Tech Insights

PHPGurukul Art Gallery Management System 1.0のSQLインジェクション脆弱性CVE-2025-4013が公開され、迅速な対応が必要

PHPGurukul Art Gallery Management System 1.0のSQ...

2025年4月28日、VulDBはPHPGurukul Art Gallery Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4013を公開した。/admin/aboutus.phpのpagetitle引数の操作が攻撃経路となり、リモートからの攻撃が可能である。深刻度はHIGHに分類され、早急なアップデートまたはパッチ適用が必要だ。

PHPGurukul Art Gallery Management System 1.0のSQ...

2025年4月28日、VulDBはPHPGurukul Art Gallery Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4013を公開した。/admin/aboutus.phpのpagetitle引数の操作が攻撃経路となり、リモートからの攻撃が可能である。深刻度はHIGHに分類され、早急なアップデートまたはパッチ適用が必要だ。

PHPGurukul Art Gallery Management System 1.0のSQLインジェクション脆弱性CVE-2025-4014が公開され、迅速な対策が必要

PHPGurukul Art Gallery Management System 1.0のSQ...

2025年4月28日、VulDBはPHPGurukul Art Gallery Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4014を公開した。`/admin/manage-art-medium.php`の`artmed`引数を悪用したリモート攻撃が可能で、データベースへの不正アクセスなどのリスクがある。CVSSスコアは6.9~7.5と高く、迅速な対策が必要だ。

PHPGurukul Art Gallery Management System 1.0のSQ...

2025年4月28日、VulDBはPHPGurukul Art Gallery Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4014を公開した。`/admin/manage-art-medium.php`の`artmed`引数を悪用したリモート攻撃が可能で、データベースへの不正アクセスなどのリスクがある。CVSSスコアは6.9~7.5と高く、迅速な対策が必要だ。

PHPGurukul Timetable Generator System v1.0のXSS脆弱性CVE-2025-45007が公開

PHPGurukul Timetable Generator System v1.0のXSS脆...

MITRE Corporationは2025年4月30日、PHPGurukul Timetable Generator System v1.0における反射型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-45007を公開した。adminname POSTリクエストパラメータを悪用し、任意のJavaScriptコードを実行できる。ユーザーは速やかに対策を行うべきだ。CVSSスコアは4.8で深刻度はMEDIUM。

PHPGurukul Timetable Generator System v1.0のXSS脆...

MITRE Corporationは2025年4月30日、PHPGurukul Timetable Generator System v1.0における反射型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-45007を公開した。adminname POSTリクエストパラメータを悪用し、任意のJavaScriptコードを実行できる。ユーザーは速やかに対策を行うべきだ。CVSSスコアは4.8で深刻度はMEDIUM。

PHPGurukul Student Record System 3.20のSQLインジェクション脆弱性CVE-2025-4073が公開、迅速な対策が必要

PHPGurukul Student Record System 3.20のSQLインジェクシ...

PHPGurukul Student Record System 3.20において、change-password.phpファイルにSQLインジェクション脆弱性CVE-2025-4073が発見された。CVSSスコアは6.9と7.3で、リモートからの攻撃が可能だ。QKset (VulDB User)の報告を受け、VulDB(VDB-306510)に登録されている。早急なアップデートが求められる。

PHPGurukul Student Record System 3.20のSQLインジェクシ...

PHPGurukul Student Record System 3.20において、change-password.phpファイルにSQLインジェクション脆弱性CVE-2025-4073が発見された。CVSSスコアは6.9と7.3で、リモートからの攻撃が可能だ。QKset (VulDB User)の報告を受け、VulDB(VDB-306510)に登録されている。早急なアップデートが求められる。

PHPGurukul Student Record System 3.20で深刻なSQLインジェクション脆弱性CVE-2025-4112が発覚、迅速な対応が必要

PHPGurukul Student Record System 3.20で深刻なSQLインジ...

PHPGurukul Student Record System 3.20において、add-course.phpファイルにSQLインジェクション脆弱性CVE-2025-4112が発見された。リモートから悪用可能で、データ漏洩や改ざんのリスクがある。CVSSスコアは6.9(MEDIUM)だが、他の指標ではHIGHレベルの深刻度を示す。ユーザーは速やかにアップデートを行うべきだ。

PHPGurukul Student Record System 3.20で深刻なSQLインジ...

PHPGurukul Student Record System 3.20において、add-course.phpファイルにSQLインジェクション脆弱性CVE-2025-4112が発見された。リモートから悪用可能で、データ漏洩や改ざんのリスクがある。CVSSスコアは6.9(MEDIUM)だが、他の指標ではHIGHレベルの深刻度を示す。ユーザーは速やかにアップデートを行うべきだ。

PHPGurukul Student Record System 3.20に深刻なSQLインジェクション脆弱性CVE-2025-4108が発見される

PHPGurukul Student Record System 3.20に深刻なSQLインジ...

PHPGurukul Student Record System 3.20において、リモートから悪用可能なSQLインジェクション脆弱性CVE-2025-4108が発見された。add-subject.phpファイルの引数sub1を操作することで攻撃が可能であり、CVSSスコアは7.3(HIGH)と評価されている。迅速な対応が必要だ。

PHPGurukul Student Record System 3.20に深刻なSQLインジ...

PHPGurukul Student Record System 3.20において、リモートから悪用可能なSQLインジェクション脆弱性CVE-2025-4108が発見された。add-subject.phpファイルの引数sub1を操作することで攻撃が可能であり、CVSSスコアは7.3(HIGH)と評価されている。迅速な対応が必要だ。

PHPGurukul Rail Pass Management System 1.0のSQLインジェクション脆弱性CVE-2025-4070が公開され、迅速な対応が必要

PHPGurukul Rail Pass Management System 1.0のSQLイ...

2025年4月29日、VulDBはPHPGurukul Rail Pass Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4070を公開した。`/admin/changeimage.php`の`editid`引数の操作により、リモート攻撃が可能で、データ改ざんなどの被害につながる可能性がある。CVSSスコアは6.9~7.5と高く、迅速な対応が必要だ。VulDBのウェブサイトで詳細を確認できる。

PHPGurukul Rail Pass Management System 1.0のSQLイ...

2025年4月29日、VulDBはPHPGurukul Rail Pass Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4070を公開した。`/admin/changeimage.php`の`editid`引数の操作により、リモート攻撃が可能で、データ改ざんなどの被害につながる可能性がある。CVSSスコアは6.9~7.5と高く、迅速な対応が必要だ。VulDBのウェブサイトで詳細を確認できる。

PHPGurukul Pre-School Enrollment System 1.0のSQLインジェクション脆弱性CVE-2025-4109が公開

PHPGurukul Pre-School Enrollment System 1.0のSQL...

2025年4月30日、PHPGurukul Pre-School Enrollment System 1.0において、CVE-2025-4109として識別される深刻なSQLインジェクション脆弱性が公開された。edit-subadmin.phpファイルのmobilenumber引数を悪用することで、リモートから攻撃が可能となる。CVSSスコアは5.3(MEDIUM)と評価されており、迅速な対策が必要だ。VulDBに詳細な情報が公開されている。

PHPGurukul Pre-School Enrollment System 1.0のSQL...

2025年4月30日、PHPGurukul Pre-School Enrollment System 1.0において、CVE-2025-4109として識別される深刻なSQLインジェクション脆弱性が公開された。edit-subadmin.phpファイルのmobilenumber引数を悪用することで、リモートから攻撃が可能となる。CVSSスコアは5.3(MEDIUM)と評価されており、迅速な対策が必要だ。VulDBに詳細な情報が公開されている。

PHPGurukul Pre-School Enrollment System 1.0のSQLインジェクション脆弱性CVE-2025-4110が公開され、迅速な対応が必要

PHPGurukul Pre-School Enrollment System 1.0のSQL...

2025年4月30日、PHPGurukul Pre-School Enrollment System 1.0において、SQLインジェクション脆弱性CVE-2025-4110がVulDBにより公開された。`/admin/edit-teacher.php`の`mobilenumber`引数を悪用したリモート攻撃が可能で、CVSSスコアは5.3(MEDIUM)と評価されている。迅速なシステムアップデートが求められる。

PHPGurukul Pre-School Enrollment System 1.0のSQL...

2025年4月30日、PHPGurukul Pre-School Enrollment System 1.0において、SQLインジェクション脆弱性CVE-2025-4110がVulDBにより公開された。`/admin/edit-teacher.php`の`mobilenumber`引数を悪用したリモート攻撃が可能で、CVSSスコアは5.3(MEDIUM)と評価されている。迅速なシステムアップデートが求められる。

PHPGurukul Park Ticketing Management System v2.0のXSS脆弱性CVE-2025-45015が公開、迅速な対策が必要

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-45015を公開した。`foreigner-bwdates-reports-details.php`ファイルの`fromdate`と`todate`パラメータが原因で、リモート攻撃者は任意のJavaScriptコードを注入可能。CVSSスコアは6.1(MEDIUM)で、バージョン2.0.3で修正済み。迅速な対策が必要だ。

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-45015を公開した。`foreigner-bwdates-reports-details.php`ファイルの`fromdate`と`todate`パラメータが原因で、リモート攻撃者は任意のJavaScriptコードを注入可能。CVSSスコアは6.1(MEDIUM)で、バージョン2.0.3で修正済み。迅速な対策が必要だ。

PHPGurukul Park Ticketing Management System v2.0の深刻なSQLインジェクション脆弱性CVE-2025-45017が公開

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0における深刻なSQLインジェクション脆弱性CVE-2025-45017を公開した。CVSSスコア9.8と評価され、リモート攻撃者が任意のコードを実行できる。迅速なパッチ適用が強く推奨される。CISA-ADPによる2025年5月6日の更新情報も参照のこと。

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0における深刻なSQLインジェクション脆弱性CVE-2025-45017を公開した。CVSSスコア9.8と評価され、リモート攻撃者が任意のコードを実行できる。迅速なパッチ適用が強く推奨される。CISA-ADPによる2025年5月6日の更新情報も参照のこと。

OpenHarmony v5.0.3以前の脆弱性CVE-2025-27132公開、ローカル攻撃者による任意コード実行の可能性

OpenHarmony v5.0.3以前の脆弱性CVE-2025-27132公開、ローカル攻撃...

OpenHarmonyは2025年5月6日、Arkcompiler_ets_runtimeにおける境界外書き込み脆弱性CVE-2025-27132を発表した。v4.1.0~v5.0.3が影響を受け、ローカル攻撃者による任意コード実行の可能性がある。迅速なアップデートが推奨される。詳細情報は公式セキュリティ情報を確認のこと。

OpenHarmony v5.0.3以前の脆弱性CVE-2025-27132公開、ローカル攻撃...

OpenHarmonyは2025年5月6日、Arkcompiler_ets_runtimeにおける境界外書き込み脆弱性CVE-2025-27132を発表した。v4.1.0~v5.0.3が影響を受け、ローカル攻撃者による任意コード実行の可能性がある。迅速なアップデートが推奨される。詳細情報は公式セキュリティ情報を確認のこと。

NTT西日本グループ、サイバーセキュリティ支援サービス「Cybersecurity Primary Care」開始

NTT西日本グループ、サイバーセキュリティ支援サービス「Cybersecurity Prima...

NTT西日本グループは2025年5月より、自治体や企業向けのサイバーセキュリティ支援サービス「Cybersecurity Primary Care」を開始した。医療のプライマリ・ケアの考え方を応用し、セキュリティ診断、ASM、SOCなど総合的な支援を提供する。段階的にサービスを拡充し、地域社会のセキュリティレベル向上を目指す。専門知識がなくても安心して利用できる点が特徴だ。

NTT西日本グループ、サイバーセキュリティ支援サービス「Cybersecurity Prima...

NTT西日本グループは2025年5月より、自治体や企業向けのサイバーセキュリティ支援サービス「Cybersecurity Primary Care」を開始した。医療のプライマリ・ケアの考え方を応用し、セキュリティ診断、ASM、SOCなど総合的な支援を提供する。段階的にサービスを拡充し、地域社会のセキュリティレベル向上を目指す。専門知識がなくても安心して利用できる点が特徴だ。

201206030 novel-cloud 1.4.0のSQLインジェクション脆弱性CVE-2025-3956が公開、ベンダーは対応せず

201206030 novel-cloud 1.4.0のSQLインジェクション脆弱性CVE-2...

2025年4月27日、VulDBは201206030 novel-cloud 1.4.0における深刻なSQLインジェクション脆弱性CVE-2025-3956を公開した。BookInfoMapper.xmlのRestResp関数が影響を受け、リモート攻撃が可能だ。CVSSv3/v4スコアはそれぞれ6.3/5.3(MEDIUM)で、ベンダーは対応していない。迅速な対策が必要だ。

201206030 novel-cloud 1.4.0のSQLインジェクション脆弱性CVE-2...

2025年4月27日、VulDBは201206030 novel-cloud 1.4.0における深刻なSQLインジェクション脆弱性CVE-2025-3956を公開した。BookInfoMapper.xmlのRestResp関数が影響を受け、リモート攻撃が可能だ。CVSSv3/v4スコアはそれぞれ6.3/5.3(MEDIUM)で、ベンダーは対応していない。迅速な対策が必要だ。

NordVPN、LinuxアプリにGUIを追加 使いやすさとセキュリティを両立

NordVPN、LinuxアプリにGUIを追加 使いやすさとセキュリティを両立

NordVPNは2025年5月14日、Linuxアプリに完全なGUIを追加したアップデートをリリースした。直感的な操作性と視覚的に豊かな要素を提供し、コマンド不要でVPN接続の設定や管理が可能になった。ポスト量子暗号化やNordWhisperにも対応し、セキュリティも強化されている。既存のCLIベースのバージョンも引き続きサポートされる。

NordVPN、LinuxアプリにGUIを追加 使いやすさとセキュリティを両立

NordVPNは2025年5月14日、Linuxアプリに完全なGUIを追加したアップデートをリリースした。直感的な操作性と視覚的に豊かな要素を提供し、コマンド不要でVPN接続の設定や管理が可能になった。ポスト量子暗号化やNordWhisperにも対応し、セキュリティも強化されている。既存のCLIベースのバージョンも引き続きサポートされる。

Netgear JWNR2000v2バージョン1.0.0.11のコマンドインジェクション脆弱性CVE-2025-4122が公開、深刻なセキュリティリスク

Netgear JWNR2000v2バージョン1.0.0.11のコマンドインジェクション脆弱性...

2025年4月30日、VulDBはNetgear JWNR2000v2バージョン1.0.0.11におけるコマンドインジェクション脆弱性CVE-2025-4122を公開した。この脆弱性は、sub_435E04関数のhost引数の操作によって発生し、リモートからの攻撃が可能だ。Netgear社は連絡を受けたものの対応しておらず、ユーザーは迅速な対策が必要となる。VulDBのウェブサイトで詳細を確認できる。

Netgear JWNR2000v2バージョン1.0.0.11のコマンドインジェクション脆弱性...

2025年4月30日、VulDBはNetgear JWNR2000v2バージョン1.0.0.11におけるコマンドインジェクション脆弱性CVE-2025-4122を公開した。この脆弱性は、sub_435E04関数のhost引数の操作によって発生し、リモートからの攻撃が可能だ。Netgear社は連絡を受けたものの対応しておらず、ユーザーは迅速な対策が必要となる。VulDBのウェブサイトで詳細を確認できる。

MDaemon Email Server 25.0.1以前のXSS脆弱性CVE-2025-3929が公開、迅速なアップデートが必要

MDaemon Email Server 25.0.1以前のXSS脆弱性CVE-2025-39...

ESET社は2025年4月29日、MDaemon Email Serverバージョン25.0.1以前における保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-3929を発表した。攻撃者は細工されたHTMLメールで任意のJavaScriptコードを実行し、ユーザーデータにアクセスできる可能性がある。CVSSスコアは5.3(MEDIUM)。25.0.2以降では修正済みだ。迅速なアップデートが推奨される。

MDaemon Email Server 25.0.1以前のXSS脆弱性CVE-2025-39...

ESET社は2025年4月29日、MDaemon Email Serverバージョン25.0.1以前における保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-3929を発表した。攻撃者は細工されたHTMLメールで任意のJavaScriptコードを実行し、ユーザーデータにアクセスできる可能性がある。CVSSスコアは5.3(MEDIUM)。25.0.2以降では修正済みだ。迅速なアップデートが推奨される。

Linksys E5600 v1.1.0.26ルーターにおけるコマンドインジェクション脆弱性CVE-2025-45490が公開

Linksys E5600 v1.1.0.26ルーターにおけるコマンドインジェクション脆弱性C...

MITRE Corporationは2025年5月6日、Linksys E5600 v1.1.0.26ルーターのパスワードパラメータを介したコマンドインジェクション脆弱性CVE-2025-45490を発表した。この脆弱性は、攻撃者が任意のコマンドを実行できる可能性があり、深刻なセキュリティリスクとなる。ユーザーは、速やかにファームウェアのアップデートを行うか、ルーターを交換することが推奨される。

Linksys E5600 v1.1.0.26ルーターにおけるコマンドインジェクション脆弱性C...

MITRE Corporationは2025年5月6日、Linksys E5600 v1.1.0.26ルーターのパスワードパラメータを介したコマンドインジェクション脆弱性CVE-2025-45490を発表した。この脆弱性は、攻撃者が任意のコマンドを実行できる可能性があり、深刻なセキュリティリスクとなる。ユーザーは、速やかにファームウェアのアップデートを行うか、ルーターを交換することが推奨される。

iteachyou Dreamer CMSの脆弱性CVE-2025-3977公開、不正認可のリスクと対策

iteachyou Dreamer CMSの脆弱性CVE-2025-3977公開、不正認可のリ...

2025年4月27日、iteachyou Dreamer CMSバージョン4.1.3以前における深刻な脆弱性CVE-2025-3977がVulDBにより公開された。`/admin/attachment/download`ファイルのID引数を操作することで、リモートから不正認可が可能となる。ベンダーは対応しておらず、ユーザーは速やかにアップデートまたは代替策を検討する必要がある。CVSSスコアは5.3(高)と評価されている。

iteachyou Dreamer CMSの脆弱性CVE-2025-3977公開、不正認可のリ...

2025年4月27日、iteachyou Dreamer CMSバージョン4.1.3以前における深刻な脆弱性CVE-2025-3977がVulDBにより公開された。`/admin/attachment/download`ファイルのID引数を操作することで、リモートから不正認可が可能となる。ベンダーは対応しておらず、ユーザーは速やかにアップデートまたは代替策を検討する必要がある。CVSSスコアは5.3(高)と評価されている。

IPW Systems Metazoの脆弱性CVE-2025-46661が公開、リモートコード実行の危険性

IPW Systems Metazoの脆弱性CVE-2025-46661が公開、リモートコード...

2025年4月28日、MITRE CorporationはIPW Systems Metazoバージョン8.1.3以前における深刻な脆弱性CVE-2025-46661を公開した。未認証のリモートコード実行が可能で、CVSSスコアは10.0(CRITICAL)と評価されている。IPW Systemsは全てのインスタンスにパッチを適用済みと発表しているが、迅速なアップデートが推奨される。サーバサイドテンプレートインジェクション(SSTI)が原因だ。

IPW Systems Metazoの脆弱性CVE-2025-46661が公開、リモートコード...

2025年4月28日、MITRE CorporationはIPW Systems Metazoバージョン8.1.3以前における深刻な脆弱性CVE-2025-46661を公開した。未認証のリモートコード実行が可能で、CVSSスコアは10.0(CRITICAL)と評価されている。IPW Systemsは全てのインスタンスにパッチを適用済みと発表しているが、迅速なアップデートが推奨される。サーバサイドテンプレートインジェクション(SSTI)が原因だ。

inclusionAI AWorldの深刻な脆弱性CVE-2025-4032が公開、OSコマンドインジェクションのリスク

inclusionAI AWorldの深刻な脆弱性CVE-2025-4032が公開、OSコマン...

2025年4月28日、inclusionAI AWorldに存在する深刻な脆弱性CVE-2025-4032がVulDBにより公開された。この脆弱性は、shell_tool.pyファイルのsubprocess.run/subprocess.Popen関数におけるOSコマンドインジェクションであり、リモートからの攻撃が可能で、深刻度レベルはクリティカルと評価されている。バージョン管理が行われていないため、影響を受けるバージョンは不明だが、全てのユーザーは注意が必要だ。

inclusionAI AWorldの深刻な脆弱性CVE-2025-4032が公開、OSコマン...

2025年4月28日、inclusionAI AWorldに存在する深刻な脆弱性CVE-2025-4032がVulDBにより公開された。この脆弱性は、shell_tool.pyファイルのsubprocess.run/subprocess.Popen関数におけるOSコマンドインジェクションであり、リモートからの攻撃が可能で、深刻度レベルはクリティカルと評価されている。バージョン管理が行われていないため、影響を受けるバージョンは不明だが、全てのユーザーは注意が必要だ。

IBMとOracleがwatsonxとOCI連携を発表、エージェント型AIとハイブリッドクラウド推進

IBMとOracleがwatsonxとOCI連携を発表、エージェント型AIとハイブリッドクラウド推進

IBMとOracleは、IBMのAI製品ポートフォリオwatsonxをOracle Cloud Infrastructure(OCI)で提供開始すると発表した。watsonx Orchestrateは7月からOCIで利用可能になり、マルチエージェントワークフローをサポートする。IBM GraniteモデルもOCI Data Scienceで提供予定だ。この提携は、エージェント型AIとハイブリッドクラウドの推進を加速させるだろう。

IBMとOracleがwatsonxとOCI連携を発表、エージェント型AIとハイブリッドクラウド推進

IBMとOracleは、IBMのAI製品ポートフォリオwatsonxをOracle Cloud Infrastructure(OCI)で提供開始すると発表した。watsonx Orchestrateは7月からOCIで利用可能になり、マルチエージェントワークフローをサポートする。IBM GraniteモデルもOCI Data Scienceで提供予定だ。この提携は、エージェント型AIとハイブリッドクラウドの推進を加速させるだろう。

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8.0へのアップデートを推奨

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8...

Fortra社は2025年4月28日、GoAnywhereバージョン7.8.0以前における脆弱性CVE-2025-0049を公開した。エラーメッセージに絶対サーバーパスが含まれる脆弱性で、深刻度はLOWだが、迅速なアップデートが推奨される。本脆弱性により、アプリケーションマッピングのためのファジング攻撃が可能となる可能性があるため、注意が必要だ。

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8...

Fortra社は2025年4月28日、GoAnywhereバージョン7.8.0以前における脆弱性CVE-2025-0049を公開した。エラーメッセージに絶対サーバーパスが含まれる脆弱性で、深刻度はLOWだが、迅速なアップデートが推奨される。本脆弱性により、アプリケーションマッピングのためのファジング攻撃が可能となる可能性があるため、注意が必要だ。

Dell Storage Managerの脆弱性CVE-2025-22479公開、パス・トラバーサルによるスクリプトインジェクションリスク

Dell Storage Managerの脆弱性CVE-2025-22479公開、パス・トラバ...

Dell EMCは2025年5月6日、Dell Storage Center - Dell Storage Managerにおけるパス・トラバーサル脆弱性CVE-2025-22479を公開した。2020 R1.21より前のバージョンが影響を受け、隣接ネットワークからの未認証攻撃でスクリプトインジェクションのリスクがある。CVSSスコアは3.5で、迅速なアップデートが必要だ。

Dell Storage Managerの脆弱性CVE-2025-22479公開、パス・トラバ...

Dell EMCは2025年5月6日、Dell Storage Center - Dell Storage Managerにおけるパス・トラバーサル脆弱性CVE-2025-22479を公開した。2020 R1.21より前のバージョンが影響を受け、隣接ネットワークからの未認証攻撃でスクリプトインジェクションのリスクがある。CVSSスコアは3.5で、迅速なアップデートが必要だ。

レノボ、AMD Ryzen AI PRO搭載ThinkPad Pシリーズ2機種を発表、AI処理能力と拡張性を両立

レノボ、AMD Ryzen AI PRO搭載ThinkPad Pシリーズ2機種を発表、AI処理...

レノボは、AMD Ryzen AI PROプロセッサーを搭載したモバイルワークステーションThinkPad P14s Gen 6 AMDとThinkPad P16s Gen 4 AMDを発表した。50 TOPSのNPU性能でAIタスクを高速処理、ユーザー交換可能なバッテリーとメモリ増設にも対応。14型と16型の2サイズ展開で、個人ユーザーから大企業まで幅広いニーズに対応する。2025年5月13日と16日に発売予定だ。

レノボ、AMD Ryzen AI PRO搭載ThinkPad Pシリーズ2機種を発表、AI処理...

レノボは、AMD Ryzen AI PROプロセッサーを搭載したモバイルワークステーションThinkPad P14s Gen 6 AMDとThinkPad P16s Gen 4 AMDを発表した。50 TOPSのNPU性能でAIタスクを高速処理、ユーザー交換可能なバッテリーとメモリ増設にも対応。14型と16型の2サイズ展開で、個人ユーザーから大企業まで幅広いニーズに対応する。2025年5月13日と16日に発売予定だ。

Dell PowerProtect Data Manager Reportingの脆弱性CVE-2025-23376が公開、情報漏洩リスク

Dell PowerProtect Data Manager Reportingの脆弱性CVE...

Dell EMCは2025年4月28日、Dell PowerProtect Data Manager Reporting バージョン19.16、19.17、19.18における脆弱性CVE-2025-23376を公開した。ローカルアクセスを持つ高権限の攻撃者による情報漏洩の可能性があり、Dellはセキュリティアップデートを提供している。CVSSスコアは2.3だが、影響を受けるユーザーは速やかにアップデートを実施すべきだ。

Dell PowerProtect Data Manager Reportingの脆弱性CVE...

Dell EMCは2025年4月28日、Dell PowerProtect Data Manager Reporting バージョン19.16、19.17、19.18における脆弱性CVE-2025-23376を公開した。ローカルアクセスを持つ高権限の攻撃者による情報漏洩の可能性があり、Dellはセキュリティアップデートを提供している。CVSSスコアは2.3だが、影響を受けるユーザーは速やかにアップデートを実施すべきだ。

D-Link DIR-890L/DIR-806A1ルーターの深刻な脆弱性CVE-2025-4340が公開、リモートコマンドインジェクションが可能に

D-Link DIR-890L/DIR-806A1ルーターの深刻な脆弱性CVE-2025-43...

D-Link DIR-890LとDIR-806A1ルーターの深刻な脆弱性CVE-2025-4340がVulDBにより公開された。soap.cgiファイルのsub_175C8関数にコマンドインジェクションの脆弱性が存在し、リモートから攻撃が可能だ。100CNb11および108B03バージョンまでの製品が影響を受け、サポート終了製品であるためメーカーによるパッチ提供は期待できない。ユーザーは早急な対策が必要となる。

D-Link DIR-890L/DIR-806A1ルーターの深刻な脆弱性CVE-2025-43...

D-Link DIR-890LとDIR-806A1ルーターの深刻な脆弱性CVE-2025-4340がVulDBにより公開された。soap.cgiファイルのsub_175C8関数にコマンドインジェクションの脆弱性が存在し、リモートから攻撃が可能だ。100CNb11および108B03バージョンまでの製品が影響を受け、サポート終了製品であるためメーカーによるパッチ提供は期待できない。ユーザーは早急な対策が必要となる。

Cloudflareがworkers-oauth-providerの脆弱性CVE-2025-4143を修正、OAuth実装のセキュリティ強化

Cloudflareがworkers-oauth-providerの脆弱性CVE-2025-4...

Cloudflareは2025年5月1日、workers-oauth-providerにおけるOAuth実装の脆弱性CVE-2025-4143を修正したと発表した。この脆弱性により、攻撃者はredirect_uriの検証不足を悪用して、被害者の認証情報を窃取する可能性があった。修正プログラムはGitHubで公開されており、影響を受けるユーザーは速やかにアップデートを行う必要がある。OAuthセキュリティの重要性を改めて認識させる出来事だ。

Cloudflareがworkers-oauth-providerの脆弱性CVE-2025-4...

Cloudflareは2025年5月1日、workers-oauth-providerにおけるOAuth実装の脆弱性CVE-2025-4143を修正したと発表した。この脆弱性により、攻撃者はredirect_uriの検証不足を悪用して、被害者の認証情報を窃取する可能性があった。修正プログラムはGitHubで公開されており、影響を受けるユーザーは速やかにアップデートを行う必要がある。OAuthセキュリティの重要性を改めて認識させる出来事だ。

baseweb JSite 1.0のクロスサイトスクリプティング脆弱性CVE-2025-3970が公開、迅速な対策が必要

baseweb JSite 1.0のクロスサイトスクリプティング脆弱性CVE-2025-397...

2025年4月27日、VulDBはbaseweb JSiteバージョン1.0までのソフトウェアに存在するクロスサイトスクリプティング脆弱性CVE-2025-3970を公開した。`/sys/office/save`ファイルの`Remarks`引数の操作が原因で、リモートからの攻撃が可能。CVSSv4スコアは5.1(MEDIUM)と評価され、ユーザーは速やかなバージョンアップまたは対策が必要だ。

baseweb JSite 1.0のクロスサイトスクリプティング脆弱性CVE-2025-397...

2025年4月27日、VulDBはbaseweb JSiteバージョン1.0までのソフトウェアに存在するクロスサイトスクリプティング脆弱性CVE-2025-3970を公開した。`/sys/office/save`ファイルの`Remarks`引数の操作が原因で、リモートからの攻撃が可能。CVSSv4スコアは5.1(MEDIUM)と評価され、ユーザーは速やかなバージョンアップまたは対策が必要だ。

Mydata Informatics Ticket Sales Automationの深刻なSQLインジェクション脆弱性CVE-2025-2812が公開

Mydata Informatics Ticket Sales Automationの深刻なS...

トルコのTR-CERTは、Mydata Informatics社のTicket Sales AutomationにおけるクリティカルなSQLインジェクション脆弱性CVE-2025-2812を2025年5月2日に公開した。2025年4月3日以前のバージョンの製品に影響し、Blind SQL Injectionによるデータ漏洩のリスクがある。迅速なアップデートが求められる。

Mydata Informatics Ticket Sales Automationの深刻なS...

トルコのTR-CERTは、Mydata Informatics社のTicket Sales AutomationにおけるクリティカルなSQLインジェクション脆弱性CVE-2025-2812を2025年5月2日に公開した。2025年4月3日以前のバージョンの製品に影響し、Blind SQL Injectionによるデータ漏洩のリスクがある。迅速なアップデートが求められる。