたこの脆弱性は、CVSS 4.0で5.3(中程度)と評価されており、遠隔からの攻撃が可能で、すでに悪用可能な状態にある。

【CVE-2024-13043】Panda Security Domeに権限昇格の脆弱性、セキュリティ製品の信頼性に影響

【CVE-2024-13043】Panda Security Domeに権限昇格の脆弱性、セキ...

Zero Day Initiativeが2024年12月30日にPanda Security Domeの重大な脆弱性を公開した。Hotspot Shieldコンポーネントに存在する欠陥により、攻撃者がジャンクションを作成して任意のファイル削除が可能となり、最終的にSYSTEMレベルでの任意コード実行につながる可能性がある。CVSSスコア7.8のHigh評価で、バージョン22.02.01が影響を受ける。

【CVE-2024-13043】Panda Security Domeに権限昇格の脆弱性、セキ...

Zero Day Initiativeが2024年12月30日にPanda Security Domeの重大な脆弱性を公開した。Hotspot Shieldコンポーネントに存在する欠陥により、攻撃者がジャンクションを作成して任意のファイル削除が可能となり、最終的にSYSTEMレベルでの任意コード実行につながる可能性がある。CVSSスコア7.8のHigh評価で、バージョン22.02.01が影響を受ける。

【CVE-2024-13035】code-projects Chat System 1.0にSQL Injection脆弱性、リモートからの攻撃が可能に

【CVE-2024-13035】code-projects Chat System 1.0にS...

code-projects Chat System 1.0の管理者用ページ(/admin/update_user.php)において、引数idの操作によってSQL Injectionが可能となる深刻な脆弱性が発見された。VulDBにより2024年12月30日に公開されたこの脆弱性は、CVE-2024-13035として識別され、CVSS 4.0で中程度(MEDIUM)の深刻度が付与されている。リモートからの攻撃が可能で、すでに一般に公開されている状態だ。

【CVE-2024-13035】code-projects Chat System 1.0にS...

code-projects Chat System 1.0の管理者用ページ(/admin/update_user.php)において、引数idの操作によってSQL Injectionが可能となる深刻な脆弱性が発見された。VulDBにより2024年12月30日に公開されたこの脆弱性は、CVE-2024-13035として識別され、CVSS 4.0で中程度(MEDIUM)の深刻度が付与されている。リモートからの攻撃が可能で、すでに一般に公開されている状態だ。

【CVE-2024-13033】code-projects Chat System 1.0にXSS脆弱性、管理者機能への攻撃が可能に

【CVE-2024-13033】code-projects Chat System 1.0にX...

code-projects Chat System 1.0のadmin/chatroom.phpファイルにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-13033として識別されるこの脆弱性は、CVSS v4.0で5.3(MEDIUM)と評価され、リモートからの攻撃が可能だ。特権レベルが低い状態での攻撃が可能で、ユーザーインタラクションは不要とされている。

【CVE-2024-13033】code-projects Chat System 1.0にX...

code-projects Chat System 1.0のadmin/chatroom.phpファイルにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-13033として識別されるこの脆弱性は、CVSS v4.0で5.3(MEDIUM)と評価され、リモートからの攻撃が可能だ。特権レベルが低い状態での攻撃が可能で、ユーザーインタラクションは不要とされている。

【CVE-2024-56354】JetBrains TeamCity 2024.12のパスワード情報漏洩脆弱性に対応、設定閲覧権限での情報アクセスを制限

【CVE-2024-56354】JetBrains TeamCity 2024.12のパスワー...

JetBrains社はTeamCityの脆弱性【CVE-2024-56354】を2024年12月20日に公開した。CVSSスコア5.5の中程度の深刻度として評価されており、TeamCity 2024.12未満のバージョンで設定閲覧権限を持つユーザーがパスワードフィールドの値にアクセスできる状態であることが判明。対策としてTeamCity 2024.12へのアップデートを推奨している。

【CVE-2024-56354】JetBrains TeamCity 2024.12のパスワー...

JetBrains社はTeamCityの脆弱性【CVE-2024-56354】を2024年12月20日に公開した。CVSSスコア5.5の中程度の深刻度として評価されており、TeamCity 2024.12未満のバージョンで設定閲覧権限を持つユーザーがパスワードフィールドの値にアクセスできる状態であることが判明。対策としてTeamCity 2024.12へのアップデートを推奨している。

【CVE-2024-56355】TeamCity 2024.12におけるXSS脆弱性の発見、早急なアップデートの必要性が浮き彫りに

【CVE-2024-56355】TeamCity 2024.12におけるXSS脆弱性の発見、早...

JetBrains社のTeamCity 2024.12より前のバージョンにおいて、RemoteBuildLogControllerのレスポンスにContent-Typeヘッダーが欠落していることによるXSS脆弱性が発見された。CVSSスコア4.6(MEDIUM)と評価されており、認証済みユーザーによる攻撃の可能性が指摘されている。TeamCity 2024.12へのアップデートによる対応が推奨されており、早急な対策が求められている。

【CVE-2024-56355】TeamCity 2024.12におけるXSS脆弱性の発見、早...

JetBrains社のTeamCity 2024.12より前のバージョンにおいて、RemoteBuildLogControllerのレスポンスにContent-Typeヘッダーが欠落していることによるXSS脆弱性が発見された。CVSSスコア4.6(MEDIUM)と評価されており、認証済みユーザーによる攻撃の可能性が指摘されている。TeamCity 2024.12へのアップデートによる対応が推奨されており、早急な対策が求められている。

【CVE-2024-56351】TeamCity 2024.12以前でアクセストークンの脆弱性、ユーザーロール削除時の無効化処理に問題

【CVE-2024-56351】TeamCity 2024.12以前でアクセストークンの脆弱性...

JetBrains社の継続的インテグレーション・デリバリーツールTeamCityにおいて、バージョン2024.12より前のバージョンでアクセストークンに関する脆弱性が発見された。CVSSスコア6.3を記録するこの脆弱性は、ユーザーロールを削除した際にアクセストークンが適切に無効化されないという問題で、機密性、完全性、可用性に影響を与える可能性がある。

【CVE-2024-56351】TeamCity 2024.12以前でアクセストークンの脆弱性...

JetBrains社の継続的インテグレーション・デリバリーツールTeamCityにおいて、バージョン2024.12より前のバージョンでアクセストークンに関する脆弱性が発見された。CVSSスコア6.3を記録するこの脆弱性は、ユーザーロールを削除した際にアクセストークンが適切に無効化されないという問題で、機密性、完全性、可用性に影響を与える可能性がある。

【CVE-2024-56353】TeamCity 2024.12未満でバックアップファイルの脆弱性が発見、ユーザー認証情報とセッションクッキーの露出に注意

【CVE-2024-56353】TeamCity 2024.12未満でバックアップファイルの脆...

JetBrains社のTeamCityにおいて、バージョン2024.12未満でバックアップファイルからユーザー認証情報とセッションクッキーが露出する脆弱性が発見された。この脆弱性はCVE-2024-56353として識別され、CVSS 3.1基本スコアは5.5でMediumと評価。攻撃には高い特権レベルが必要だが、ネットワークからのアクセスが可能で攻撃の複雑さは低いとされている。早急なバージョンアップデートが推奨される。

【CVE-2024-56353】TeamCity 2024.12未満でバックアップファイルの脆...

JetBrains社のTeamCityにおいて、バージョン2024.12未満でバックアップファイルからユーザー認証情報とセッションクッキーが露出する脆弱性が発見された。この脆弱性はCVE-2024-56353として識別され、CVSS 3.1基本スコアは5.5でMediumと評価。攻撃には高い特権レベルが必要だが、ネットワークからのアクセスが可能で攻撃の複雑さは低いとされている。早急なバージョンアップデートが推奨される。

【CVE-2024-12829】Arista NG Firewallにコマンドインジェクションの脆弱性、認証済み攻撃者がroot権限で任意のコードを実行可能に

【CVE-2024-12829】Arista NG Firewallにコマンドインジェクション...

Zero Day Initiativeは2024年12月20日、Arista NG Firewallのバージョン17.1.1に深刻な脆弱性を発見したことを公開した。ExecManagerImplクラスに存在するこの脆弱性により、認証済みの攻撃者がシステムコールを実行する際のユーザー入力文字列の検証が不十分となっている。CVSSスコアは7.2と評価され、攻撃者はroot権限で任意のコードを実行可能となる。

【CVE-2024-12829】Arista NG Firewallにコマンドインジェクション...

Zero Day Initiativeは2024年12月20日、Arista NG Firewallのバージョン17.1.1に深刻な脆弱性を発見したことを公開した。ExecManagerImplクラスに存在するこの脆弱性により、認証済みの攻撃者がシステムコールを実行する際のユーザー入力文字列の検証が不十分となっている。CVSSスコアは7.2と評価され、攻撃者はroot権限で任意のコードを実行可能となる。

【CVE-2024-56350】JetBrains TeamCityにビルド認証情報の閲覧に関する脆弱性、2024.12で修正完了

【CVE-2024-56350】JetBrains TeamCityにビルド認証情報の閲覧に関...

JetBrains社は2024年12月20日にTeamCityの脆弱性情報【CVE-2024-56350】を公開した。TeamCity 2024.12より前のバージョンにおいて、権限のないユーザーがプロジェクトの閲覧が可能となる脆弱性が発見された。CVSSスコア4.3のMEDIUMレベルと評価されており、攻撃条件の複雑さは低く、低い特権レベルで悪用される可能性がある。JetBrains社は最新バージョンへのアップデートを推奨している。

【CVE-2024-56350】JetBrains TeamCityにビルド認証情報の閲覧に関...

JetBrains社は2024年12月20日にTeamCityの脆弱性情報【CVE-2024-56350】を公開した。TeamCity 2024.12より前のバージョンにおいて、権限のないユーザーがプロジェクトの閲覧が可能となる脆弱性が発見された。CVSSスコア4.3のMEDIUMレベルと評価されており、攻撃条件の複雑さは低く、低い特権レベルで悪用される可能性がある。JetBrains社は最新バージョンへのアップデートを推奨している。

【CVE-2024-49336】IBM Security Guardium 11.5でSSRF脆弱性が発見、セキュリティ製品の信頼性に影響

【CVE-2024-49336】IBM Security Guardium 11.5でSSRF...

IBMは2024年12月19日、IBM Security Guardium 11.5においてサーバサイドリクエストフォージェリ(SSRF)の脆弱性を公開した。CVSSスコアは6.5(中)で、認証済み攻撃者による不正リクエストの送信やネットワーク列挙の可能性が指摘されている。CWE-918に分類されるこの脆弱性は、自動化された攻撃の可能性も示唆されており、早急な対応が求められる。

【CVE-2024-49336】IBM Security Guardium 11.5でSSRF...

IBMは2024年12月19日、IBM Security Guardium 11.5においてサーバサイドリクエストフォージェリ(SSRF)の脆弱性を公開した。CVSSスコアは6.5(中)で、認証済み攻撃者による不正リクエストの送信やネットワーク列挙の可能性が指摘されている。CWE-918に分類されるこの脆弱性は、自動化された攻撃の可能性も示唆されており、早急な対応が求められる。

【CVE-2024-12793】PbootCMS 5.2.3にパストラバーサルの脆弱性、セキュリティ更新版のアップグレードを推奨

【CVE-2024-12793】PbootCMS 5.2.3にパストラバーサルの脆弱性、セキュ...

VulDBが2024年12月19日に、PbootCMS 5.2.3以前のバージョンにおけるパストラバーサル脆弱性を公開した。apps/home/controller/IndexController.phpファイル内のtag引数の処理に問題があり、リモートからの攻撃が可能な状態となっている。CWEによる脆弱性タイプはパストラバーサル(CWE-22)に分類され、CVSSスコアは4.3(MEDIUM)と評価されている。対策としてバージョン5.2.4へのアップグレードが推奨される。

【CVE-2024-12793】PbootCMS 5.2.3にパストラバーサルの脆弱性、セキュ...

VulDBが2024年12月19日に、PbootCMS 5.2.3以前のバージョンにおけるパストラバーサル脆弱性を公開した。apps/home/controller/IndexController.phpファイル内のtag引数の処理に問題があり、リモートからの攻撃が可能な状態となっている。CWEによる脆弱性タイプはパストラバーサル(CWE-22)に分類され、CVSSスコアは4.3(MEDIUM)と評価されている。対策としてバージョン5.2.4へのアップグレードが推奨される。

【CVE-2024-12791】Codezips E-Commerce Site 1.0にSQLインジェクションの脆弱性、リモートからの攻撃が可能に

【CVE-2024-12791】Codezips E-Commerce Site 1.0にSQ...

Codezips E-Commerce Site 1.0のsignin.phpファイルにおいて、emailパラメータに対するSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で6.9(MEDIUM)、v3.1で7.3(HIGH)と評価され、リモートからの攻撃が可能でエクスプロイトも公開されている。特権不要で攻撃の複雑さも低く、早急な対応が必要とされる重大な脆弱性となっている。

【CVE-2024-12791】Codezips E-Commerce Site 1.0にSQ...

Codezips E-Commerce Site 1.0のsignin.phpファイルにおいて、emailパラメータに対するSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で6.9(MEDIUM)、v3.1で7.3(HIGH)と評価され、リモートからの攻撃が可能でエクスプロイトも公開されている。特権不要で攻撃の複雑さも低く、早急な対応が必要とされる重大な脆弱性となっている。

【CVE-2024-12794】Codezips E-Commerce Site 1.0にSQL注入の脆弱性、リモートからの攻撃が可能な状態に

【CVE-2024-12794】Codezips E-Commerce Site 1.0にSQ...

Codezips E-Commerce Site 1.0のadminディレクトリ内editorder.phpファイルに重大な脆弱性が発見された。dstatus、quantity、ddateパラメータに対するSQL注入が可能で、攻撃者がリモートから悪用できる状態にある。CVSSスコアはバージョン4.0で5.3(MEDIUM)となっており、早急な対応が求められる。既に攻撃コードが公開されており、システムへの不正アクセスのリスクが指摘されている。

【CVE-2024-12794】Codezips E-Commerce Site 1.0にSQ...

Codezips E-Commerce Site 1.0のadminディレクトリ内editorder.phpファイルに重大な脆弱性が発見された。dstatus、quantity、ddateパラメータに対するSQL注入が可能で、攻撃者がリモートから悪用できる状態にある。CVSSスコアはバージョン4.0で5.3(MEDIUM)となっており、早急な対応が求められる。既に攻撃コードが公開されており、システムへの不正アクセスのリスクが指摘されている。

コーピーがJR東日本スタートアップのピッチに採択、AIによる鉄道設備の異常検知システム開発へ

コーピーがJR東日本スタートアップのピッチに採択、AIによる鉄道設備の異常検知システム開発へ

東京大学とフランス国立情報学自動制御研究所発のAIスタートアップ、コーピーがJR東日本スタートアップ主催の「STARTUP PITCH#10」に採択された。JR東日本の電気システムインテグレーションオフィスと協力し、XAIとQAAI技術を活用した車上設備の異常検知システムの開発を検討。鉄道インフラの安全性向上を目指す。

コーピーがJR東日本スタートアップのピッチに採択、AIによる鉄道設備の異常検知システム開発へ

東京大学とフランス国立情報学自動制御研究所発のAIスタートアップ、コーピーがJR東日本スタートアップ主催の「STARTUP PITCH#10」に採択された。JR東日本の電気システムインテグレーションオフィスと協力し、XAIとQAAI技術を活用した車上設備の異常検知システムの開発を検討。鉄道インフラの安全性向上を目指す。

アウトクリプトがCES2025でSDVセキュリティソリューションを展示、CLEPAイノベーションアワード受賞製品も公開

アウトクリプトがCES2025でSDVセキュリティソリューションを展示、CLEPAイノベーショ...

アウトクリプトは2025年1月7日から10日までラスベガスで開催されるCES2025に出展し、CLEPAイノベーションアワードでトップイノベーターに選ばれたAutoCrypt CSTPを含む最新のSDVセキュリティソリューションを展示する。AutoCrypt IVSやAutoCrypt V2Xなど、自動車業界で求められる高度なセキュリティ要件に対応する包括的なソリューションを紹介する予定だ。

アウトクリプトがCES2025でSDVセキュリティソリューションを展示、CLEPAイノベーショ...

アウトクリプトは2025年1月7日から10日までラスベガスで開催されるCES2025に出展し、CLEPAイノベーションアワードでトップイノベーターに選ばれたAutoCrypt CSTPを含む最新のSDVセキュリティソリューションを展示する。AutoCrypt IVSやAutoCrypt V2Xなど、自動車業界で求められる高度なセキュリティ要件に対応する包括的なソリューションを紹介する予定だ。

Microsoftが「Windows 11 バージョン 24H2」のインストールメディアに問題が発生したことを公表、セキュリティ更新プログラムの受信が不能に

Microsoftが「Windows 11 バージョン 24H2」のインストールメディアに問題...

米Microsoftは2024年12月24日、Windows 11 バージョン 24H2のインストールメディアで深刻な問題が発生したことを発表した。2024年10月8日から11月12日の間にリリースされたセキュリティ更新プログラムを含むメディアを使用した場合、デバイスがWindows更新プログラムを受信できない状態になることが判明。CDやUSBフラッシュドライブなどのメディアを介したインストールにのみ影響がある。

Microsoftが「Windows 11 バージョン 24H2」のインストールメディアに問題...

米Microsoftは2024年12月24日、Windows 11 バージョン 24H2のインストールメディアで深刻な問題が発生したことを発表した。2024年10月8日から11月12日の間にリリースされたセキュリティ更新プログラムを含むメディアを使用した場合、デバイスがWindows更新プログラムを受信できない状態になることが判明。CDやUSBフラッシュドライブなどのメディアを介したインストールにのみ影響がある。

トレンドマイクロのDeep Security Agent Windows版に脆弱性、管理者権限取得のリスクに対応するアップデートを公開

トレンドマイクロのDeep Security Agent Windows版に脆弱性、管理者権限...

トレンドマイクロ株式会社がWindows版Deep Security Agentのファイル検索パスの制御不備による脆弱性(CVE-2024-55955)を修正するアップデートを公開した。影響を受けるバージョンは20.0.1-9400から20.0.1-23340より前で、システムにログイン可能なユーザーによる管理者権限の不正取得が可能となる深刻な脆弱性。最新バージョン20.0.1-23340への更新で対策可能。

トレンドマイクロのDeep Security Agent Windows版に脆弱性、管理者権限...

トレンドマイクロ株式会社がWindows版Deep Security Agentのファイル検索パスの制御不備による脆弱性(CVE-2024-55955)を修正するアップデートを公開した。影響を受けるバージョンは20.0.1-9400から20.0.1-23340より前で、システムにログイン可能なユーザーによる管理者権限の不正取得が可能となる深刻な脆弱性。最新バージョン20.0.1-23340への更新で対策可能。

AIセキュリティスタートアップSherLOCKが生成AIリスクアセスメントサービスを開始、OWASP TOP10 for LLM 2025に準拠した包括的な評価を実現

AIセキュリティスタートアップSherLOCKが生成AIリスクアセスメントサービスを開始、OW...

SherLOCK株式会社は2024年12月25日、OWASP TOP10 for LLM 2025に準拠した生成AIリスクアセスメントサービス「SherLOCK TOP10 for LLM」をローンチした。プロンプトインジェクションなど10の重要な脅威カテゴリーを網羅し、企業規模に応じたカスタマイズも可能。生成AI導入前後の包括的なリスク評価と実践的な対策提案を通じて、企業のAI活用における安全性向上を支援する。

AIセキュリティスタートアップSherLOCKが生成AIリスクアセスメントサービスを開始、OW...

SherLOCK株式会社は2024年12月25日、OWASP TOP10 for LLM 2025に準拠した生成AIリスクアセスメントサービス「SherLOCK TOP10 for LLM」をローンチした。プロンプトインジェクションなど10の重要な脅威カテゴリーを網羅し、企業規模に応じたカスタマイズも可能。生成AI導入前後の包括的なリスク評価と実践的な対策提案を通じて、企業のAI活用における安全性向上を支援する。

カラクリが日本語特化型生成AIガードレール「KARAKURI Guardrails」のβ版を提供開始、安全なAI活用基盤の実現へ

カラクリが日本語特化型生成AIガードレール「KARAKURI Guardrails」のβ版を提...

カラクリ株式会社は日本語に特化した生成AIのガードレール「KARAKURI Guardrails」のβ版を2024年12月25日に提供開始した。このガードレールはグローバル基準では対応できていない日本語特有の曖昧表現や敬語、文脈依存性などに対応することで、誤った判断や予期せぬリスクを軽減する。さらに企業固有の要件やポリシーに合わせたカスタマイズが可能で、より精緻なリスク管理と安全なコミュニケーション環境を提供するのだ。

カラクリが日本語特化型生成AIガードレール「KARAKURI Guardrails」のβ版を提...

カラクリ株式会社は日本語に特化した生成AIのガードレール「KARAKURI Guardrails」のβ版を2024年12月25日に提供開始した。このガードレールはグローバル基準では対応できていない日本語特有の曖昧表現や敬語、文脈依存性などに対応することで、誤った判断や予期せぬリスクを軽減する。さらに企業固有の要件やポリシーに合わせたカスタマイズが可能で、より精緻なリスク管理と安全なコミュニケーション環境を提供するのだ。

SB C&SがGitLab Inc.とディストリビューター契約を締結、DevSecOpsプラットフォームの提供でAI活用型開発を促進

SB C&SがGitLab Inc.とディストリビューター契約を締結、DevSecOpsプラッ...

SB C&S株式会社がGitLab Inc.とディストリビューター契約を締結し、DevSecOpsプラットフォームGitLabの取り扱いを開始した。GitLabはソフトウエア開発の全プロセスを一元化できるAI搭載プラットフォームで、GitLab DuoによりSDLC全体にAIを組み込むことが可能。Premium版とUltimate版の2つのエンタープライズ向けプランを提供し、高度なCI/CD機能やセキュリティテスト、自動脆弱性検出などの包括的な機能を実現する。

SB C&SがGitLab Inc.とディストリビューター契約を締結、DevSecOpsプラッ...

SB C&S株式会社がGitLab Inc.とディストリビューター契約を締結し、DevSecOpsプラットフォームGitLabの取り扱いを開始した。GitLabはソフトウエア開発の全プロセスを一元化できるAI搭載プラットフォームで、GitLab DuoによりSDLC全体にAIを組み込むことが可能。Premium版とUltimate版の2つのエンタープライズ向けプランを提供し、高度なCI/CD機能やセキュリティテスト、自動脆弱性検出などの包括的な機能を実現する。

サキコーポレーションが脆弱性管理クラウドyamoryを導入、EUサイバーレジリエンス法案のSBOM対応を実現

サキコーポレーションが脆弱性管理クラウドyamoryを導入、EUサイバーレジリエンス法案のSB...

電子モジュール用自動外観検査システムを手掛けるサキコーポレーションが、アシュアード社の脆弱性管理クラウドyamoryを導入した。EUサイバーレジリエンス法案で求められるSBOM対応やIT資産管理、OSSライセンス管理を含めたセキュリティ体制の強化を実現。アプリやホスト、コンテナなどITシステム全レイヤーの統合的な脆弱性管理が可能になる。

サキコーポレーションが脆弱性管理クラウドyamoryを導入、EUサイバーレジリエンス法案のSB...

電子モジュール用自動外観検査システムを手掛けるサキコーポレーションが、アシュアード社の脆弱性管理クラウドyamoryを導入した。EUサイバーレジリエンス法案で求められるSBOM対応やIT資産管理、OSSライセンス管理を含めたセキュリティ体制の強化を実現。アプリやホスト、コンテナなどITシステム全レイヤーの統合的な脆弱性管理が可能になる。

【CVE-2024-55956】Cleo製品に任意コマンド実行の脆弱性、CISAがKEVカタログに追加し緊急対応を要請

【CVE-2024-55956】Cleo製品に任意コマンド実行の脆弱性、CISAがKEVカタロ...

Cleo Harmony、VLTrader、LexiComのバージョン5.8.0.24未満に深刻な脆弱性が発見された。認証不要で任意のBashやPowerShellコマンドが実行可能となるこの脆弱性は、CVSS 3.1で9.8のクリティカルスコアが付与されている。CISAはKEVカタログへの追加を行い、早急な対応を呼びかけている。

【CVE-2024-55956】Cleo製品に任意コマンド実行の脆弱性、CISAがKEVカタロ...

Cleo Harmony、VLTrader、LexiComのバージョン5.8.0.24未満に深刻な脆弱性が発見された。認証不要で任意のBashやPowerShellコマンドが実行可能となるこの脆弱性は、CVSS 3.1で9.8のクリティカルスコアが付与されている。CISAはKEVカタログへの追加を行い、早急な対応を呼びかけている。

【CVE-2024-12356】BeyondTrustのリモートアクセス製品に深刻な脆弱性、認証バイパスによるコマンド実行が可能に

【CVE-2024-12356】BeyondTrustのリモートアクセス製品に深刻な脆弱性、認...

BeyondTrust Inc.のRemote Support(RS)およびPrivileged Remote Access(PRA)製品において、認証なしでコマンドを実行可能な重大な脆弱性が発見された。CVE-2024-12356として識別されるこの脆弱性は、CVSSスコア9.8のCRITICALと評価され、バージョン0から24.3.1までのすべての製品が影響を受ける。CISAの評価では既に悪用可能な状態であり、早急な対策が必要とされている。

【CVE-2024-12356】BeyondTrustのリモートアクセス製品に深刻な脆弱性、認...

BeyondTrust Inc.のRemote Support(RS)およびPrivileged Remote Access(PRA)製品において、認証なしでコマンドを実行可能な重大な脆弱性が発見された。CVE-2024-12356として識別されるこの脆弱性は、CVSSスコア9.8のCRITICALと評価され、バージョン0から24.3.1までのすべての製品が影響を受ける。CISAの評価では既に悪用可能な状態であり、早急な対策が必要とされている。

【CVE-2024-12677】Delta Electronics DTM Soft 1.30に深刻な脆弱性、デシリアライズ処理に関する重大な問題が発覚

【CVE-2024-12677】Delta Electronics DTM Soft 1.30...

Delta Electronics DTM Softのバージョン1.30以前に存在する深刻な脆弱性が2024年12月20日に公開された。CVE-2024-12677として識別されるこの脆弱性は、信頼されていないデータのデシリアライズ処理に関するもので、攻撃者による任意のコード実行を可能にする。CVSSスコア7.8のHigh評価であり、システムのセキュリティに重大な影響を及ぼす可能性が指摘されている。

【CVE-2024-12677】Delta Electronics DTM Soft 1.30...

Delta Electronics DTM Softのバージョン1.30以前に存在する深刻な脆弱性が2024年12月20日に公開された。CVE-2024-12677として識別されるこの脆弱性は、信頼されていないデータのデシリアライズ処理に関するもので、攻撃者による任意のコード実行を可能にする。CVSSスコア7.8のHigh評価であり、システムのセキュリティに重大な影響を及ぼす可能性が指摘されている。

【CVE-2024-12700】Tibbo AggreGate Network Managerに危険な脆弱性、認証済みユーザーによる任意コード実行が可能な状態に

【CVE-2024-12700】Tibbo AggreGate Network Manager...

Tibbo AggreGate Network Managerにおいて、認証済みユーザーがJSPシェルをアップロードし任意のコードを実行できる脆弱性が発見された。CVSSスコアは8.7(HIGH)と高い深刻度を示しており、バージョン0から6.34.02までが影響を受ける。低権限ユーザーでも攻撃が可能であり、機密性・整合性・可用性すべてで高い影響が予想される状況だ。

【CVE-2024-12700】Tibbo AggreGate Network Manager...

Tibbo AggreGate Network Managerにおいて、認証済みユーザーがJSPシェルをアップロードし任意のコードを実行できる脆弱性が発見された。CVSSスコアは8.7(HIGH)と高い深刻度を示しており、バージョン0から6.34.02までが影響を受ける。低権限ユーザーでも攻撃が可能であり、機密性・整合性・可用性すべてで高い影響が予想される状況だ。

【CVE-2024-45155】Adobe Animate 24.0.5以前のバージョンに未初期化ポインタの脆弱性、任意コード実行のリスクが判明

【CVE-2024-45155】Adobe Animate 24.0.5以前のバージョンに未初...

Adobeは2024年12月10日、Adobe Animate 23.0.8および24.0.5以前のバージョンにおいて、未初期化ポインタにアクセスする脆弱性(CWE-824)を公開した。CVE-2024-45155として識別されるこの脆弱性は、CVSS v3.1で7.8(High)と評価され、悪意のあるファイルを開くことで任意のコード実行が可能となる深刻な問題である。CISAの評価では現時点で自動化された攻撃の証拠は確認されていないが、技術的な影響は全体に及ぶ可能性が指摘されている。

【CVE-2024-45155】Adobe Animate 24.0.5以前のバージョンに未初...

Adobeは2024年12月10日、Adobe Animate 23.0.8および24.0.5以前のバージョンにおいて、未初期化ポインタにアクセスする脆弱性(CWE-824)を公開した。CVE-2024-45155として識別されるこの脆弱性は、CVSS v3.1で7.8(High)と評価され、悪意のあるファイルを開くことで任意のコード実行が可能となる深刻な問題である。CISAの評価では現時点で自動化された攻撃の証拠は確認されていないが、技術的な影響は全体に及ぶ可能性が指摘されている。

【CVE-2024-52988】Adobe Animate 24.0.5以前のバージョンに深刻な脆弱性、任意コード実行の危険性が判明

【CVE-2024-52988】Adobe Animate 24.0.5以前のバージョンに深刻...

Adobe社が2024年12月10日、Adobe Animate 23.0.8および24.0.5以前のバージョンに深刻な脆弱性が存在することを公表した。Out-of-bounds Writeの問題により、悪意のあるファイルを通じて任意のコード実行が可能となる脆弱性が発見され、CVSSスコアは7.8(High)と評価されている。ユーザーの操作を必要とするものの、特権レベルは不要とされており、早急な対策が求められる状況だ。

【CVE-2024-52988】Adobe Animate 24.0.5以前のバージョンに深刻...

Adobe社が2024年12月10日、Adobe Animate 23.0.8および24.0.5以前のバージョンに深刻な脆弱性が存在することを公表した。Out-of-bounds Writeの問題により、悪意のあるファイルを通じて任意のコード実行が可能となる脆弱性が発見され、CVSSスコアは7.8(High)と評価されている。ユーザーの操作を必要とするものの、特権レベルは不要とされており、早急な対策が求められる状況だ。

【CVE-2024-52994】Adobe Substance3D - Samplerに重大な脆弱性、任意のコード実行の危険性が判明

【CVE-2024-52994】Adobe Substance3D - Samplerに重大な...

Adobe社が3Dテクスチャリングソフトウェア「Substance3D - Sampler」のバージョン4.5.1以前に存在する重大な脆弱性を公表。境界外書き込みの問題により、悪意のあるファイルを開くことで攻撃者が任意のコードを実行できる可能性がある。CVSSスコア7.8の「重要」と評価され、早急な対応が推奨される。

【CVE-2024-52994】Adobe Substance3D - Samplerに重大な...

Adobe社が3Dテクスチャリングソフトウェア「Substance3D - Sampler」のバージョン4.5.1以前に存在する重大な脆弱性を公表。境界外書き込みの問題により、悪意のあるファイルを開くことで攻撃者が任意のコードを実行できる可能性がある。CVSSスコア7.8の「重要」と評価され、早急な対応が推奨される。