WordPress Plugin Exploited to Steal Credit Card Data from E-commerce Sites
2024/05/28 TheHackerNews — WordPress の Code Snippet という、あまり知られていないプラグインを悪用して、標的サイトに悪意の PHP コードを挿入することで、クレジットカード情報を窃取するという攻撃が発生している。このキャンペーンは、2024年5月11日に Sucuri により発見されたものであり、ユーザーによるカスタム PHP コードの追加を可能にする、Dessky Snippets という WordPress プラグインを悪用するものだ。なお、このプラグイン は、200 件以上インストールされている。
Continue reading “WordPress Dessky Snippets Plugin:クレジットカード情報の窃取に悪用されている – Sucuri”glibc Flaw (CVE-2024-2961) Opens Door to RCE, PoC Exploit Published
2024/05/27 SecurityOnline — GNU C ライブラリ (glibc) のセキュリティ脆弱性 CVE-2024-2961 に関して、技術的な詳細と PoC エクスプロイト・コードが公開された。この脆弱性の CVSS スコアは 8.8 であり、影響を受けるシステムへの潜在的な脅威となることが示されている。
VuFind Libraries Face Critical Vulnerabilities – CVE-2024-25737 & CVE-2024-25738
2024/05/26 SecurityOnline — オープンソースの図書館検索プラットフォームとして人気の VuFind は、図書館と利用者の双方を深刻なリスクにさらす可能性のある、2つの重大な脆弱性に対処した緊急のセキュリティ・アドバイザリを発表した。これらの脆弱性は CVE-2024-25737/CVE-2024-25738 (CVSS:9.1) が悪用された場合には、甚大な損害を被る可能性があることを示している。
Continue reading “VuFind ライブラリの脆弱性 CVE-2024-25737/25738 が FIX:CVSS 値は 9.1”High-severity GitLab flaw lets attackers take over accounts
2024/05/24 BleepingComputer — GitLab が発表したのは、未認証の脅威アクターからのクロス・サイト・スクリプティング (XSS) 攻撃により、ユーザー・アカウントの乗っ取りにいたる可能性のある、深刻度の高い脆弱性へのパッチ適用である。この脆弱性 CVE-2024-4835 は、VS コード・エディタ (Web IDE) における XSS の欠陥であり、悪意を持って細工されたページを介して、制限された情報の窃取を、脅威アクターたちに許すものである。この攻撃は、認証を必要としない脆弱性の悪用により開始するが、その前提としてユーザーとの対話が必要であるため、攻撃の複雑さは高いものとなる。
Continue reading “GitLab の深刻な脆弱性 CVE-2024-4835 が FIX:アカウント乗っ取りの可能性”CVE-2024-5148: GNOME Remote Desktop Vulnerability Exposes Sensitive Information
2024/05/24 SecurityOnline — GNOME Remote Desktop バージョン 46.0/46.1 に存在する深刻な脆弱性 CVE-2024-5148 により、機密情報が暴露され、リモート・デスクトップ・セッションへの不正アクセスを許す可能性があることを、セキュリティ研究者 Matthias Gerstner が発見した。
Continue reading “GNOME RDP の脆弱性 CVE-2024-5148 がFIX:セッションへのアクセスにいたる恐れ”CISA Warns of Actively Exploited Apache Flink Security Vulnerability
2024/05/23 TheHackerNews — 5月23日 (木) に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache Flink の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。その背景にあるのは、統合ストリーム処理/バッチ処理フレームワークのための、この OSS に影響を及ぼすセキュリティ上の欠陥が、活発に悪用されているという現実である。
CVE-2024-34710: Wiki.js Vulnerability Exposes Users to Potential Account Takeover
2024/05/23 SecurityOnline — 人気のオープンソース Wiki エンジンである Wiki.js は、蓄積型 XSS (cross-site scripting ) の脆弱性 CVE-2024-34710 (CVSS:7.1) に対してパッチを適用した。この脆弱性の悪用に成功した攻撃者は、悪意のコードを注入し、ユーザー・アカウントを侵害する可能性があるが、その対象には昇格した特権を持つユーザーも含まれる。
Continue reading “Wiki.js の脆弱性 CVE-2024-34710 が FIX:アカウント乗っ取りにつながる恐れ”Critical GitHub Enterprise Server Flaw Allows Authentication Bypass
2024/05/21 TheHackerNews — GitHub Enterprise Server (GHES) に存在する、きわめて深刻な脆弱性を悪用する攻撃者により、認証保護のバイパスが生じる可能性があるとして、GitHub は修正プログラムを配布している。この脆弱性 CVE-2024-4985 (CVSS:10.0) は、事前の認証を必要とせずに、インスタンスへの不正アクセスを許してしまう可能性を持つものだ。
Continue reading “GitHub Enterprise の深刻な脆弱性 CVE-2024-4985 (CVSS:10.0) が FIX:SAML SSO の利用に注意!”Researchers Detail Code Execution Vulnerability in Popular PDF Viewer, PDF.js
2024/05/21 SecurityOnline — Mozilla が管理する JavaScript ベースの PDF ビュワーとして広く利用されている PDF.js に、深刻度の高い脆弱性 CVE-2024-4367 が存在することが発見されている。そして、この CVE-2024-4367 に対する、技術的詳細と PoC エクスプロイト・コードが、Codean Labs のセキュリティ研究者たちにより公開された。この脆弱性の悪用に成功した攻撃者は、悪意の PDF ファイルが開かれた際に、任意の JavaScript コードを実行できる。この欠陥は、Firefox バージョン 126 未満を実行している全 Firefox ユーザーと、プレビュー機能に PDF.js を利用する、数多くの Web/Electron ベース・アプリに影響を及ぼす。
Continue reading “PDF.js の深刻な RCE 脆弱性 CVE-2024-4367:PoC エクスプロイトが提供”Unauthenticated Attackers Can Hijack 400K+ WordPress Sites via Fluent Forms Bug (CVE-2024-2771)
2024/05/20 SecurityOnline — 400,000 以上のインストール数を誇る WordPress プラグインの Fluent Forms に、3つの重大なセキュリティ脆弱性 CVE-2024-4709/CVE-2024-2771/CVE-2024-2782 が発見された。これらの脆弱性が攻撃者に悪用されると、XSS (cross-site scripting)/不正アクセス/権限昇格などが発生し、Web サイトの侵害や機密データの窃取にいたる可能性が生じる。
Continue reading “WordPress Fluent Forms プラグインの脆弱性 CVE-2024-4709 などが FIX:400,000 以上のサイトが危険に晒されている”Critical Git Vulnerability CVE-2024-32002: Researcher Unveils RCE Exploit with PoC
2024/05/19 SecurityOnline — Git に存在する、深刻なリモートコード実行 (RCE) 脆弱性 CVE-2024-32002 (CVSS:9.1) に関する、技術的詳細と PoC エクスプロイトを、セキュリティ研究者であるAmar Murali が発表した。この脆弱性は、ルーチン “git clone” の操作中に悪用される可能性があり、影響を受けるシステムの制御を、攻撃者に奪われる可能性が生じている。
Continue reading “Git の深刻な脆弱性 CVE-2024-32002:RCE を証明する PoC が登場”CVE-2024-34082: Grav CMS Vulnerability Opens Door to Account Takeovers
2024/05/19 SecurityOnline — 人気の OSS CMS (Content Management System) である Grav は、速度と柔軟性で人気を博している。その Grav に、アカウント乗っ取りや機密ファイルへの不正アクセスを引き起こす深刻な脆弱性が存在し、Web サイトを危険にさらしていることが判明した。
Continue reading “Grav CMS の脆弱性 CVE-2024-34082 が FIX:PoC も提供されている”Critical Flaw in AI Python Package Can Lead to System and Data Compromise
2024/05/17 SecurityWeek — AI アプリケーション開発者が使用する Python パッケージにおいて、先日に発見された重大な脆弱性により、任意のコード実行が可能となり、システムやデータが危険にさらす可能性があるという。 その脆弱性 CVE-2024-34359 は、研究者 Patrick Peng (別名 retr0reg) により発見され、Llama Dramaと呼ばれている。5月16日 (木) に、サイバーセキュリティ企業 Checkmarks が発表したのは、この脆弱性と影響について説明するブログ記事である。
Continue reading “Python の AI パッケージの脆弱性 CVE-2024-34359 が FIX”Critical Security Flaws Uncovered in Popular WordPress eCommerce Theme XStore
2024/05/17 SecurityOnline — WordPress プラットフォーム上におけるオンライン・ストア構築のためのツールとして、広く利用されている XStore テーマと、それに付随する XStore Core プラグインに、一連の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、Web サイトの乗っ取り/データ侵害/悪意のコード注入などの、さまざまな悪意のアクションを引き起こす可能性を持つ。
Continue reading “XStore の Eコマース・テーマの深刻な脆弱性が FIX:WordPress/WooCommerce が危険な状態に”CVE-2024-22120 (CVSS 9.1): Zabbix SQLi Vulnerability Exposes IT Infrastructure to Attack
2024/05/17 SecurityOnline — Zabbix は IT インフラ監視ツールとして人気のオープンソースであるが、深刻な脆弱性 CVE-2024-22120 (CVSS:9.1) が発見された。このタイミング・ベースの SQL インジェクションの脆弱性は、影響を受ける Zabbix バージョンを実行しているシステム上で、攻撃者に特権昇格やリモート・コード実行 (RCE) を許すことで、深刻なリスクの可能性が生じる。
Continue reading “Zabbix の深刻な SQLi の脆弱性 CVE-2024-22120 (CVSS 9.1) が FIX:PoC も提供”Log4j Campaign Exploited to Deploy XMRig Cryptominer
2023/05/17 SecurityOnline — 大規模かつ継続的な悪名高い Log4j キャンペーンの活動を、Uptycs Threat Research Team が発見した。当初はハニーポット・コレクション内で検出されたが、このダイナミックなキャンペーンの複雑さを解明するために、Uptycs が詳細な分析を直ちに開始した。
Continue reading “Log4j の大規模かつ継続的なキャンペーン:XMRig などの多様なマルウェアを配信”CVE-2024-4984: Yoast SEO Flaw Exposes Millions of WordPress Sites to Attack
2024/05/16 SecurityOnline — WordPress プラグイン Yoast SEO は、500万以上のアクティブなインストールを持ち、広く使用されている製品である。そのYoast SEO に、Stored Cross-Site Scripting (XSS) の脆弱性 CVE-2024-4984 が発見された。 この脆弱性を悪用する行為者は、有害なスクリプトを Web サイトに注入することを可能にし、訪問者のデータを危険にさらし、トラフィックをリダイレクトするだけではなく、影響を受けるサイトのコントロールを奪うこともあり得るという。
Continue reading “Yoast SEO の深刻な XSS 脆弱性 CVE-2024-4984 が FIX:500万以上のサイトが危険な状態?”CVE-2024-34716: Critical Security Vulnerability Uncovered in PrestaShop
2024/05/16 SecurityOnline — 2007 年以降において、PrestaShop プロジェクトは、全世界で 30 万以上の Web ストアをサポートしている、オープンソースの主要な E コマース・プラットフォームである。PrestaShop は、カスタマイズ性/主要決済サービスのサポート/多言語およびローカライズされたオプション/完全なレスポンシブ・デザインで有名である。その PrestaShop が、先日に発表したのは、2つの深刻な脆弱性に対するセキュリティ・アドバイザリである。
Continue reading “PrestaShop の脆弱性 CVE-2024-34716/34717 が FIX:ただちにパッチを!”Git Patches Critical RCE Vulnerabilities – CVE-2024-32002 & CVE-2024-32004
2024/05/15 SecurityOnline — ソフトウェア開発の要である “Git” Project に発生した、リモート・コード実行の脆弱性 CVE-2024-32002/CVE-2024-32004 により、不正なデータ操作にさらされる可能性が生じている。すでに、アップデート版が提供されているため、可能な限り早急に対処してほしい。
Continue reading “Git の深刻な脆弱性 CVE-2024-32002 などが FIX:ただちにパッチを!”Froxlor Web Hosting Control Panel Vulnerable to Remote Compromise (CVE-2024-34070)
2024/05/15 SecurityOnline — 人気の OSS Web ホスティング・コントロール・パネルである、Froxlor に深刻な重脆弱性 CVE-2024-34070 が発見された。この脆弱性の深刻度は CVSS 値 9.7 と評価されており、未認証の攻撃者による Froxlorインスタンスの完全な乗っ取りが可能になるという。その結果として、データの盗難や、サービスの中断だけではなく、ホストされている Web サイトへの、さらなる攻撃につながる可能性も生じる。
Continue reading “Froxlor Web Hosting Control Panel の脆弱性 CVE-2024-34070 が FIX:直ちにアップデートを!”Ebury Botnet Malware Compromises 400,000 Linux Servers Over Past 14 Years
2024/05/15 TheHackerNews — Eburyと呼ばれるボットネット・マルウェアは、2009年以降において 40万台の Linux サーバを危険にさらしており、そのうち10万台以上が、2023年の時点でも危険な状況にあると推定されている。この調査結果は、スロバキアのサイバーセキュリティ企業 ESET によるものである。同社は、このマルウェアについて、金銭的な利益を目的とした最も高度なサーバ・サイド・マルウェア・キャンペーンの1つだとしている。
Continue reading “Ebury ボットネットの脅威:14年をかけて 40万台の Linux サーバを侵害”2024/05/13 SecurityOnline — ネットワーク監視/グラフ作成のための OSS ツールとして人気の Cacti は、セキュリティ・アップデートをリリースし、2つの重大な脆弱性に対処した。システムをサイバー攻撃にさらす可能性のある、これらの脆弱性の影響を受けるのは、Cacti の 1.3.x DEV 以下のバージョンである。
Continue reading “Cacti の深刻な脆弱性 CVE-2024-29895/CVE-2024-30268 が FIX:直ちにアップデートを!”CVE-2024-4761: Zero-Day Vulnerability Patched in Google Chrome
2024/05/13 SecurityOnline —Google Chrome に存在する、深刻度の高いゼロデイ脆弱性が対処された。脆弱性 CVE-2024-4761 は、Chrome の JavaScript エンジン V8 で発見された、Out of Bounds Write の欠陥に起因するものだ。この重大なセキュリティ問題は、匿名の研究者により発見/報告され、最新のブラウザが直面する継続的な脅威が浮き彫りにされた。
Continue reading “Google Chrome の脆弱性 CVE-2024-4761 が FIX:野放し状態での悪用を確認”Update Released for PowerDNS to Thwart Denial of Service Attack (CVE-2024-25581)
2024/05/13 SecurityOnline — オープンソース DNS ソフトウェア・プロバイダーとして人気の PowerDNS は、DNSdist 1.9.0〜1.9.3 に存在する脆弱性 CVE-2024-25581 に対して、セキュリティ・アドバイザリをリリースした。この脆弱性の悪用に成功した攻撃者は、サービス拒否 (DoS) 状態を引き起こすことが可能になり、インターネット・サービス・プロバイダー (ISP)/ホスティング・プロバイダーなどの、大規模サービス・プロバイダーの DNS 解決を中断させる可能性を持つ。
Continue reading “PowerDNS の DoS 脆弱性 CVE-2024-25581 が FIX:直ちにアップデートを!”Cacti Network Monitoring Software Patched for Critical Security Flaws (CVE-2024-25641)
2024/05/13 SecurityOnline — ネットワーク監視ツールとして広く利用されている Cacti がリリースしたのは、深刻なリモート・コード実行 (RCE:Remote Code Execution) などの脆弱性に対処する、クリティカルなセキュリティ・アップデートである。修正された脆弱性のうち、最も深刻度が高い CVE-2024-25641 (CVSS:9.1) は、テンプレートのインポート権限を持つ認証済みの攻撃者に対して、影響を受ける Web サーバ上での任意の PHP コード実行を許す可能性のあるものだ。
Continue reading “Cacti の脆弱性 CVE-2024-25641 などが FIX:PoC もリリース!”Microsoft Edge Zero-Day Vulnerability Patched: Urgent Update Needed
2024/05/13 SecurityOnline — すべての Microsoft Edge ユーザーに対して、サイバー・セキュリティ専門家たちが呼びかけているのは、5月10日にリリースされた最新のセキュリティ更新プログラムを、直ちにインストールすることだ。この重要な更新プログラムが対処しているのは、野放し状態で悪用されている、ゼロデイ欠陥 CVE-2024-4671 などの、複数の脆弱性である。
Continue reading “Microsoft Edge のゼロデイ CVE-2024-4671 などが FIX:野放し状態での悪用を観測”CVE-2024-32113 – RCE Vulnerability in Apache OFBiz: Immediate Action Required
2024/05/12 SecurityOnline — 一般的な企業向けソフトウェア・ツール群である Apache OFBiz に、深刻なパス・トラバーサルの脆弱性 CVE-2024-32113 が発見された。この脆弱性の悪用に成功したリモートの攻撃者は、脆弱なバージョンを実行しているシステム上で、悪意のコードを実行する可能性を手にする。Apache OFBiz は、アプリケーション構築のためのフレームワークであり、ERP (enterprise resource planning)/CRM (customer relationship management) /電子商取引などで使用される。その業界を横断的する視点と柔軟性により、企業にとって人気の選択肢となっている。
Continue reading “Apache OFBiz の脆弱性 CVE-2024-32113:パス・トラバーサルに起因する RCE”Critical Flaws Found in Popular LearnPress LMS Plugin for WordPress
2024/06/12 SecurityOnline — 世界中で 90,000以上のアクティブなインストールを誇る、WordPress LMS プラグインは、オンライン・コースを作成/管理するためのツールである。この WordPress LMS で発生した、深刻な脆弱性 CVE-2024-4397/CVE-2024-4434 の悪用に成功した攻撃者は、任意のファイル・アップロードや不正なデータベース・アクセスを実行する可能性を持つ。
Continue reading “WordPress LearnPress LMS Plugin の脆弱性 CVE-2024-4397/4434 が FIX:直ちにアップデートを!”CVE-2024-32655: SQL Injection Flaw Discovered in Popular PostgreSQL Driver, Npgsql
2024/05/10 SecurityOnline — PostgreSQL データベースに .NET アプリケーションを接続する際に広く利用される、OSS データ・プロバイダーである Npgsql に、深刻な脆弱性 CVE-2024-32655 (CVSS:8.1) が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるアプリケーションに対すしての SQL コマンド・インジェクションが可能となり、データ漏えいや不正アクセスなどの悪意のアクションが実行される可能性が生じる。
Continue reading “PostgreSQL ドライバ Npgsql の脆弱性 CVE-2024-32655 が FIX:SQLi が生じる恐れ”CVE-2024-34350 & CVE-2024-34351: Two Vulnerabilities Patched in Popular Next.js Framework
2024/05/09 SecurityOnline — フルスタック Web アプリケーションの構築で用いられる、主要フレームワークである Next.js は、最新の React 機能と Rust ベースの JavaScript ツールの統合により、世界的な大企業に広く採用されている。しかし、先日の発見により、ユーザーデータやサーバの運用を危険にさらす可能性のある、深刻なセキュリティ脆弱性が露呈している。
Continue reading “Next.js Framework の脆弱性 CVE-2024-34350/34351 が FIX:ただちにパッチを!”CVE-2024-4701 (CVSS 9.9): Major RCE Risk in Netflix’s Genie Platform
2024/05/09 SecurityOnline — Netflix の BigData 処理用 OSS ジョブ・オーケストレーション・エンジン Genie に、深刻なリモートコード実行 (RCE) の脆弱性が発見された。この脆弱性は CVE-2024-4701 として追跡され、その CVSS スコアは 9.9 である。
Continue reading “Netflix Genie の脆弱性 CVE-2024-4701 (CVSS 9.9) が FIX:BigData 処理でパス・トラバーサル”Critical Spin Framework Flaw: Sandbox Escape Vulnerability Exposed (CVE-2024-32980)
2024/05/09 SecurityOnline — 先日に Spin Project が発表したのは、WebAssembly を使用して安全で高速なクラウド・マイクロサービスを構築/実行するために設計された、オープンソースの Spin Framework におけるキュリティ勧告である。それは、深刻な脆弱性 CVE-2024-32980 (CVSS:9.1) であり、きわめて高いリスクが懸念されるものだ。この脆弱性は、特別にコンフィグレーションされた Spin アプリケーションにおいて、ネットワーク・サンドボックス・エスケープの可能性を生じるものだ。
Continue reading “Spin Framework の脆弱性 CVE-2024-32980 が FIX:サンドボックス・エスケープの恐れ”CVE-2024-33861: Patch Released for Qt Vulnerability Affecting Applications
2024/05/09 SecurityOnline — Qt Group がリリースしたのは、QStringConverter コンポーネントで発見された脆弱性 CVE-2024-33861 に対応する、セキュリティ勧告とパッチである。Qt Framework 自体には、リモート攻撃に対する直接の脆弱性は存在しないが、この脆弱性が、QStringDecoder を用いるアプリケーションで悪用される可能性が生じる。
Continue reading “Qt Framework の脆弱性 CVE-2024-33861 が FIX:影響は限定的だが油断は禁物”Citrix warns admins to manually mitigate PuTTY SSH client bug
2024/05/09 BleepingComputer — 今週に Citrix が顧客に通知したのは、XenCenter 管理者のプライベート SSH キーを、攻撃者が盗み出す可能性がある、PuTTY SSH クライアントの脆弱性を、手動で緩和するためのガイダンスである。XenCenter は、Citrix Hypervisor における仮想マシンのデプロイや監視などを、Windows デスクトップから管理するための環境である。
Continue reading “Citrix XenCenter に PuTTY の脆弱性 CVE-2024-31497 が影響:手動での緩和策とは?”CVE-2024-24787 (CVSS 9.8): Go Vulnerability Could Lead to Code Execution
2024/05/08 SecurityOnline — シンプルで効率的なソフトウェア開発を実現する Go プログラミング言語で、最近になって発見された2つの深刻な脆弱性に対処する、セキュリティ・アドバイザリが発表された。Go 環境で確認されたのは、DNS 操作における任意のコード実行 CVE-2024-24787 と、無限ループ CVE-2024-24788 の脆弱性である。
Continue reading “Go 環境の脆弱性 CVE-2024-24787/24788 が FIX:任意のコード実行にいたる可能性”CVE-2024-34346: Deno Vulnerability Allows Privilege Elevation
2024/05/08 SecurityOnline — セキュリティに特化したアーキテクチャで知られる、人気の JavaScript/TypeScript/WebAssembly ランタイムである Deno を使用している、開発者およびシステム管理者は、先日のアップデートで対処された、深刻な脆弱性に注意する必要がある。この脆弱性 CVE-2024-34346 (CVSS:8.5) は、特権ファイルの誤操作による権限昇格を可能にするため、重大なリスクをもたらす。
Continue reading “Deno の脆弱性 CVE-2024-34346 が FIX:不適切なパーミッションによる権限昇格”RSAC: Three Strategies to Boost Open-Source Security
2024/05/08 InfoSecurity — OSS におけるセキュリティ強化は、この種のコミュニティが非公式かつユビキタスであるため、政府にとって重要な課題となっている。ソフトウェア全般にわたって Security-by-Design を推進し、脆弱性の悪用やサプライチェーン・インシデントを減らすという米国政府の取り組みにおいて、OSS は極めて重要な要素になっている。RSA Conference 2024 が、政府関係者と OSS の関係者たちが、このユニークなエコシステムで Security-by-Design の原則を推進する方法について、議論する機会を提供した。
Continue reading “OSS セキュリティを加速:レギュレーション整備/Security-by-Design/AI の活用 – RSA Con”Litespeed Cache WordPress Plugin Actively Exploited In The Wild
2024/05/08 SecurityAffairs — WordPress 用 LiteSpeed Cache プラグインの深刻な脆弱性を、脅威アクターたちが積極的に悪用していると、WPScan の研究者たちが報告している。LiteSpeed Cache for WordPress (LSCWP) は、オールインワンのサイト高速化プラグインであり、独自のサーバ・レベル・キャッシュと最適化のための機能を備えている。そして、このプラグインは、500万以上のアクティブなインストール数を誇っている。
Continue reading “WordPress Litespeed Cache Plugin の脆弱性 CVE-2023-40000:積極的な悪用を観測”CVE-2024-4367 & CVE-2024-34342: JavaScript Flaws Threaten Millions of PDF.js and React-PDF Users
2024/05/07 SecurityOnline — HTML5 で開発され Mozilla がサポートする PDF ビューア PDF.js と、React アプリケーション内で PDF を表示する npm パッケージ React-PDF に、深刻なセキュリティ上の欠陥が確認された。これらの人気ソフトウェアの脆弱性は、任意の JavaScript コードの実行を可能にするものであり、数百万人のユーザーを危険にさらしている。
Continue reading “PDF.js/React-PDF の脆弱性 CVE-2024-4367/34342 が FIX:ただちにアップデートを!”RSAC: Decoding US Government Plans to Shift the Software Security Burden
2024/05/07 InfoSecurity — RSA Conference 2024 において、Security by Design の強化を目指す、米国政府の計画に対する分析が提供された。このイベントにおいて、米国 CISA の Senior Technical Advisor である Bob Lord は、ソフトウェア・セキュリティに関して受け入れられている、常識を克服することが急務であると述べている。
Continue reading “Security by Design の強化を目指す米国政府:メモリセーフな開発言語とは? – RSA Con”CVE-2024-4041: Security Flaw Found in Popular Yoast SEO Plugin – Update Immediately!
2024/05/06 SecurityOnline — WordPress における検索エンジン最適化プラグインとして人気の Yoast SEO に、セキュリティ脆弱性が発見され、世界中で 500万以上と言われるアクティブなインストールに影響を及ぼしている。このクロス・サイト・スクリプティング (XSS) の脆弱性 CVE-2024-4041 (CVSS:6.1) により、Web サイトの完全性と管理者の管理に、深刻な脅威が生じる。
Continue reading “WordPress プラグイン Yoast SEO の深刻な脆弱性 CVE-2024-4041 が FIX:ただちにアップデートを!”CVE-2023-49606 (CVSS 9.8): Tinyproxy Zero-Day Threatens Thousands
2024/05/05 SecurityOnline — 個人のホビイスト/中小企業/パブリック Wi-Fi プロバイダーなどが、そのシンプルさと有益性から好んで使用する、軽量 HTTP/S プロキシである Tinyproxy に深刻な欠陥が発見された。このソフトウェアの最新バージョンのユーザーに、深刻な脅威をもたらすこの脆弱性 CVE-2023-49606 (CVSS:9.8) は、Critical に分類されている。
Continue reading “Tinyproxy の脆弱性 CVE-2023-49606 (CVSS 9.8):パッチ適用までの緩和策は?”CVE-2024-4215 & CVE-2024-4216: Security Flaws Patched in Popular PostgreSQL Tool pgAdmin
2024/05/05 SecurityOnline — 世界で最も先進的な OSS データベースである PostgreSQL における、管理/開発プラットフォームとして有名な pgAdmin で発生した、2つの深刻なセキュリティ脆弱性が FIX した。これらの脆弱性は、バージョン 8.5 以下に存在し、アプリケーション内での不正なアクションやスクリプトの実行を許す可能性があり、ユーザーに深刻なリスクをもたらすものとされる。なお、この脆弱性 CVE-2024-4215/CVE-2024-4216 の CVSS 値は、どちらも 7.4 である。
Continue reading “PostgreSQL pgAdmin の脆弱性 CVE-2024-4215/4216 が FIX:ただちにパッチを!”WordPress Sites Under Widespread Attack – LiteSpeed Cache Plugin Exploit Puts Millions at Risk
2024/05/03 SecurityOnline — 現時点で世界中の 500万以上の Web サイトにインストールされている、WordPress のLiteSpeed Cache Plugin の脆弱性を、ハッカーたちが積極的に悪用している。この、脆弱性 CVE-2023-40000 を悪用する攻撃者は、管理者アカウントの作成を達成し、無数の WordPress サイトに深刻なセキュリティリスクをもたらしている。
Continue reading “WordPress の LiteSpeed Cache Plugin の脆弱性 CVE-2023-40000 が FIX:深刻な蓄積型 XSS”CVE-2024-4439: Unauthenticated Stored Cross-Site Scripting Vulnerability in WordPress Core
2024/05/03 SecurityOnline — 世界で最も人気のある CMS である WordPress に、深刻なセキュリティ脆弱性が発見され、影響を受ける Web サイトの制御を、攻撃者により奪われる可能性があることが確認された。この脆弱性 CVE-2024-4439 (CVSS:7.2) は、WordPress Core に存在する蓄積型クロス・サイト・スクリプティング (XSS) の欠陥に起因する。
Continue reading “WordPress Core の脆弱性 CVE-2024-4439 が FIX:とても危険な蓄積型 XSS”CVE-2024-32114: High-Severity Vulnerability Exposed in Apache ActiveMQ
2024/05/02 SecurityOnline — Apache ActiveMQ は、最も人気のある Open-Source/Multi-Protocol/Java-based のメッセージ・ブローカーとして広く知られており、JavaScript/C/C++/Python/.Net などのプログラミング言語と、多様なクライアントソフトウェアとの間の通信を容易にする。さらに、AMQP のような標準プロトコルをサポートすることで、マルチ・プラットフォーム・アプリケーションを統合する際の、幅広い互換性と柔軟性を確保している。しかしながら、バージョン 6.x で発見された、深刻度の高いセキュリティ脆弱性 CVE-2024-32114 により、同プラットフォームのユーザーに重大なリスクが生じている。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2024-32114 が FIX:コンフィグ修正の緩和策も提供”Microsoft Researcher to Unveil 4 OpenVPN Zero-Day Vulnerabilities at Black Hat USA 2024
2024/05/02 SecurityOnline — 2024年8月上旬に開催される Black Hat USA 2024 Conference において、OpenVPN に存在する一連の深刻なゼロデイ脆弱性に関するプレゼンテーションが、Microsoft の Senior Security Researcher である Vladimir Tokarev から行われる予定だ。OpenVPN は、全世界で何百万ものエンドポイントに使用されている、世界有数の VPN ソリューションである。コードネーム “OVPNX” と命名された、これらの脆弱性は、Windows/iOS/macOS/Android/BSD などの広範なプラットフォームのセキュリティ・リスクを露呈し、世界中の何千もの企業に影響を与える可能性がある。
Continue reading “OpenVPN のゼロデイ脆弱性:Black Hat 2024 で悪用チェーンなどが公開予定”CVE-2024-32971: Critical Vulnerability in Apollo Router Compromises Data Integrity
2024/05/02 SecurityOnline — Apollo Router のバージョン 1.44.0/1.45.0 に、深刻な脆弱性 CVE-2024-32971 (CVSS:9.1) が発見された。この脆弱性により、Apollo Router を通じて実行される操作の完全性に深刻な懸念が生じるため、直ちにシステムをアップデートするよう求める緊急アドバイザリが、ユーザーに対して通知された。
Continue reading “Apollo Router の深刻な脆弱性 CVE-2024-32971 が FIX:データの完全性が脅かされる可能性”CVE-2024-32962 (CVSS 10): Critical Vulnerability in XML-Crypto Affects Millions
2024/05/01 SecurityOnline — XML ドキュメントの暗号セキュリティにおいて、広く使用されている不可欠なツール XML-Crypto npm パッケージに、深刻なセキュリティ上の欠陥が発見された。この脆弱性には CVE-2024-32962 が採番され、その深刻度は CVSS 値 10.0 と評価されている。この脆弱性は、電子署名の真正性を適切に検証しないという、同パッケージのデフォルト設定における基本機能の欠陥に起因しており、悪用に成功した攻撃者に対して、なりすまし署名を許してしまう。
Continue reading “XML-Crypto の脆弱性 CVE-2024-32962 が FIX:CVSS 値は 10.0”CISA says GitLab account takeover bug is actively exploited in attacks
2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS:10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。
Continue reading “CISA KEV 警告 24/05/01:GitLab の脆弱性 CVE-2023-7028 を KEV に追加”
IoT OT Security News 
You must be logged in to post a comment.