Tech Insights

Windows版VMware Toolsに認証バイパスの脆弱性、非管理者権限での高権限操作が可能に

Windows版VMware Toolsに認証バイパスの脆弱性、非管理者権限での高権限操作が可能に

米Broadcomは2025年3月25日、VMware Tools for Windowsに認証バイパスの脆弱性(CVE-2025-22230)を発見したと発表した。この脆弱性により、WindowsゲストVM上の非管理者権限ユーザーが高権限操作を実行できる可能性があり、CVSSスコア7.8の重大な問題として扱われている。すでにVMware Tools 12.5.1で修正済みだが、影響を受けるバージョンのユーザーには早急な更新が推奨される。

Windows版VMware Toolsに認証バイパスの脆弱性、非管理者権限での高権限操作が可能に

米Broadcomは2025年3月25日、VMware Tools for Windowsに認証バイパスの脆弱性(CVE-2025-22230)を発見したと発表した。この脆弱性により、WindowsゲストVM上の非管理者権限ユーザーが高権限操作を実行できる可能性があり、CVSSスコア7.8の重大な問題として扱われている。すでにVMware Tools 12.5.1で修正済みだが、影響を受けるバージョンのユーザーには早急な更新が推奨される。

日立が顧客専用AIエージェント開発サービスを発表、フロントラインワーカーの業務効率化と知識継承を実現へ

日立が顧客専用AIエージェント開発サービスを発表、フロントラインワーカーの業務効率化と知識継承...

株式会社日立製作所は、建設や輸送、電力、ガス、鉄道などの現場で働くフロントラインワーカーの人手不足解消や知識継承の課題に対応するため、熟練者のノウハウを活用した顧客専用のAIエージェントを提供する「AIエージェント開発・運用・環境提供サービス」を3月31日より提供開始する。日立のGenAI Professionalが顧客に寄り添いながら、数百の事例で得たOTナレッジを活用したAIエージェントを迅速に開発・提供する。

日立が顧客専用AIエージェント開発サービスを発表、フロントラインワーカーの業務効率化と知識継承...

株式会社日立製作所は、建設や輸送、電力、ガス、鉄道などの現場で働くフロントラインワーカーの人手不足解消や知識継承の課題に対応するため、熟練者のノウハウを活用した顧客専用のAIエージェントを提供する「AIエージェント開発・運用・環境提供サービス」を3月31日より提供開始する。日立のGenAI Professionalが顧客に寄り添いながら、数百の事例で得たOTナレッジを活用したAIエージェントを迅速に開発・提供する。

シースリーレーヴがノーコード×生成AIのAIチャットパッケージを提供開始、最短1週間で導入可能に

シースリーレーヴがノーコード×生成AIのAIチャットパッケージを提供開始、最短1週間で導入可能に

シースリーレーヴ株式会社が、ノーコード開発ツールBubbleと生成AIを組み合わせた新サービス「AIパッケージ」の提供を開始した。開発経験がなくても最短1週間でAIチャットを導入できる画期的なソリューションで、50万円からのスタートプラン、決済機能付きのビジネスプラン、カスタマイズ性の高いエンタープライズプランの3つを展開。4月末までビジネスプランが20%オフになるキャンペーンも実施中だ。

シースリーレーヴがノーコード×生成AIのAIチャットパッケージを提供開始、最短1週間で導入可能に

シースリーレーヴ株式会社が、ノーコード開発ツールBubbleと生成AIを組み合わせた新サービス「AIパッケージ」の提供を開始した。開発経験がなくても最短1週間でAIチャットを導入できる画期的なソリューションで、50万円からのスタートプラン、決済機能付きのビジネスプラン、カスタマイズ性の高いエンタープライズプランの3つを展開。4月末までビジネスプランが20%オフになるキャンペーンも実施中だ。

DynatraceがCloud Security Posture Managementソリューションを発表、セキュリティとオブザーバビリティの統合で運用効率が向上

DynatraceがCloud Security Posture Managementソリュー...

Dynatraceは2025年3月26日、新たなCloud Security Posture Management(CSPM)ソリューションを発表した。既存のKubernetes Security Posture Managementを拡張し、複雑なハイブリッドおよびマルチクラウド環境での継続的なモニタリングと修復の自動化を実現。Davis AIとDynatrace Grailデータレイクハウスにより、セキュリティとオブザーバビリティの統合を強化し、90日以内に一般提供を開始する予定である。

DynatraceがCloud Security Posture Managementソリュー...

Dynatraceは2025年3月26日、新たなCloud Security Posture Management(CSPM)ソリューションを発表した。既存のKubernetes Security Posture Managementを拡張し、複雑なハイブリッドおよびマルチクラウド環境での継続的なモニタリングと修復の自動化を実現。Davis AIとDynatrace Grailデータレイクハウスにより、セキュリティとオブザーバビリティの統合を強化し、90日以内に一般提供を開始する予定である。

シースリーレーヴがBubbleでAI企業マッチングプラットフォームを開発、リソース共有と協業促進へ

シースリーレーヴがBubbleでAI企業マッチングプラットフォームを開発、リソース共有と協業促進へ

シースリーレーヴ株式会社が、AIを活用した企業間マッチングプラットフォームをノーコード開発ツールBubbleで開発。企業のニーズ登録機能とAIによる自動マッチング機能を実装し、毎日2社の協業候補を提案。3ヶ月という短期間で3名の開発チームが構築を実現し、企業間のリソース共有と協業促進を目指す。

シースリーレーヴがBubbleでAI企業マッチングプラットフォームを開発、リソース共有と協業促進へ

シースリーレーヴ株式会社が、AIを活用した企業間マッチングプラットフォームをノーコード開発ツールBubbleで開発。企業のニーズ登録機能とAIによる自動マッチング機能を実装し、毎日2社の協業候補を提案。3ヶ月という短期間で3名の開発チームが構築を実現し、企業間のリソース共有と協業促進を目指す。

霧島酒造がClaris FileMakerとiPadで業務アプリを内製開発、全社DXによる業務効率化を実現

霧島酒造がClaris FileMakerとiPadで業務アプリを内製開発、全社DXによる業務...

芋焼酎「黒霧島」で知られる霧島酒造が、ローコード開発プラットフォーム「Claris FileMaker」とiPadを活用し、現場主導でアプリケーションを内製開発。焼酎製造の現場から始まったデジタル化が全社に波及し、データ活用による品質管理と商品開発の強化を実現。作業工数の25%削減や異常の早期発見など、具体的な成果を上げている。

霧島酒造がClaris FileMakerとiPadで業務アプリを内製開発、全社DXによる業務...

芋焼酎「黒霧島」で知られる霧島酒造が、ローコード開発プラットフォーム「Claris FileMaker」とiPadを活用し、現場主導でアプリケーションを内製開発。焼酎製造の現場から始まったデジタル化が全社に波及し、データ活用による品質管理と商品開発の強化を実現。作業工数の25%削減や異常の早期発見など、具体的な成果を上げている。

福井商工会議所とdotstudioがAI活用ワークショップを開催、地域密着型コミュニティの形成を推進

福井商工会議所とdotstudioがAI活用ワークショップを開催、地域密着型コミュニティの形成を推進

dotstudio株式会社は福井商工会議所と連携し、2024年11月から2025年1月にかけて地域密着型のAI活用コミュニティ形成を目指す実践型ワークショップを開催した。ホテル業や製造業など多様な業種から参加者が集まり、ChatGPTやmiiboなどのAIツールを活用して業務効率化アプリの開発に成功。地方発のテクノロジー実践の場として注目を集めている。

福井商工会議所とdotstudioがAI活用ワークショップを開催、地域密着型コミュニティの形成を推進

dotstudio株式会社は福井商工会議所と連携し、2024年11月から2025年1月にかけて地域密着型のAI活用コミュニティ形成を目指す実践型ワークショップを開催した。ホテル業や製造業など多様な業種から参加者が集まり、ChatGPTやmiiboなどのAIツールを活用して業務効率化アプリの開発に成功。地方発のテクノロジー実践の場として注目を集めている。

AllganizeがNTTドコモに生成AI・LLMアプリ基盤を提供、ノーコード環境で業務効率化を実現

AllganizeがNTTドコモに生成AI・LLMアプリ基盤を提供、ノーコード環境で業務効率化を実現

Allganize Japan株式会社はNTTドコモに生成AI・LLMアプリプラットフォーム「Alli LLM App Market」を提供開始した。エンジニアリング知識不要のノーコードアプリビルダーやプロンプト入力不要のLLMアプリ、RAG機能により、作業時間が10分の1に削減され回答精度が30%向上するなど、具体的な成果が表れている。今後も継続的な改善を実施し、ドコモグループのサービス品質向上を目指す。

AllganizeがNTTドコモに生成AI・LLMアプリ基盤を提供、ノーコード環境で業務効率化を実現

Allganize Japan株式会社はNTTドコモに生成AI・LLMアプリプラットフォーム「Alli LLM App Market」を提供開始した。エンジニアリング知識不要のノーコードアプリビルダーやプロンプト入力不要のLLMアプリ、RAG機能により、作業時間が10分の1に削減され回答精度が30%向上するなど、具体的な成果が表れている。今後も継続的な改善を実施し、ドコモグループのサービス品質向上を目指す。

AdobeがMicrosoft 365 Copilot向けにAdobe Marketing Agentを発表、マーケターの業務効率化を促進

AdobeがMicrosoft 365 Copilot向けにAdobe Marketing A...

アドビ株式会社がAdobe SummitでAdobe Marketing AgentとAdobe Express Agentを発表。Microsoft 365 Copilotと連携し、TeamsやPowerPoint、Word内でアドビの機能が利用可能になる。Experience PlatformやCustomer Journey Analyticsとの連携により、マーケターの業務効率を大幅に向上させる。AIエージェントによる革新的な機能で、コンテンツサプライチェーンの最適化も実現。

AdobeがMicrosoft 365 Copilot向けにAdobe Marketing A...

アドビ株式会社がAdobe SummitでAdobe Marketing AgentとAdobe Express Agentを発表。Microsoft 365 Copilotと連携し、TeamsやPowerPoint、Word内でアドビの機能が利用可能になる。Experience PlatformやCustomer Journey Analyticsとの連携により、マーケターの業務効率を大幅に向上させる。AIエージェントによる革新的な機能で、コンテンツサプライチェーンの最適化も実現。

スターティアレイズのJENKAがDiSCUSと連携開始、中小企業のDX推進を加速する新機能を実装

スターティアレイズのJENKAがDiSCUSと連携開始、中小企業のDX推進を加速する新機能を実装

スターティアホールディングスの連結子会社スターティアレイズは、データ連携ツールJENKAにおいて、ブルーテック社のビジネスチャットツールDiSCUSとの連携を開始。kintoneやクラウドストレージとの連携機能により、ビジネスコミュニケーションの効率化を実現。国産iPaaSとしての価値向上と、中小企業のDX推進支援を強化している。

スターティアレイズのJENKAがDiSCUSと連携開始、中小企業のDX推進を加速する新機能を実装

スターティアホールディングスの連結子会社スターティアレイズは、データ連携ツールJENKAにおいて、ブルーテック社のビジネスチャットツールDiSCUSとの連携を開始。kintoneやクラウドストレージとの連携機能により、ビジネスコミュニケーションの効率化を実現。国産iPaaSとしての価値向上と、中小企業のDX推進支援を強化している。

ProgateがAPUと九州工業大学のAI活用型ミニハッカソンを支援、文理融合による新たな開発手法の可能性を実証

ProgateがAPUと九州工業大学のAI活用型ミニハッカソンを支援、文理融合による新たな開発...

株式会社Progateは立命館アジア太平洋大学と九州工業大学が共同開催したAI活用型ミニハッカソンの講師を務めた。約40名の文理混合チームがbolt.diyとChatGPTを活用し、お絵かきクイズや囲碁アプリなどを開発。文部科学省の「大学の国際化によるソーシャルインパクト創出支援事業」の一環として、AIを活用した新しい開発手法の可能性を示した。

ProgateがAPUと九州工業大学のAI活用型ミニハッカソンを支援、文理融合による新たな開発...

株式会社Progateは立命館アジア太平洋大学と九州工業大学が共同開催したAI活用型ミニハッカソンの講師を務めた。約40名の文理混合チームがbolt.diyとChatGPTを活用し、お絵かきクイズや囲碁アプリなどを開発。文部科学省の「大学の国際化によるソーシャルインパクト創出支援事業」の一環として、AIを活用した新しい開発手法の可能性を示した。

マウザーがMolexの航空宇宙・防衛向けRF/EMI部品の取り扱いを開始、過酷環境下での高性能と信頼性を実現

マウザーがMolexの航空宇宙・防衛向けRF/EMI部品の取り扱いを開始、過酷環境下での高性能...

マウザー・エレクトロニクスはMolexの航空宇宙および防衛システム向け最先端RFおよびEMI部品の取り扱いを開始した。固定型RF同軸アッテネータ、EMIフィルタ付きD-Subコネクタ、EMIフィルタプレートなどの製品群は、過酷な環境下での高い信頼性と性能を実現。AS9100やMIL規格に適合し、航空機やレーダーシステムなど幅広い用途に対応する。

マウザーがMolexの航空宇宙・防衛向けRF/EMI部品の取り扱いを開始、過酷環境下での高性能...

マウザー・エレクトロニクスはMolexの航空宇宙および防衛システム向け最先端RFおよびEMI部品の取り扱いを開始した。固定型RF同軸アッテネータ、EMIフィルタ付きD-Subコネクタ、EMIフィルタプレートなどの製品群は、過酷な環境下での高い信頼性と性能を実現。AS9100やMIL規格に適合し、航空機やレーダーシステムなど幅広い用途に対応する。

DNPとBIPROGYが量子技術とAIで物流効率化へ、移動距離29%削減を実現し本格研究フェーズへ

DNPとBIPROGYが量子技術とAIで物流効率化へ、移動距離29%削減を実現し本格研究フェーズへ

大日本印刷とBIPROGYは、NEDOの量子・古典ハイブリッド技術開発事業で物流効率化アプリケーションの開発に成功した。DNPアニーリング・ソフトウェアを用いた実証実験では、総移動距離29%削減などの成果を上げ、2025年4月から本格研究を開始する。次期開発ではAMRとの協働やバーチャルシミュレーション機能の実装を目指す。

DNPとBIPROGYが量子技術とAIで物流効率化へ、移動距離29%削減を実現し本格研究フェーズへ

大日本印刷とBIPROGYは、NEDOの量子・古典ハイブリッド技術開発事業で物流効率化アプリケーションの開発に成功した。DNPアニーリング・ソフトウェアを用いた実証実験では、総移動距離29%削減などの成果を上げ、2025年4月から本格研究を開始する。次期開発ではAMRとの協働やバーチャルシミュレーション機能の実装を目指す。

共栄火災と日立が基幹システムのクラウド移行プロジェクトを開始、生成AI活用で2030年度稼働を目指す

共栄火災と日立が基幹システムのクラウド移行プロジェクトを開始、生成AI活用で2030年度稼働を目指す

共栄火災と日立製作所は2025年4月より、共栄火災の基幹システムをメインフレームからパブリッククラウドへ移行するモダナイゼーションプロジェクトを開始する。生成AIの活用や専門チームの設置により、移行作業の効率化と精度向上を図り、2030年度中の稼働開始を目指す。システム開発の効率化とコスト最適化により、多様化する顧客ニーズへの対応力強化を実現する。

共栄火災と日立が基幹システムのクラウド移行プロジェクトを開始、生成AI活用で2030年度稼働を目指す

共栄火災と日立製作所は2025年4月より、共栄火災の基幹システムをメインフレームからパブリッククラウドへ移行するモダナイゼーションプロジェクトを開始する。生成AIの活用や専門チームの設置により、移行作業の効率化と精度向上を図り、2030年度中の稼働開始を目指す。システム開発の効率化とコスト最適化により、多様化する顧客ニーズへの対応力強化を実現する。

JBCCがマルチクラウド対応のIaaSセキュリティ監査サービスを開始、CNAPPに基づく包括的な保護を実現

JBCCがマルチクラウド対応のIaaSセキュリティ監査サービスを開始、CNAPPに基づく包括的...

JBCC株式会社は2025年3月27日、AWS、Azure、Google Cloud Platformなどの主要クラウドプラットフォームに対応したIaaSセキュリティ監査サービスの提供を開始。ガートナー社が提唱するCNAPPの考え方に基づき、設定ミスや脆弱性の発見、不正アクセス検知、無許可IT資産の発見など、包括的なセキュリティ管理機能を提供する。経験豊富なセキュリティエンジニアによる運用支援も実施。

JBCCがマルチクラウド対応のIaaSセキュリティ監査サービスを開始、CNAPPに基づく包括的...

JBCC株式会社は2025年3月27日、AWS、Azure、Google Cloud Platformなどの主要クラウドプラットフォームに対応したIaaSセキュリティ監査サービスの提供を開始。ガートナー社が提唱するCNAPPの考え方に基づき、設定ミスや脆弱性の発見、不正アクセス検知、無許可IT資産の発見など、包括的なセキュリティ管理機能を提供する。経験豊富なセキュリティエンジニアによる運用支援も実施。

【CVE-2024-13217】Jeg Elementor Kitに情報漏洩の脆弱性、WordPressサイトのセキュリティリスクに警戒

【CVE-2024-13217】Jeg Elementor Kitに情報漏洩の脆弱性、Word...

WordPressプラグインのJeg Elementor Kitにおいて、バージョン2.6.11以前に情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが非公開テンプレートデータにアクセス可能となる脆弱性で、CVSSスコアは4.3(MEDIUM)と評価されている。この脆弱性はCVE-2024-13217として識別され、主にCountdownおよびOff-Canvasコンポーネントに影響を与える。

【CVE-2024-13217】Jeg Elementor Kitに情報漏洩の脆弱性、Word...

WordPressプラグインのJeg Elementor Kitにおいて、バージョン2.6.11以前に情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが非公開テンプレートデータにアクセス可能となる脆弱性で、CVSSスコアは4.3(MEDIUM)と評価されている。この脆弱性はCVE-2024-13217として識別され、主にCountdownおよびOff-Canvasコンポーネントに影響を与える。

【CVE-2025-20208】Cisco TMSのWeb管理インターフェースにXSS脆弱性、低権限での遠隔攻撃のリスクが発覚

【CVE-2025-20208】Cisco TMSのWeb管理インターフェースにXSS脆弱性、...

Cisco社のTelePresence Management Suite 15.13.6のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-20208として識別されたこの脆弱性は、低権限の遠隔攻撃者による悪意のあるスクリプトコードの実行を可能にする。CVSSスコア4.6の中程度の深刻度と評価され、データの機密性と完全性への影響は限定的だが、早急な対策が求められる。

【CVE-2025-20208】Cisco TMSのWeb管理インターフェースにXSS脆弱性、...

Cisco社のTelePresence Management Suite 15.13.6のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-20208として識別されたこの脆弱性は、低権限の遠隔攻撃者による悪意のあるスクリプトコードの実行を可能にする。CVSSスコア4.6の中程度の深刻度と評価され、データの機密性と完全性への影響は限定的だが、早急な対策が求められる。

【CVE-2025-1324】WP-Recallプラグインにクロスサイトスクリプティングの脆弱性、Contributor権限で攻撃可能に

【CVE-2025-1324】WP-Recallプラグインにクロスサイトスクリプティングの脆弱...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は、プラグインのpublic-formショートコードにおける入力値の検証が不十分であることが原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能となっている。CVSSスコアは6.4(Medium)と評価されており、早急な対応が推奨される。

【CVE-2025-1324】WP-Recallプラグインにクロスサイトスクリプティングの脆弱...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は、プラグインのpublic-formショートコードにおける入力値の検証が不十分であることが原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能となっている。CVSSスコアは6.4(Medium)と評価されており、早急な対応が推奨される。

【CVE-2024-13919】Laravel Frameworkにクロスサイトスクリプティングの脆弱性、デバッグモード時のエラーページに深刻な影響

【CVE-2024-13919】Laravel Frameworkにクロスサイトスクリプティン...

Laravel Framework 11.9.0から11.35.1において、デバッグモードのエラーページでルートパラメータの不適切なエンコーディングに起因するReflected XSSの脆弱性が発見された。CVSS 3.1で深刻度「HIGH」のスコア8.0を記録し、攻撃条件の複雑さは高いものの特権レベルは不要とされている。Laravel Framework v11.36.0で修正済みだが、影響を受けるバージョンを使用している場合は早急なアップデートが推奨される。

【CVE-2024-13919】Laravel Frameworkにクロスサイトスクリプティン...

Laravel Framework 11.9.0から11.35.1において、デバッグモードのエラーページでルートパラメータの不適切なエンコーディングに起因するReflected XSSの脆弱性が発見された。CVSS 3.1で深刻度「HIGH」のスコア8.0を記録し、攻撃条件の複雑さは高いものの特権レベルは不要とされている。Laravel Framework v11.36.0で修正済みだが、影響を受けるバージョンを使用している場合は早急なアップデートが推奨される。

【CVE-2025-2218】LoveCards LoveCardsV2に重大な脆弱性、開発元の対応の遅れが深刻な事態を招く可能性

【CVE-2025-2218】LoveCards LoveCardsV2に重大な脆弱性、開発元...

LoveCards LoveCardsV2 2.3.2以前のバージョンで、設定ハンドラーコンポーネントに重大な脆弱性が発見された。不適切なアクセス制御により、リモートからの攻撃が可能で認証バイパスのリスクがある。開発元は早期に通知を受けていたが対応せず、exploit情報が公開され悪用の危険性が高まっている。CVSSスコアは最大6.9を記録し、直ちに対策が必要な状況だ。

【CVE-2025-2218】LoveCards LoveCardsV2に重大な脆弱性、開発元...

LoveCards LoveCardsV2 2.3.2以前のバージョンで、設定ハンドラーコンポーネントに重大な脆弱性が発見された。不適切なアクセス制御により、リモートからの攻撃が可能で認証バイパスのリスクがある。開発元は早期に通知を受けていたが対応せず、exploit情報が公開され悪用の危険性が高まっている。CVSSスコアは最大6.9を記録し、直ちに対策が必要な状況だ。

【CVE-2025-2217】zzskzy Warehouse Refinement Management System 1.3にSQLインジェクションの脆弱性、リモート攻撃のリスクで早急な対応が必要

【CVE-2025-2217】zzskzy Warehouse Refinement Mana...

VulDBは2025年3月12日、zzskzy Warehouse Refinement Management System 1.3のgetAdyData.ashxファイルのProcessRequest機能に重大な脆弱性を報告した。showid引数の操作によるSQLインジェクションが可能で、リモートからの攻撃実行のリスクがある。既にエクスプロイトコードが公開されており、CVSS 4.0で5.3、CVSS 3.1と3.0で6.3のミディアムレベルと評価されている。

【CVE-2025-2217】zzskzy Warehouse Refinement Mana...

VulDBは2025年3月12日、zzskzy Warehouse Refinement Management System 1.3のgetAdyData.ashxファイルのProcessRequest機能に重大な脆弱性を報告した。showid引数の操作によるSQLインジェクションが可能で、リモートからの攻撃実行のリスクがある。既にエクスプロイトコードが公開されており、CVSS 4.0で5.3、CVSS 3.1と3.0で6.3のミディアムレベルと評価されている。

【CVE-2025-2220】Odyssey CMS 10.34以下のreCAPTCHA機能に脆弱性、開発元の対応の遅れが課題に

【CVE-2025-2220】Odyssey CMS 10.34以下のreCAPTCHA機能に...

Odyssey CMS 10.34以下のバージョンにおいて、reCAPTCHA機能に関連する重大な脆弱性が発見された。この脆弱性はキー管理エラーに分類され、ローカルアクセスを通じた攻撃が可能な状態となっている。CVSS v4.0で中程度の4.8と評価されており、特に認証システムのセキュリティに影響を与える可能性がある。開発元のOdysseyは早期に通知を受けていたにも関わらず、現時点で対応を行っていない状況が続いている。

【CVE-2025-2220】Odyssey CMS 10.34以下のreCAPTCHA機能に...

Odyssey CMS 10.34以下のバージョンにおいて、reCAPTCHA機能に関連する重大な脆弱性が発見された。この脆弱性はキー管理エラーに分類され、ローカルアクセスを通じた攻撃が可能な状態となっている。CVSS v4.0で中程度の4.8と評価されており、特に認証システムのセキュリティに影響を与える可能性がある。開発元のOdysseyは早期に通知を受けていたにも関わらず、現時点で対応を行っていない状況が続いている。

【CVE-2025-29782】WeGIAに格納型XSS脆弱性が発見、バージョン3.2.17で修正パッチを提供

【CVE-2025-29782】WeGIAに格納型XSS脆弱性が発見、バージョン3.2.17で...

慈善団体向けWebマネージャーWeGIAにおいて、adicionar_tipo_docs_atendido.phpのtipoパラメータに格納型XSS脆弱性が発見された。CVSSスコア6.4のミディアムレベルの脆弱性として評価され、バージョン3.2.17未満が影響を受ける。開発元のLabRedesCefetRJは3.2.17で修正パッチを提供しており、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-29782】WeGIAに格納型XSS脆弱性が発見、バージョン3.2.17で...

慈善団体向けWebマネージャーWeGIAにおいて、adicionar_tipo_docs_atendido.phpのtipoパラメータに格納型XSS脆弱性が発見された。CVSSスコア6.4のミディアムレベルの脆弱性として評価され、バージョン3.2.17未満が影響を受ける。開発元のLabRedesCefetRJは3.2.17で修正パッチを提供しており、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-1526】DethemeKit for Elementorにクロスサイトスクリプティングの脆弱性が発見、早急な対応が必要に

【CVE-2025-1526】DethemeKit for Elementorにクロスサイトス...

WordPressプラグインDethemeKit for Elementorのバージョン2.1.9以前に、認証済みユーザーによって悪用可能なクロスサイトスクリプティングの脆弱性が発見された。De Product Display Widgetのカウントダウン機能における入力値の検証とエスケープ処理が不十分なことが原因で、任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-1526】DethemeKit for Elementorにクロスサイトス...

WordPressプラグインDethemeKit for Elementorのバージョン2.1.9以前に、認証済みユーザーによって悪用可能なクロスサイトスクリプティングの脆弱性が発見された。De Product Display Widgetのカウントダウン機能における入力値の検証とエスケープ処理が不十分なことが原因で、任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-2383】PHPGurukul Doctor Appointment Management Systemにおける重大なSQL注入の脆弱性が発見、医療データの漏洩リスクに警鐘

【CVE-2025-2383】PHPGurukul Doctor Appointment Ma...

PHPGurukul Doctor Appointment Management System 1.0において、search.phpファイルのsearchdataパラメータを介したSQL注入の脆弱性が発見された。CVE-2025-2383として登録されたこの脆弱性は、CVSSスコア7.3(High)と評価され、特別な権限なしでリモートから攻撃が可能である。既に一般公開されており、医療機関の患者データが危険にさらされる可能性があるため、早急な対策が求められている。

【CVE-2025-2383】PHPGurukul Doctor Appointment Ma...

PHPGurukul Doctor Appointment Management System 1.0において、search.phpファイルのsearchdataパラメータを介したSQL注入の脆弱性が発見された。CVE-2025-2383として登録されたこの脆弱性は、CVSSスコア7.3(High)と評価され、特別な権限なしでリモートから攻撃が可能である。既に一般公開されており、医療機関の患者データが危険にさらされる可能性があるため、早急な対策が求められている。

【CVE-2025-29425】Online Class and Exam Scheduling Systemに深刻な脆弱性、教育現場のセキュリティに警鐘

【CVE-2025-29425】Online Class and Exam Schedulin...

MITREがOnline Class and Exam Scheduling System 1.0におけるSQLインジェクションの脆弱性(CVE-2025-29425)を公開。exam_save.phpのmemberとfirstパラメータに存在し、CVSSスコア5.5(Medium)と評価される。CISAの調査で自動化された攻撃が可能であることが判明し、教育機関のデータセキュリティに深刻な影響を及ぼす可能性が指摘されている。

【CVE-2025-29425】Online Class and Exam Schedulin...

MITREがOnline Class and Exam Scheduling System 1.0におけるSQLインジェクションの脆弱性(CVE-2025-29425)を公開。exam_save.phpのmemberとfirstパラメータに存在し、CVSSスコア5.5(Medium)と評価される。CISAの調査で自動化された攻撃が可能であることが判明し、教育機関のデータセキュリティに深刻な影響を及ぼす可能性が指摘されている。

【CVE-2025-29430】Online Class and Exam Scheduling Systemに深刻な脆弱性、教育現場のセキュリティに警鐘

【CVE-2025-29430】Online Class and Exam Schedulin...

MITREが教育機関向けシステム「Online Class and Exam Scheduling System V1.0」においてクロスサイトスクリプティング(XSS)の脆弱性を確認。CVE-2025-29430として識別され、CISAの評価では自動化可能な攻撃手法の存在が指摘されている。CVSSスコア4.1のMEDIUMレベルと評価され、早急な対応が求められている。

【CVE-2025-29430】Online Class and Exam Schedulin...

MITREが教育機関向けシステム「Online Class and Exam Scheduling System V1.0」においてクロスサイトスクリプティング(XSS)の脆弱性を確認。CVE-2025-29430として識別され、CISAの評価では自動化可能な攻撃手法の存在が指摘されている。CVSSスコア4.1のMEDIUMレベルと評価され、早急な対応が求められている。

【CVE-2025-2386】PHPGurukul Local Services Search Engine Management Systemに深刻な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

【CVE-2025-29429】教育機関向けOnline Class and Exam Scheduling System V1.0にXSS脆弱性、早急な対応が必要に

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆弱性、管理者権限で任意のログファイル削除が可能に

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。