phpMyAdmin Patches XSS Vulnerabilities in Latest Release
2025/01/23 SecurityOnline — MySQL/MariaDB データベース管理で人気を博す、Web ベースツールである phpMyAdmin は、最新リリースであるバージョン 5.2.2 で、2件クロス・サイト・スクリプティング (XSS) の脆弱性に対処した。“Check tables” の脆弱性 CVE-2025-24530 および “Insert” 機能の脆弱性 CVE-2025-24529 を悪用する攻撃者は、アプリケーションに対する悪意のスクリプト挿入を達成し、ユーザー・アカウントや機密情報などのデータに、不正アクセスする可能性を手にする。
Continue reading “phpMyAdmin の XSS の脆弱性 CVE-2025-24529 が FIX:ただちにアップデートを!”CVE-2024-34693: Apache Superset Arbitrary File Read Vulnerability, PoC Published
2024/07/28 SecurityOnline — Apache Software Foundation は、Apache Superset に存在する任意ファイル読み取りの脆弱性 CVE-2024-34693 に対処する、セキュリティ更新プログラムをリリースした。この脆弱性は、Apache Superset 内の MariaDB プロトコル実装における不適切な入力検証に起因し、バージョン 3.1.3 未満/4.0.0 に影響を及ぼすものだ。攻撃者は、local_infile パラメータを有効化し、MariaDB 接続を作成することで、この脆弱性の悪用を試行できる。
Continue reading “Apache Superset の脆弱性 CVE-2024-34693 が FIX:PoC エクスプロイトも提供”CVE-2024-27295: Directus Flaw Opens Door to Account Takeovers
2024/03/07 SecurityOnline — 多用途のオープンソース・コンテンツ管理プラットフォームである Directus に、脆弱性 CVE-2024-27295 が発見された。この脆弱性により、何千ものプロジェクトにおいて、アカウント乗っ取り攻撃の可能性が生じている。Directus は、その柔軟性と豊富なカスタマイズ・オプションにより、開発者たちに支持されている。具体的に言うと、Docker Pull 2,700 万以上/GitHub Star 約25,000/npm DL 49,000 件/月という状況であり、コンテンツ管理者たちの基盤としての地位を確立している。
Continue reading “Directus の脆弱性 CVE-2024-27295 が FIX:アカウント乗っ取りにつながる恐れ”
IoT OT Security News 