Tech Insights
【CVE-2025-27715】Mattermostにプライベートチャネルの権限設定の脆弱性、...
Mattermost社は2025年3月21日、同社のコラボレーションプラットフォームMattermostのバージョン9.11.0から9.11.8において、チーム管理者がプライベートチャネルに意図せず参加できる脆弱性を公開した。CVSSスコアは3.3のLowと評価されているが、情報漏洩のリスクが存在するため、バージョン9.11.9または10.5.0への更新が推奨される。
【CVE-2025-27715】Mattermostにプライベートチャネルの権限設定の脆弱性、...
Mattermost社は2025年3月21日、同社のコラボレーションプラットフォームMattermostのバージョン9.11.0から9.11.8において、チーム管理者がプライベートチャネルに意図せず参加できる脆弱性を公開した。CVSSスコアは3.3のLowと評価されているが、情報漏洩のリスクが存在するため、バージョン9.11.9または10.5.0への更新が推奨される。
【CVE-2025-25274】Mattermostにアーカイブチャンネルでのコマンド実行制限...
Mattermost社が同社のコラボレーションプラットフォームにおける認証バイパスの脆弱性を公開。この脆弱性により、認証済みユーザーがアーカイブされたチャンネルでコマンドを実行できてしまう問題が発生。影響を受けるバージョンは10.4.x、10.3.x、9.11.xの特定バージョンで、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。
【CVE-2025-25274】Mattermostにアーカイブチャンネルでのコマンド実行制限...
Mattermost社が同社のコラボレーションプラットフォームにおける認証バイパスの脆弱性を公開。この脆弱性により、認証済みユーザーがアーカイブされたチャンネルでコマンドを実行できてしまう問題が発生。影響を受けるバージョンは10.4.x、10.3.x、9.11.xの特定バージョンで、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。
【CVE-2025-26336】Dell PowerEdge FX2とVRTXのCMCファーム...
DellのChassis Management Controller(CMC)ファームウェアにStack-based Buffer Overflow脆弱性が発見された。Dell PowerEdge FX2およびVRTXの特定バージョンが影響を受け、リモートからの未認証攻撃によりシステムが危険にさらされる可能性がある。CVSSスコア8.3の高リスク評価となっており、早急なアップデートが推奨される。
【CVE-2025-26336】Dell PowerEdge FX2とVRTXのCMCファーム...
DellのChassis Management Controller(CMC)ファームウェアにStack-based Buffer Overflow脆弱性が発見された。Dell PowerEdge FX2およびVRTXの特定バージョンが影響を受け、リモートからの未認証攻撃によりシステムが危険にさらされる可能性がある。CVSSスコア8.3の高リスク評価となっており、早急なアップデートが推奨される。
【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...
WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。
【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...
WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。
【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...
westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。
【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...
westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。
【CVE-2024-13737】WordPress用プラグインMotors 1.4.57に認証...
WordfenceはWordPress用プラグイン「Motors - Car Dealer, Classifieds & Listing」のバージョン1.4.57以前に認証機能の欠落による脆弱性を報告した。motors_create_templateとmotors_delete_template関数に権限チェック機能が欠落しており、購読者レベル以上の権限を持つユーザーによる任意の投稿削除やリスティングテンプレートの作成が可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。
【CVE-2024-13737】WordPress用プラグインMotors 1.4.57に認証...
WordfenceはWordPress用プラグイン「Motors - Car Dealer, Classifieds & Listing」のバージョン1.4.57以前に認証機能の欠落による脆弱性を報告した。motors_create_templateとmotors_delete_template関数に権限チェック機能が欠落しており、購読者レベル以上の権限を持つユーザーによる任意の投稿削除やリスティングテンプレートの作成が可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。
【CVE-2025-2648】PHPGurukul Art Gallery Managemen...
PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。
【CVE-2025-2648】PHPGurukul Art Gallery Managemen...
PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。
【CVE-2025-2647】PHPGurukul Art Gallery Managemen...
PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。
【CVE-2025-2647】PHPGurukul Art Gallery Managemen...
PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。
MicrosoftがCopilot向け新AIエージェントを発表、高度な推論機能でビジネス分析が進化
Microsoftは2025年3月25日、Microsoft 365 Copilot向けの新たな推論AIエージェントResearcherとAnalystを発表した。OpenAIの最新モデルを活用したこれらの機能により、複雑な業務調査や高度なデータ分析が可能になる。4月からFrontierプログラムで提供開始予定で、企業の意思決定プロセスに革新をもたらすことが期待される。
MicrosoftがCopilot向け新AIエージェントを発表、高度な推論機能でビジネス分析が進化
Microsoftは2025年3月25日、Microsoft 365 Copilot向けの新たな推論AIエージェントResearcherとAnalystを発表した。OpenAIの最新モデルを活用したこれらの機能により、複雑な業務調査や高度なデータ分析が可能になる。4月からFrontierプログラムで提供開始予定で、企業の意思決定プロセスに革新をもたらすことが期待される。
MetaがFacebookの友達タブを刷新、おすすめコンテンツを排除し友達の投稿のみを表示する...
米Metaは3月27日、Facebookの友達タブを大幅に更新し、おすすめコンテンツを排除して友達からの投稿のみを表示する仕様に変更した。米国とカナダで提供を開始し、友達のストーリーズ、リール、投稿、誕生日情報などを一つのタブで効率的に確認可能。年内には複数のOG Facebook体験の追加も予定している。
MetaがFacebookの友達タブを刷新、おすすめコンテンツを排除し友達の投稿のみを表示する...
米Metaは3月27日、Facebookの友達タブを大幅に更新し、おすすめコンテンツを排除して友達からの投稿のみを表示する仕様に変更した。米国とカナダで提供を開始し、友達のストーリーズ、リール、投稿、誕生日情報などを一つのタブで効率的に確認可能。年内には複数のOG Facebook体験の追加も予定している。
GoogleがAI搭載の旅行計画ツールを発表、夏季旅行シーズンに向けて複数の新機能を提供開始
米Googleは2025年3月27日、夏の旅行シーズンに向けてGoogle検索でAIを活用した複数の旅行計画ツールを提供すると発表した。AI Overviewsによる旅程自動生成、ホテル料金追跡機能のグローバル展開、Geminiによるスクリーンショットからのマップ連携、Googleレンズの多言語対応など、様々な新機能が実装される。
GoogleがAI搭載の旅行計画ツールを発表、夏季旅行シーズンに向けて複数の新機能を提供開始
米Googleは2025年3月27日、夏の旅行シーズンに向けてGoogle検索でAIを活用した複数の旅行計画ツールを提供すると発表した。AI Overviewsによる旅程自動生成、ホテル料金追跡機能のグローバル展開、Geminiによるスクリーンショットからのマップ連携、Googleレンズの多言語対応など、様々な新機能が実装される。
KDDIがLLMを活用したAIセキュリティポータルを公開、セキュリティ情報の一元管理と自動分類を実現
KDDIとKDDI総合研究所が2025年3月26日、大規模言語モデル(LLM)を活用した新しい分類技術を開発・導入し、AIセキュリティポータルを公開した。Web上の論文や文献を自動的に分類・整理し、AIセキュリティに関する最新情報を一元化して提供する。新技術により既存・新規文献への適切なラベル付けが可能となり、利用者は必要な情報に簡単にアクセスできる。
KDDIがLLMを活用したAIセキュリティポータルを公開、セキュリティ情報の一元管理と自動分類を実現
KDDIとKDDI総合研究所が2025年3月26日、大規模言語モデル(LLM)を活用した新しい分類技術を開発・導入し、AIセキュリティポータルを公開した。Web上の論文や文献を自動的に分類・整理し、AIセキュリティに関する最新情報を一元化して提供する。新技術により既存・新規文献への適切なラベル付けが可能となり、利用者は必要な情報に簡単にアクセスできる。
NTT ExCパートナーが生成AIを活用したHR業務向けチャットボットを開発、問い合わせ業務の...
NTT ExCパートナーはVANTIQ社と共同で、生成AIを活用したHR業務向けチャットボット「YourNavi-QAI-総務」を開発。社内規程やFAQへの問い合わせを自動化し、従業員の自律的な問題解決を促進する。権限設定やプライバシー保護機能を備え、継続的なデータ分析により回答精度の向上と制度運用の改善を実現する次世代型サービスだ。
NTT ExCパートナーが生成AIを活用したHR業務向けチャットボットを開発、問い合わせ業務の...
NTT ExCパートナーはVANTIQ社と共同で、生成AIを活用したHR業務向けチャットボット「YourNavi-QAI-総務」を開発。社内規程やFAQへの問い合わせを自動化し、従業員の自律的な問題解決を促進する。権限設定やプライバシー保護機能を備え、継続的なデータ分析により回答精度の向上と制度運用の改善を実現する次世代型サービスだ。
ミート社がFRUITS ZIPPERの年間会員証にMEETを搭載、NFCタッチで会員限定コンテ...
ミート株式会社が提供するNFCを活用した次世代コミュニケーションサービス「MEET」がFRUITS ZIPPERの年間会員証として採用された。NFCチップ搭載の会員証はスマホタッチで特別コンテンツにアクセスでき、シェアブロック機能で会員以外への拡散を防止する。ライブイベントではダブルタッチ機能による来場者限定企画も実施され、会員データの活用でパーソナライズされたファンサービスを提供していく。
ミート社がFRUITS ZIPPERの年間会員証にMEETを搭載、NFCタッチで会員限定コンテ...
ミート株式会社が提供するNFCを活用した次世代コミュニケーションサービス「MEET」がFRUITS ZIPPERの年間会員証として採用された。NFCチップ搭載の会員証はスマホタッチで特別コンテンツにアクセスでき、シェアブロック機能で会員以外への拡散を防止する。ライブイベントではダブルタッチ機能による来場者限定企画も実施され、会員データの活用でパーソナライズされたファンサービスを提供していく。
つなぐネットがBrilliaマンション2棟に全戸一括インターネットとゲーミング回線を導入、マン...
アルテリアグループのつなぐネットは、東京建物と三信住建が開発したBrillia目黒大橋とBrillia ist池尻大橋に全戸一括インターネット接続サービスを導入。分譲マンションにはMcloudと一括受電サービスを、賃貸マンションにはGameWithと協力して防音住戸向けゲーミング回線を提供し、それぞれの特性に合わせたサービス展開でマンションの付加価値向上を実現する。
つなぐネットがBrilliaマンション2棟に全戸一括インターネットとゲーミング回線を導入、マン...
アルテリアグループのつなぐネットは、東京建物と三信住建が開発したBrillia目黒大橋とBrillia ist池尻大橋に全戸一括インターネット接続サービスを導入。分譲マンションにはMcloudと一括受電サービスを、賃貸マンションにはGameWithと協力して防音住戸向けゲーミング回線を提供し、それぞれの特性に合わせたサービス展開でマンションの付加価値向上を実現する。
ダイドードリンコがDyDo Smile STANDアプリを終了、Toyota Woven Ci...
ダイドードリンコが2025年10月20日にDyDo Smile STANDアプリのサービスを終了することを発表。創業50周年を機にToyota Woven Cityへのインベンターとしての参画やCoboサービスの展開を開始し、自動販売機ビジネスの進化を推進。サービス終了に伴いLINEポイントGET!LINE引越しキャンペーンを実施し、最大10,000ポイントのプレゼントを提供する。
ダイドードリンコがDyDo Smile STANDアプリを終了、Toyota Woven Ci...
ダイドードリンコが2025年10月20日にDyDo Smile STANDアプリのサービスを終了することを発表。創業50周年を機にToyota Woven Cityへのインベンターとしての参画やCoboサービスの展開を開始し、自動販売機ビジネスの進化を推進。サービス終了に伴いLINEポイントGET!LINE引越しキャンペーンを実施し、最大10,000ポイントのプレゼントを提供する。
東温市がヘルスケアMaaSと遠隔医療システムで健康増進事業を開始、四国初のTeladoc HE...
愛媛県東温市が2024年10月から、ヘルスケアMaaS車両と遠隔医療システム「Teladoc HEALTH」を活用した健康増進事業「いきいきマース」を開始。愛媛大学や市内企業、医師会との連携により、中山間地域の住民や企業従業員向けに健康相談やオンライン講座、各種測定サービスを提供。四国初となるTeladoc HEALTHの導入で、専門医不足の解消と地域医療の充実を目指す。
東温市がヘルスケアMaaSと遠隔医療システムで健康増進事業を開始、四国初のTeladoc HE...
愛媛県東温市が2024年10月から、ヘルスケアMaaS車両と遠隔医療システム「Teladoc HEALTH」を活用した健康増進事業「いきいきマース」を開始。愛媛大学や市内企業、医師会との連携により、中山間地域の住民や企業従業員向けに健康相談やオンライン講座、各種測定サービスを提供。四国初となるTeladoc HEALTHの導入で、専門医不足の解消と地域医療の充実を目指す。
日本発Web3企業CauchyEがQuickNode Startup Programに採択、グ...
CauchyE Asia PTE. LTD.がWeb3インフラストラクチャのリーダーQuickNodeのスタートアッププログラムに採択された。Microsoft、Google、thirdwebに続く大手プログラムへの採択となり、Proof of Liquidityを特徴とするSunrise DAの開発を加速。テストネット公開後わずか6週間で20万人のアクティブユーザーを獲得し、急速な成長を遂げている。
日本発Web3企業CauchyEがQuickNode Startup Programに採択、グ...
CauchyE Asia PTE. LTD.がWeb3インフラストラクチャのリーダーQuickNodeのスタートアッププログラムに採択された。Microsoft、Google、thirdwebに続く大手プログラムへの採択となり、Proof of Liquidityを特徴とするSunrise DAの開発を加速。テストネット公開後わずか6週間で20万人のアクティブユーザーを獲得し、急速な成長を遂げている。
KDDIがSnowflakeと共催でデータ分析コンペを開催、次世代データ基盤TUKUYOMIの...
KDDIとSnowflake合同会社は2025年3月28日、次世代データ基盤TUKUYOMIを活用したデータ分析コンペ「KDDI Data Summit 2025」を共催した。12本部から24名が参加し、サステナビリティ中期目標への貢献をテーマに分析を実施。IPLチーム+新米DSチームがグランプリを獲得し、データ活用による新たな価値創造の可能性が示された。
KDDIがSnowflakeと共催でデータ分析コンペを開催、次世代データ基盤TUKUYOMIの...
KDDIとSnowflake合同会社は2025年3月28日、次世代データ基盤TUKUYOMIを活用したデータ分析コンペ「KDDI Data Summit 2025」を共催した。12本部から24名が参加し、サステナビリティ中期目標への貢献をテーマに分析を実施。IPLチーム+新米DSチームがグランプリを獲得し、データ活用による新たな価値創造の可能性が示された。
出前館の配達応援プログラムにタックスナップが追加、配達員の確定申告作業の効率化を実現
株式会社TxToは、スマートフォンで確定申告が完結できるアプリ「タックスナップ」を出前館の配達応援プログラムに追加した。AIによる自動仕分け機能やスワイプ仕分け機能を搭載し、会計知識がなくても確定申告に対応可能。配達員の経理作業の負担軽減を目指し、待機時間を活用した効率的な確定申告をサポートする。
出前館の配達応援プログラムにタックスナップが追加、配達員の確定申告作業の効率化を実現
株式会社TxToは、スマートフォンで確定申告が完結できるアプリ「タックスナップ」を出前館の配達応援プログラムに追加した。AIによる自動仕分け機能やスワイプ仕分け機能を搭載し、会計知識がなくても確定申告に対応可能。配達員の経理作業の負担軽減を目指し、待機時間を活用した効率的な確定申告をサポートする。
JMAMが個人成長支援サービスahameのアプリ版をリリース、コミュニケーション力向上をより手...
株式会社日本能率協会マネジメントセンターが個人成長支援Webサービス『ahame』のアプリ版を2025年3月27日にリリースした。『ビリギャル』著者の坪田信貴氏らが共同開発・監修を務め、心理学に基づいた診断と短時間の動画コンテンツでコミュニケーション力とEQの向上を支援する。アプリ化により操作性とアクセス性が向上し、新カテゴリーの追加やプッシュ通知機能の実装も行われた。
JMAMが個人成長支援サービスahameのアプリ版をリリース、コミュニケーション力向上をより手...
株式会社日本能率協会マネジメントセンターが個人成長支援Webサービス『ahame』のアプリ版を2025年3月27日にリリースした。『ビリギャル』著者の坪田信貴氏らが共同開発・監修を務め、心理学に基づいた診断と短時間の動画コンテンツでコミュニケーション力とEQの向上を支援する。アプリ化により操作性とアクセス性が向上し、新カテゴリーの追加やプッシュ通知機能の実装も行われた。
エディオンがIoT家電操作アプリを発表、複数メーカーの家電を一括管理可能に
エディオンは2025年4月1日、異なるメーカーの家電をまとめて操作できるIoT家電操作アプリ「エディオンスマートアプリ」をリリースする。外出先からのエアコン操作や洗濯機の運転状況確認が可能で、エラー検知時はアプリに通知される。キャンペーンとして4月1日から6月15日まで、対応家電購入者には訪問設定サービス「おまかせIoTパック」を無料提供。ECHONET Lite Web APIを活用し、メーカー間の相互接続を実現している。
エディオンがIoT家電操作アプリを発表、複数メーカーの家電を一括管理可能に
エディオンは2025年4月1日、異なるメーカーの家電をまとめて操作できるIoT家電操作アプリ「エディオンスマートアプリ」をリリースする。外出先からのエアコン操作や洗濯機の運転状況確認が可能で、エラー検知時はアプリに通知される。キャンペーンとして4月1日から6月15日まで、対応家電購入者には訪問設定サービス「おまかせIoTパック」を無料提供。ECHONET Lite Web APIを活用し、メーカー間の相互接続を実現している。
【CVE-2025-30345】OpenSlides 4.2.5未満にHTMLインジェクション...
IntevationのOpenSlidesにおいて、バージョン4.2.5より前のバージョンでHTMLインジェクションの脆弱性が発見された。chat_group.createアクションでチャットを作成する際、一部のHTML要素のフィルタリングが不完全で、特に削除済みチャットやメッセージでHTMLエンコードが適切に行われていない問題が存在する。CVSSスコアは3.1で深刻度は低く、攻撃には特定の条件が必要となる。
【CVE-2025-30345】OpenSlides 4.2.5未満にHTMLインジェクション...
IntevationのOpenSlidesにおいて、バージョン4.2.5より前のバージョンでHTMLインジェクションの脆弱性が発見された。chat_group.createアクションでチャットを作成する際、一部のHTML要素のフィルタリングが不完全で、特に削除済みチャットやメッセージでHTMLエンコードが適切に行われていない問題が存在する。CVSSスコアは3.1で深刻度は低く、攻撃には特定の条件が必要となる。
【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユ...
OpenSlidesの4.2.5未満のバージョンにおいて、ログイン認証時の応答時間の差異によりユーザーアカウントの存在有無が判別可能になる脆弱性が発見された。パスワードハッシュ化処理の省略により100ミリ秒以上の時間差が発生し、CVSSスコア5.3(MEDIUM)と評価される重要な問題である。早急なバージョンアップデートによる対応が推奨される。
【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユ...
OpenSlidesの4.2.5未満のバージョンにおいて、ログイン認証時の応答時間の差異によりユーザーアカウントの存在有無が判別可能になる脆弱性が発見された。パスワードハッシュ化処理の省略により100ミリ秒以上の時間差が発生し、CVSSスコア5.3(MEDIUM)と評価される重要な問題である。早急なバージョンアップデートによる対応が推奨される。
【CVE-2025-30343】OpenSlides 4.2.5未満にディレクトリトラバーサル...
MITREが2025年3月21日に公開した情報によると、OpenSlidesの4.2.5より前のバージョンにディレクトリトラバーサル脆弱性が存在することが判明した。この脆弱性により、ミーティング機能でのファイル管理において、悪意のある攻撃者がファイルやフォルダ名に相対パスを指定することで、ZIPアーカイブのダウンロード時に意図しないファイルの上書きが発生する可能性がある。
【CVE-2025-30343】OpenSlides 4.2.5未満にディレクトリトラバーサル...
MITREが2025年3月21日に公開した情報によると、OpenSlidesの4.2.5より前のバージョンにディレクトリトラバーサル脆弱性が存在することが判明した。この脆弱性により、ミーティング機能でのファイル管理において、悪意のある攻撃者がファイルやフォルダ名に相対パスを指定することで、ZIPアーカイブのダウンロード時に意図しないファイルの上書きが発生する可能性がある。
【CVE-2025-27933】Mattermostの複数バージョンでチャネル変換制限の脆弱性...
Mattermost社が同社のチャットプラットフォームMattermostにおいて重要な脆弱性を発見した。バージョン10.4.x、10.3.x、9.11.xの特定バージョンで、公開チャネルからプライベートチャネルへの変換権限を持つメンバーが、プライベートチャネルを公開チャネルに変換できてしまう問題が確認された。CVSSスコアは5.4(MEDIUM)と評価されており、セキュリティリスクへの早急な対応が必要となっている。
【CVE-2025-27933】Mattermostの複数バージョンでチャネル変換制限の脆弱性...
Mattermost社が同社のチャットプラットフォームMattermostにおいて重要な脆弱性を発見した。バージョン10.4.x、10.3.x、9.11.xの特定バージョンで、公開チャネルからプライベートチャネルへの変換権限を持つメンバーが、プライベートチャネルを公開チャネルに変換できてしまう問題が確認された。CVSSスコアは5.4(MEDIUM)と評価されており、セキュリティリスクへの早急な対応が必要となっている。
【CVE-2025-2783】Google Chromeに深刻な脆弱性、Windows版のサン...
Google社が公開したChrome向けセキュリティアップデートにより、Windows版のMojoコンポーネントに存在する重大な脆弱性が修正された。CVE-2025-2783として識別されるこの脆弱性は、悪意のあるファイルを通じてサンドボックスを回避できる問題で、CVSSスコア8.3と高い深刻度を示している。バージョン134.0.6998.177未満が影響を受けるため、早急なアップデートが推奨される。
【CVE-2025-2783】Google Chromeに深刻な脆弱性、Windows版のサン...
Google社が公開したChrome向けセキュリティアップデートにより、Windows版のMojoコンポーネントに存在する重大な脆弱性が修正された。CVE-2025-2783として識別されるこの脆弱性は、悪意のあるファイルを通じてサンドボックスを回避できる問題で、CVSSスコア8.3と高い深刻度を示している。バージョン134.0.6998.177未満が影響を受けるため、早急なアップデートが推奨される。
【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...
Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。
【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...
Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。
【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....
Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。
【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....
Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。
【CVE-2025-2687】PHPGurukul eLearning System 1.0に...
PHPGurukul eLearning System 1.0の画像ハンドラーコンポーネントに重大な脆弱性が発見された。CVE-2025-2687として識別されたこの脆弱性により、無制限のファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対策が必要とされている。
【CVE-2025-2687】PHPGurukul eLearning System 1.0に...
PHPGurukul eLearning System 1.0の画像ハンドラーコンポーネントに重大な脆弱性が発見された。CVE-2025-2687として識別されたこの脆弱性により、無制限のファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対策が必要とされている。