Day: December 18, 2024

Next.js の脆弱性 CVE-2024-51479 が FIX:認証バイパスと広範な影響

CVE-2024-51479: Next.js Authorization Bypass Vulnerability Affects Millions of Developers

2024/12/18 SecurityOnline — 世界中の開発者が愛用する React フレームワーク Next.js が公開したのは、機密性の高いアプリケーション・データへの不正アクセスを許す、セキュリティ脆弱性の存在である。この脆弱性 CVE-2024-51479 (CVSS:7.5) は、IERAE – GMO Cyber​​security の tyage により発見されたものであり、Next.js バージョン 9.5.5 〜14.2.14 に影響を及ぼすという。

Continue reading “Next.js の脆弱性 CVE-2024-51479 が FIX:認証バイパスと広範な影響”

Azure Key Vault の脆弱性:ミスコンフィグによるロールの悪用が成立する

Azure Key Vault Vulnerability: Exploiting Role Misconfigurations for Privilege Escalation

2024/12/18 SecurityOnline — Azure Key Vault に存在する権限昇格の脆弱性により、機密性の高いシークレット/キー/証明書への想定外のアクセスが許可されることを、Datadog Security Labs が発見した。この発見が明らかにしたのは、攻撃者がロールのミスコンフィグを悪用する攻撃者がアクセス制限を回避することで、Azure のビルトイン・ロールの信頼性が損なわれるという状況である。

Continue reading “Azure Key Vault の脆弱性:ミスコンフィグによるロールの悪用が成立する”

Hitachi の深刻な脆弱性 CVE-2024-10205 がFIX:IT インフラ管理に認証バイパスの恐れ

CVE-2024-10205: Critical Authentication Bypass Flaw Found in Hitachi Infrastructure Analytics Advisor and Ops Center Analyzer

2024/12/18 SecurityOnline — Hitachi Vantara が公開したのは、Infrastructure Analytics Advisor および Ops Center Analyzer に影響を及ぼす、重大な認証バイパス脆弱性 CVE-2024-10205 (CVSS:9.4) に関する情報である。これらのツールが提供する、IT インフラの最適化ソリューションに依存している企業にとって、この欠陥は重大な懸念事項となっている。

Continue reading “Hitachi の深刻な脆弱性 CVE-2024-10205 がFIX:IT インフラ管理に認証バイパスの恐れ”

BeyondTrust PRA/RS の RCE 脆弱性 CVE-2024-12356 (CVSS 9.8) が FIX:ただちにパッチを!

CVE-2024-12356 (CVSS 9.8): Critical Vulnerability in BeyondTrust PRA and RS Enables Remote Code Execution

2024/12/18 SecurityOnline — BeyondTrust の Privileged Remote Access (PRA) と Remote Support (RS) ソリューション存在する、深刻なコマンド・インジェクション脆弱性 CVE-2024-12356 (CVSS:9.8) が発見された。このリモート IT 管理/特権アクセス製品に依存している組織はとっては、重大なリスクをもたらす脆弱性である。

Continue reading “BeyondTrust PRA/RS の RCE 脆弱性 CVE-2024-12356 (CVSS 9.8) が FIX:ただちにパッチを!”

Google Chrome の複数の脆弱性が FIX:V8 JavaScript エンジンなどに深刻な問題

High-Severity Vulnerabilities Fixed in Latest Chrome Release

2024/12/18 SecurityOnline — Google が公表したのは、Chrome ブラウザに存在する5件の脆弱性に対処するための、重要なアップデートのリリースである。それらの脆弱性のうちのいくつかは、深刻度が “High” と評価されている。ユーザーに対して推奨されるのは、可能な限り早急に、最新の Stable チャネル・バージョンである、Windows/Mac 用の 131.0.6778.204/.205 および、Linux 用の 131.0.6778.204 へとアップデートすることだ。

Continue reading “Google Chrome の複数の脆弱性が FIX:V8 JavaScript エンジンなどに深刻な問題”

Azure Data Factory の脆弱性:Apache Airflow 統合における問題を掘り下げる

Azure Data Factory Bugs Expose Cloud Infrastructure

2024/12/18 DarkReading — Microsoft Azure ベースのデータ統合サービスにおいて、オープンソースのワークフロー・オーケストレーション・プラットフォームを活用する際の方法に、3つの欠陥が発見された。この欠陥を悪用する攻撃者は、企業の Azure クラウド・インフラ管理権限を獲得し、データ流出/マルウェア展開/不正なデータ・アクセスなどを引き起こす可能性を手にする。

Continue reading “Azure Data Factory の脆弱性:Apache Airflow 統合における問題を掘り下げる”

Fortinet FortiWLM の深刻な脆弱性 CVE-2023-34990 (CVSS 9.8) が FIX:ただちにアップデートを!

CVE-2023-34990 (CVSS 9.8): Critical Security Flaw Found in Fortinet FortiWLM

2024/12/18 SecurityOnline — Fortinet が発表したのは、FortiClient VPN/FortiManager/FortiWLM などに影響を及ぼす、いくつかの深刻な脆弱性に関する緊急アドバイザリである。これらの脆弱性が悪用されると、パスワード漏洩/リモート・コード実行、不正なファイル・アクセスなどの多岐にわたる問題が生じ、数百万人のユーザーが危険に直面することになる。

Continue reading “Fortinet FortiWLM の深刻な脆弱性 CVE-2023-34990 (CVSS 9.8) が FIX:ただちにアップデートを!”