CVE-2024-3246: LiteSpeed Cache Plugin Vulnerability Puts Millions of WordPress Sites at Risk
2024/07/23 SecurityOnline — 500万以上のサイトにインストールされている、人気の WordPress プラグイン LiteSpeed Cache (LS Cache)に脆弱性が発見された。この脆弱性 CVE-2024-3246 (CVSS:6.1) の悪用に成功した攻撃者は、標的とする Web サイトに対して、悪意のコード注入/機密データの侵害/サイト制御の奪取などを可能にする。
Continue reading “WordPress Litespeed Cache Plugin の脆弱性 CVE-2024-3246:CSRF 攻撃の恐れ”Linux Users Hit by CrowdStrike Fallout: Kernel Panics Reported
2024/07/23 SecurityOnline — 先週の金曜日に、世界は金融/メディア/運輸/物流など複数の業界を混乱させる、前代未聞の大停電に見舞われた。数多くの米国内ユーザーも Windows のシステム・クラッシュに遭遇し、それぞれの仕事に影響が生じ、“Microsoft Blue Screen” というキーワードがオンライン検索トレンドのトップに躍り出た。Microsoft の CEO である Satya Nadella は、コンピューター・システムへのサイバー攻撃を防ぐために設計された CrowdStrike のソフトウェア “Falcon Sensor” のアップデートが、Windows OS を実行しているコンピューターの誤作動を引き起こしたことを認めた。
Continue reading “CrowdStrike の Kernel Panic:4月の時点で Linux ユーザーに影響を及ぼしていた”Docker Users Beware: CVE-2024-41110 (CVSS 10) Could Lead to System Takeover
2024/07/23 SecurityOnline — Docker が発表したセキュリティ・アドバイザリは、Docker Engine の特定のバージョンに影響を及ぼす重大な脆弱性に関するものだ。この脆弱性 CVE-2024-41110 (CVSS:10) の悪用に成功した攻撃者は、特定の状況下で認証プラグイン (AuthZ) のバイパスを可能とし、権限昇格などの不正なアクションを実施する機会を得る。基本的に、この脆弱性が悪用される可能性は低いが、影響は深刻と思われるため、Docker ユーザーは注意を払うべきである。
Continue reading “Docker に深刻な脆弱性 CVE-2024-41110 (CVSS:10) :システム乗っ取りの恐れ”CVE-2024-40075: XXE Vulnerability Found in Laravel v11.x
2024/07/23 SecurityOnline — 人気の OSS PHP Web フレームワークの Laravel v11.x に、深刻な脆弱性 CVE-2024-40075 が発見された。この XXE (XML External Entity) の脆弱性の悪用に成功した攻撃者は、機密情報にアクセス/任意のコマンド実行の可能性を得る。
Continue reading “Laravel v11.x の脆弱性 CVE-2024-40075 が FIX:XXE の恐れ”Critical Vulnerabilities in NI VeriStand Expose Industrial Systems to Remote Attacks
2024/07/23 SecurityOnline — National Instruments (NI) が発表したのは、同社のリアルタイム・テストソフトウェア VeriStand のユーザーに対する重要なセキュリティ・アドバイザリである。これらの脆弱性 CVE-2024-6793/CVE-2024-6794 (CVSS:9.8) の悪用に成功した攻撃者は、影響を受けるシステム上でリモートコード実行が可能になる。
Continue reading “NI VeriStand の深刻な脆弱性:産業用システムに RCE の恐れ”CrowdStrike CEO Called to Testify to Congress Over Cybersecurity Firm’s Role in Global Tech Outage
2024/07/23 SecurityWeek — 航空便の欠航/銀行や病院のシステムのオフライン化などにより、世界中のサービスに影響を及ぼした大規模な CrowdStrike の技術的障害について、米下院のリーダーたちは CEO である George Kurtz に議会で証言するよう求めている。今週に CrowdStrike は、7月19日の同社のアップデートによりクラッシュした数百万台のコンピューターのうち、かなりの台数が稼動を再開したと発表した。
Continue reading “CrowdStrike 更新による Windows クラッシュ:CEO が議会での証言を要請された”Verizon to pay $16 million in TracFone data breach settlement
2024/07/23 BleepingComputer — Verizon Communications は、完全子会社である TracFone Wireless が 2021年の買収後に被った3件のデータ漏洩に対して、$1.6M の和解金を支払うことで、米連邦通信委員会 (FCC:Federal Communications Commission) と合意した。電気通信サービス・プロバイダーである TracFone は、Total by Verizon Wireless/Straight Talk/Walmart Family Mobile などを介してサービスを提供する企業である。
Continue reading “Verizon が $1.6 Million の和解金に合意:TracFone のデータ流出問題”$115 Million Payout: Oracle Ends User Data Privacy Battle
2024/07/23 SecurityOnline — Oracle は、ユーザーデータの不適切な使用に関する、2年間にわたる集団訴訟と和解するために、$115M を支払うことに合意した。この和解案により、影響を受けた 2億2,000万人のユーザーに対して補償が提供される。
Continue reading “Oracle が $115M の支払いに合意:データ・プライバシーの争いに終止符”
IoT OT Security News 