Tech Insights

MozillaがThunderbirdのセキュリティ脆弱性CVE-2025-4087を公開、XPathパース処理の欠陥が原因でメモリ破損の可能性

MozillaがThunderbirdのセキュリティ脆弱性CVE-2025-4087を公開、X...

Mozillaは2025年4月29日、Thunderbirdにおけるセキュリティ脆弱性CVE-2025-4087を公開した。XPathパース処理におけるヌルチェックの欠如が原因で、境界外読み込みやメモリ破損が発生する可能性がある。FirefoxとThunderbirdの特定バージョンに影響し、速やかなアップデートが推奨される。Ivan Fratric氏による発見に感謝を示している。

MozillaがThunderbirdのセキュリティ脆弱性CVE-2025-4087を公開、X...

Mozillaは2025年4月29日、Thunderbirdにおけるセキュリティ脆弱性CVE-2025-4087を公開した。XPathパース処理におけるヌルチェックの欠如が原因で、境界外読み込みやメモリ破損が発生する可能性がある。FirefoxとThunderbirdの特定バージョンに影響し、速やかなアップデートが推奨される。Ivan Fratric氏による発見に感謝を示している。

MozillaがFirefoxとThunderbirdの脆弱性CVE-2025-4089を修正、セキュリティアップデートを公開

MozillaがFirefoxとThunderbirdの脆弱性CVE-2025-4089を修正...

Mozilla Corporationは2025年4月29日、FirefoxとThunderbirdのセキュリティアップデートを公開した。CVE-2025-4089として識別される脆弱性に対処し、特殊文字のエスケープ処理の不備によるローカルコード実行の可能性を解消した。Firefox 138未満、Thunderbird 138未満のバージョンが影響を受けるため、ユーザーは速やかにアップデートを行うべきだ。

MozillaがFirefoxとThunderbirdの脆弱性CVE-2025-4089を修正...

Mozilla Corporationは2025年4月29日、FirefoxとThunderbirdのセキュリティアップデートを公開した。CVE-2025-4089として識別される脆弱性に対処し、特殊文字のエスケープ処理の不備によるローカルコード実行の可能性を解消した。Firefox 138未満、Thunderbird 138未満のバージョンが影響を受けるため、ユーザーは速やかにアップデートを行うべきだ。

Microsoft Azure AI Botの権限昇格脆弱性CVE-2025-30392を公開、深刻なセキュリティリスク

Microsoft Azure AI Botの権限昇格脆弱性CVE-2025-30392を公開...

Microsoftは2025年4月30日、Azure AI Bot Framework SDKの権限昇格脆弱性CVE-2025-30392を発表した。CVSSスコア9.8の深刻な脆弱性で、不正なアクセスによりネットワーク上の権限を昇格させることが可能となる。Microsoftは修正プログラムを提供しており、ユーザーは速やかなアップデートが必要だ。CWE-285に分類され、不適切な認証が原因とされている。

Microsoft Azure AI Botの権限昇格脆弱性CVE-2025-30392を公開...

Microsoftは2025年4月30日、Azure AI Bot Framework SDKの権限昇格脆弱性CVE-2025-30392を発表した。CVSSスコア9.8の深刻な脆弱性で、不正なアクセスによりネットワーク上の権限を昇格させることが可能となる。Microsoftは修正プログラムを提供しており、ユーザーは速やかなアップデートが必要だ。CWE-285に分類され、不適切な認証が原因とされている。

Microsoft Copilot Windows版アップデート、Copilot Visionに新機能Highlightsと2アプリ同時共有を追加

Microsoft Copilot Windows版アップデート、Copilot Vision...

Microsoftは5月12日、CopilotアプリのWindows版をアップデートし、Copilot Visionに新機能「Highlights」と2アプリ同時共有を追加したと発表した。Highlightsは視覚的な手がかりでタスク完了を支援、2アプリ同時共有は複数アプリの同時分析を可能にする。バージョン1.25044.92.0以上で、米国Insider向けに段階的にロールアウト中だ。

Microsoft Copilot Windows版アップデート、Copilot Vision...

Microsoftは5月12日、CopilotアプリのWindows版をアップデートし、Copilot Visionに新機能「Highlights」と2アプリ同時共有を追加したと発表した。Highlightsは視覚的な手がかりでタスク完了を支援、2アプリ同時共有は複数アプリの同時分析を可能にする。バージョン1.25044.92.0以上で、米国Insider向けに段階的にロールアウト中だ。

AMTT Hotel Broadband Operation System 1.0におけるコマンドインジェクション脆弱性CVE-2025-3983が公開

AMTT Hotel Broadband Operation System 1.0におけるコマ...

VulDBは2025年4月27日、AMTT Hotel Broadband Operation System 1.0の深刻な脆弱性CVE-2025-3983を発表した。nlog_down.phpファイルのProtocolType引数を操作することでコマンドインジェクションが可能となり、リモートからの攻撃も可能だ。CVSSスコアは5.1(MEDIUM)で、ベンダーは対応していない。迅速な対策が必要だ。

AMTT Hotel Broadband Operation System 1.0におけるコマ...

VulDBは2025年4月27日、AMTT Hotel Broadband Operation System 1.0の深刻な脆弱性CVE-2025-3983を発表した。nlog_down.phpファイルのProtocolType引数を操作することでコマンドインジェクションが可能となり、リモートからの攻撃も可能だ。CVSSスコアは5.1(MEDIUM)で、ベンダーは対応していない。迅速な対策が必要だ。

ユニバーサルロボット、新型協働ロボットUR15を発表、高速性とAI対応で生産性向上

ユニバーサルロボット、新型協働ロボットUR15を発表、高速性とAI対応で生産性向上

ユニバーサルロボットは、最大TCP速度5m/sの新型協働ロボットUR15を発表した。UR史上最速の動作速度と15kgの可搬重量(手首下向き使用時最大17.5kg)、そしてAI対応プラットフォームPolyScope XとUR AI Acceleratorの搭載により、生産性の大幅な向上を実現する。自動車、金属・機械加工、エレクトロニクス業界など、幅広い分野での活用が期待される。2025年6月より出荷開始予定だ。

ユニバーサルロボット、新型協働ロボットUR15を発表、高速性とAI対応で生産性向上

ユニバーサルロボットは、最大TCP速度5m/sの新型協働ロボットUR15を発表した。UR史上最速の動作速度と15kgの可搬重量(手首下向き使用時最大17.5kg)、そしてAI対応プラットフォームPolyScope XとUR AI Acceleratorの搭載により、生産性の大幅な向上を実現する。自動車、金属・機械加工、エレクトロニクス業界など、幅広い分野での活用が期待される。2025年6月より出荷開始予定だ。

株式会社イーストゲート、クラウド型会員管理システムSmartCore Version6をリリースセキュリティと利便性が向上

株式会社イーストゲート、クラウド型会員管理システムSmartCore Version6をリリー...

株式会社イーストゲートは2025年5月12日、クラウド型会員管理システムSmartCore Version6をリリースした。Passkey導入によるセキュリティ強化、フレームワーク更新による処理速度向上、UI調整による利便性向上など、多くの改善が加えられている。6月以降にはEラーニング機能のロールアウトも予定。会員管理業務の効率化とセキュリティ強化に大きく貢献するだろう。

株式会社イーストゲート、クラウド型会員管理システムSmartCore Version6をリリー...

株式会社イーストゲートは2025年5月12日、クラウド型会員管理システムSmartCore Version6をリリースした。Passkey導入によるセキュリティ強化、フレームワーク更新による処理速度向上、UI調整による利便性向上など、多くの改善が加えられている。6月以降にはEラーニング機能のロールアウトも予定。会員管理業務の効率化とセキュリティ強化に大きく貢献するだろう。

langgenius社、DIFY 1.3.0リリースでクリックジャッキング脆弱性を修正

langgenius社、DIFY 1.3.0リリースでクリックジャッキング脆弱性を修正

オープンソースLLMアプリ開発プラットフォームDIFYにおいて、バージョン1.3.0以前でクリックジャッキング脆弱性(CVE-2025-43854)が発見された。langgenius社は2025年4月28日に修正版をリリースし、この脆弱性を解消した。ユーザーは速やかなアップデートが推奨される。

langgenius社、DIFY 1.3.0リリースでクリックジャッキング脆弱性を修正

オープンソースLLMアプリ開発プラットフォームDIFYにおいて、バージョン1.3.0以前でクリックジャッキング脆弱性(CVE-2025-43854)が発見された。langgenius社は2025年4月28日に修正版をリリースし、この脆弱性を解消した。ユーザーは速やかなアップデートが推奨される。

Zabbix Japanが監視ソフトウェア連携強化プログラム開始、ユーザー利便性向上目指す

Zabbix Japanが監視ソフトウェア連携強化プログラム開始、ユーザー利便性向上目指す

Zabbix Japanは5月13日、オープンソース監視ソフトウェアZabbixの利便性向上のため、ハードウェア・ソフトウェアベンダーとの連携強化プログラム「Zabbixインテグレーションプログラム」を開始した。テンプレートやWebhook作成支援、マーケティング支援などを提供し、ユーザー利便性向上と参加ベンダーのビジネス成長を目指す。説明会は5月29日開催、Interop Tokyo 2025にも出展予定だ。

Zabbix Japanが監視ソフトウェア連携強化プログラム開始、ユーザー利便性向上目指す

Zabbix Japanは5月13日、オープンソース監視ソフトウェアZabbixの利便性向上のため、ハードウェア・ソフトウェアベンダーとの連携強化プログラム「Zabbixインテグレーションプログラム」を開始した。テンプレートやWebhook作成支援、マーケティング支援などを提供し、ユーザー利便性向上と参加ベンダーのビジネス成長を目指す。説明会は5月29日開催、Interop Tokyo 2025にも出展予定だ。

YesWikiの脆弱性CVE-2025-46347、4.5.4未満のバージョンでリモートコード実行が可能に

YesWikiの脆弱性CVE-2025-46347、4.5.4未満のバージョンでリモートコード...

GitHubが公開したセキュリティアドバイザリによると、YesWiki 4.5.4未満のバージョンにリモートコード実行の脆弱性CVE-2025-46347が存在する。任意のPHPファイルの書き込みと実行が可能で、サーバーの完全な侵害につながる可能性がある。4.5.4へのアップデートで修正済みだ。

YesWikiの脆弱性CVE-2025-46347、4.5.4未満のバージョンでリモートコード...

GitHubが公開したセキュリティアドバイザリによると、YesWiki 4.5.4未満のバージョンにリモートコード実行の脆弱性CVE-2025-46347が存在する。任意のPHPファイルの書き込みと実行が可能で、サーバーの完全な侵害につながる可能性がある。4.5.4へのアップデートで修正済みだ。

WP Maps 4.7.2未満の脆弱性CVE-2025-3504公開、Stored XSS攻撃のリスク

WP Maps 4.7.2未満の脆弱性CVE-2025-3504公開、Stored XSS攻撃...

WPScanは2025年5月1日、WordPressプラグインWP Mapsバージョン4.7.2未満における深刻なセキュリティ脆弱性CVE-2025-3504を発表した。この脆弱性により、管理者権限を持つユーザーがStored XSS攻撃を実行できる可能性がある。CVSSスコアは3.5(LOW)だが、影響範囲の広さから迅速なアップデートが求められる。

WP Maps 4.7.2未満の脆弱性CVE-2025-3504公開、Stored XSS攻撃...

WPScanは2025年5月1日、WordPressプラグインWP Mapsバージョン4.7.2未満における深刻なセキュリティ脆弱性CVE-2025-3504を発表した。この脆弱性により、管理者権限を持つユーザーがStored XSS攻撃を実行できる可能性がある。CVSSスコアは3.5(LOW)だが、影響範囲の広さから迅速なアップデートが求められる。

WP Maps 4.7.2未満の脆弱性CVE-2025-3502公開、Stored XSS攻撃への対策を

WP Maps 4.7.2未満の脆弱性CVE-2025-3502公開、Stored XSS攻撃...

WordPressプラグインWP Mapsのバージョン4.7.2未満に、Stored XSS(クロスサイトスクリプティング)の脆弱性CVE-2025-3502が発見された。WPScanによる報告で、管理者権限を持つユーザーが攻撃を実行できる可能性が明らかになった。迅速なアップデートとセキュリティ対策が求められる。

WP Maps 4.7.2未満の脆弱性CVE-2025-3502公開、Stored XSS攻撃...

WordPressプラグインWP Mapsのバージョン4.7.2未満に、Stored XSS(クロスサイトスクリプティング)の脆弱性CVE-2025-3502が発見された。WPScanによる報告で、管理者権限を持つユーザーが攻撃を実行できる可能性が明らかになった。迅速なアップデートとセキュリティ対策が求められる。

WordPressプラグインEasy PayPal Buy Now Button 2.0以前のXSS脆弱性CVE-2025-47623が公開、速やかなアップデートが必要

WordPressプラグインEasy PayPal Buy Now Button 2.0以前の...

Patchstack OUは2025年5月7日、WordPressプラグインEasy PayPal Buy Now Buttonバージョン2.0以前におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-47623を公開した。この脆弱性により、攻撃者は悪意のあるスクリプトを埋め込み、ユーザーの情報を盗む可能性がある。速やかなアップデートが推奨される。

WordPressプラグインEasy PayPal Buy Now Button 2.0以前の...

Patchstack OUは2025年5月7日、WordPressプラグインEasy PayPal Buy Now Buttonバージョン2.0以前におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-47623を公開した。この脆弱性により、攻撃者は悪意のあるスクリプトを埋め込み、ユーザーの情報を盗む可能性がある。速やかなアップデートが推奨される。

WordPressプラグインPost in page for Elementorの脆弱性CVE-2025-46225が公開、1.0.2へのアップデートを推奨

WordPressプラグインPost in page for Elementorの脆弱性CVE...

2025年4月22日、Patchstack OUはWordPressプラグイン「Post in page for Elementor」のバージョン1.0.1以前におけるDOMベースのクロスサイトスクリプティング(XSS)脆弱性CVE-2025-46225を公開した。Gab (Patchstack Alliance)が発見したこの脆弱性は、悪意のあるスクリプトの注入を許し、ユーザーの個人情報漏洩などのリスクがある。1.0.2以降のバージョンでは修正されているため、速やかなアップデートが強く推奨される。

WordPressプラグインPost in page for Elementorの脆弱性CVE...

2025年4月22日、Patchstack OUはWordPressプラグイン「Post in page for Elementor」のバージョン1.0.1以前におけるDOMベースのクロスサイトスクリプティング(XSS)脆弱性CVE-2025-46225を公開した。Gab (Patchstack Alliance)が発見したこの脆弱性は、悪意のあるスクリプトの注入を許し、ユーザーの個人情報漏洩などのリスクがある。1.0.2以降のバージョンでは修正されているため、速やかなアップデートが強く推奨される。

withstars Books-Management-System 1.0のクロスサイトスクリプティング脆弱性CVE-2025-3962が公開

withstars Books-Management-System 1.0のクロスサイトスクリ...

2025年4月27日、VulDBはwithstars Books-Management-System 1.0におけるクロスサイトスクリプティング脆弱性CVE-2025-3962を公開した。この脆弱性は、/api/comment/addファイルの引数contentの操作によって発生し、リモートから攻撃が可能だ。CVSSスコアは5.1(MEDIUM)と評価されており、早急な対応が必要である。サポートされていない製品にのみ影響するものの、セキュリティ対策の重要性を改めて示している。

withstars Books-Management-System 1.0のクロスサイトスクリ...

2025年4月27日、VulDBはwithstars Books-Management-System 1.0におけるクロスサイトスクリプティング脆弱性CVE-2025-3962を公開した。この脆弱性は、/api/comment/addファイルの引数contentの操作によって発生し、リモートから攻撃が可能だ。CVSSスコアは5.1(MEDIUM)と評価されており、早急な対応が必要である。サポートされていない製品にのみ影響するものの、セキュリティ対策の重要性を改めて示している。

Weights & BiasesがOpenAI Agent SDK等と連携強化、生成AI開発を加速

Weights & BiasesがOpenAI Agent SDK等と連携強化、生成AI開発を加速

Weights & Biasesは2025年5月13日、OpenAI Agent SDK、CrewAI、Difyとの統合を発表した。これにより、大規模言語モデル(LLM)を活用したエージェントアプリケーションの開発、評価、運用が加速する。W&B Weaveとの連携で、オブザーバビリティ、トレーシング、バージョン管理、評価を包括的に支援する。生成AI開発におけるプロダクション品質の担保と開発効率の向上に貢献するだろう。

Weights & BiasesがOpenAI Agent SDK等と連携強化、生成AI開発を加速

Weights & Biasesは2025年5月13日、OpenAI Agent SDK、CrewAI、Difyとの統合を発表した。これにより、大規模言語モデル(LLM)を活用したエージェントアプリケーションの開発、評価、運用が加速する。W&B Weaveとの連携で、オブザーバビリティ、トレーシング、バージョン管理、評価を包括的に支援する。生成AI開発におけるプロダクション品質の担保と開発効率の向上に貢献するだろう。

TOTOLINK N150RTの脆弱性CVE-2025-3994が公開、クロスサイトスクリプティングへの対策を

TOTOLINK N150RTの脆弱性CVE-2025-3994が公開、クロスサイトスクリプテ...

2025年4月28日、VulDBはTOTOLINK N150RTバージョン3.4.0-B20190525におけるクロスサイトスクリプティング脆弱性CVE-2025-3994を公開した。IP Port Filtering機能のhome.htmファイルが影響を受け、リモート攻撃が可能である。CVSS v4で4.8(MEDIUM)と評価されており、迅速な対策が必要だ。

TOTOLINK N150RTの脆弱性CVE-2025-3994が公開、クロスサイトスクリプテ...

2025年4月28日、VulDBはTOTOLINK N150RTバージョン3.4.0-B20190525におけるクロスサイトスクリプティング脆弱性CVE-2025-3994を公開した。IP Port Filtering機能のhome.htmファイルが影響を受け、リモート攻撃が可能である。CVSS v4で4.8(MEDIUM)と評価されており、迅速な対策が必要だ。

SourceCodester Simple Barangay Management System v1.0の深刻なSQLインジェクション脆弱性CVE-2025-44192が公開され、迅速な対応が必要

SourceCodester Simple Barangay Management Syste...

MITRE Corporationは2025年4月30日、SourceCodester Simple Barangay Management System v1.0における深刻なSQLインジェクション脆弱性CVE-2025-44192を公開した。CVSSスコア9.8、深刻度CRITICALと評価されており、攻撃者は不正なSQLコマンドを実行し、システムのデータにアクセス・改ざんする可能性がある。バージョン2.0.3も影響を受けるため、迅速な対策が必要だ。CISA-ADPは5月2日に情報を更新している。

SourceCodester Simple Barangay Management Syste...

MITRE Corporationは2025年4月30日、SourceCodester Simple Barangay Management System v1.0における深刻なSQLインジェクション脆弱性CVE-2025-44192を公開した。CVSSスコア9.8、深刻度CRITICALと評価されており、攻撃者は不正なSQLコマンドを実行し、システムのデータにアクセス・改ざんする可能性がある。バージョン2.0.3も影響を受けるため、迅速な対策が必要だ。CISA-ADPは5月2日に情報を更新している。

Snowflake Connector for C/C++の脆弱性CVE-2025-46330修正、バージョン2.2.0リリース

Snowflake Connector for C/C++の脆弱性CVE-2025-46330...

Snowflake Connector for C/C++(libsnowflakeclient)のバージョン0.5.0から2.1.9において、不正なHTTPリクエストを再試行可能なものとして誤って処理してしまう脆弱性CVE-2025-46330が発見された。この脆弱性により、アプリケーションがハングアップする可能性があったが、バージョン2.2.0で修正済みだ。迅速なアップデートが推奨される。

Snowflake Connector for C/C++の脆弱性CVE-2025-46330...

Snowflake Connector for C/C++(libsnowflakeclient)のバージョン0.5.0から2.1.9において、不正なHTTPリクエストを再試行可能なものとして誤って処理してしまう脆弱性CVE-2025-46330が発見された。この脆弱性により、アプリケーションがハングアップする可能性があったが、バージョン2.2.0で修正済みだ。迅速なアップデートが推奨される。

Profelis Informatics SambaBox 5.1以前のバージョンにおけるCVE-2025-2488 XSS脆弱性への対応

Profelis Informatics SambaBox 5.1以前のバージョンにおけるCV...

TR-CERTは2025年5月2日、Profelis Informatics SambaBoxにおけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-2488を公開した。SambaBox 5.1以前のバージョンが影響を受け、ユーザーは速やかにバージョン5.1以上にアップデートする必要がある。Ali KAZAR氏によって発見されたこの脆弱性は、Webページ生成時の入力の不適切な無効化によって発生する。

Profelis Informatics SambaBox 5.1以前のバージョンにおけるCV...

TR-CERTは2025年5月2日、Profelis Informatics SambaBoxにおけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-2488を公開した。SambaBox 5.1以前のバージョンが影響を受け、ユーザーは速やかにバージョン5.1以上にアップデートする必要がある。Ali KAZAR氏によって発見されたこの脆弱性は、Webページ生成時の入力の不適切な無効化によって発生する。

PHPGurukul Park Ticketing Management System v2.0のHTMLインジェクション脆弱性CVE-2025-45009が公開

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0のnormal-search.phpファイルにおけるHTMLインジェクション脆弱性CVE-2025-45009を公開した。searchdataパラメータを悪用した任意コード実行が可能で、データ改ざん、情報窃取などの深刻な被害につながる可能性がある。迅速な対策が必要だ。

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0のnormal-search.phpファイルにおけるHTMLインジェクション脆弱性CVE-2025-45009を公開した。searchdataパラメータを悪用した任意コード実行が可能で、データ改ざん、情報窃取などの深刻な被害につながる可能性がある。迅速な対策が必要だ。

PHPGurukul Curfew e-Pass Management System 1.0のSQLインジェクション脆弱性CVE-2025-4074が公開

PHPGurukul Curfew e-Pass Management System 1.0の...

2025年4月29日、PHPGurukul Curfew e-Pass Management System 1.0において、SQLインジェクション脆弱性CVE-2025-4074が発見された。pass-bwdates-report.phpファイルのfromdate/todate引数の操作により、リモートから攻撃が可能だ。CVSS v4で6.9(MEDIUM)、v3.1とv3.0で7.3(HIGH)と評価されており、迅速な対策が必要である。VulDB、GitHub、PHPGurukulのサイトで詳細を確認できる。

PHPGurukul Curfew e-Pass Management System 1.0の...

2025年4月29日、PHPGurukul Curfew e-Pass Management System 1.0において、SQLインジェクション脆弱性CVE-2025-4074が発見された。pass-bwdates-report.phpファイルのfromdate/todate引数の操作により、リモートから攻撃が可能だ。CVSS v4で6.9(MEDIUM)、v3.1とv3.0で7.3(HIGH)と評価されており、迅速な対策が必要である。VulDB、GitHub、PHPGurukulのサイトで詳細を確認できる。

PHPGurukul COVID19 Testing Management System 1.0のSQLインジェクション脆弱性CVE-2025-4071が公開

PHPGurukul COVID19 Testing Management System 1....

2025年4月29日、PHPGurukul COVID19 Testing Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4071がVulDBにより公開された。test-details.phpファイルのStatus引数を操作することで、リモートからSQLインジェクション攻撃が可能となる。CVSS v4では6.9(MEDIUM)、v3.1とv3.0では7.3(HIGH)と評価されており、迅速な対策が必要だ。

PHPGurukul COVID19 Testing Management System 1....

2025年4月29日、PHPGurukul COVID19 Testing Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4071がVulDBにより公開された。test-details.phpファイルのStatus引数を操作することで、リモートからSQLインジェクション攻撃が可能となる。CVSS v4では6.9(MEDIUM)、v3.1とv3.0では7.3(HIGH)と評価されており、迅速な対策が必要だ。

PHPGurukul COVID19 Testing Management System 1.0のSQLインジェクション脆弱性CVE-2025-4005が公開

PHPGurukul COVID19 Testing Management System 1....

2025年4月28日、VulDBはPHPGurukul COVID19 Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4005を公開した。patient-report.phpファイルのsearchdata引数を操作することで、リモート攻撃が可能となる。CVSSスコアは6.9(MEDIUM)だが、他のベクトルでは7.3(HIGH)と評価されており、迅速な対応が必要だ。患者情報の漏洩リスクも高く、セキュリティ対策の強化が求められる。

PHPGurukul COVID19 Testing Management System 1....

2025年4月28日、VulDBはPHPGurukul COVID19 Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4005を公開した。patient-report.phpファイルのsearchdata引数を操作することで、リモート攻撃が可能となる。CVSSスコアは6.9(MEDIUM)だが、他のベクトルでは7.3(HIGH)と評価されており、迅速な対応が必要だ。患者情報の漏洩リスクも高く、セキュリティ対策の強化が求められる。

PHPGurukul COVID19 Testing Management System 1.0のSQLインジェクション脆弱性CVE-2025-4030が公開され、迅速な対応が必要に

PHPGurukul COVID19 Testing Management System 1....

2025年4月28日、VulDBはPHPGurukul COVID19 Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4030を公開した。search-report-result.phpファイルのserachdata引数の操作が原因で、リモートからの攻撃が可能であり、CVSSスコアは6.9から7.5と評価されている。PHPGurukul COVID19 Testing Management Systemの利用者は、速やかにアップデートを行う必要がある。

PHPGurukul COVID19 Testing Management System 1....

2025年4月28日、VulDBはPHPGurukul COVID19 Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4030を公開した。search-report-result.phpファイルのserachdata引数の操作が原因で、リモートからの攻撃が可能であり、CVSSスコアは6.9から7.5と評価されている。PHPGurukul COVID19 Testing Management Systemの利用者は、速やかにアップデートを行う必要がある。

PHPGurukul Company Visitor Management System 2.0のSQLインジェクション脆弱性CVE-2025-4358が公開、迅速な対応が必要

PHPGurukul Company Visitor Management System 2....

2025年5月6日、PHPGurukul Company Visitor Management System 2.0に深刻なSQLインジェクション脆弱性CVE-2025-4358が発見された。admin-profile.phpファイルのadminname引数を操作することで攻撃が可能で、リモートからの攻撃も可能だ。CVSSスコアは7.3(HIGH)と評価されており、迅速な対応が必要である。VulDBで詳細情報が公開されている。

PHPGurukul Company Visitor Management System 2....

2025年5月6日、PHPGurukul Company Visitor Management System 2.0に深刻なSQLインジェクション脆弱性CVE-2025-4358が発見された。admin-profile.phpファイルのadminname引数を操作することで攻撃が可能で、リモートからの攻撃も可能だ。CVSSスコアは7.3(HIGH)と評価されており、迅速な対応が必要である。VulDBで詳細情報が公開されている。

n8nバージョン1.90.0未満における保存型XSS脆弱性CVE-2025-46343の修正とセキュリティ対策

n8nバージョン1.90.0未満における保存型XSS脆弱性CVE-2025-46343の修正と...

ワークフロー自動化プラットフォームn8nにおいて、バージョン1.90.0未満で保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46343が発見された。認証済み攻撃者が悪意のあるHTMLファイルをアップロードすることで、アカウント乗っ取りが可能となる深刻な脆弱性だ。本記事では脆弱性の詳細、修正バージョン、XSS攻撃への対策、今後のセキュリティ対策について解説する。

n8nバージョン1.90.0未満における保存型XSS脆弱性CVE-2025-46343の修正と...

ワークフロー自動化プラットフォームn8nにおいて、バージョン1.90.0未満で保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46343が発見された。認証済み攻撃者が悪意のあるHTMLファイルをアップロードすることで、アカウント乗っ取りが可能となる深刻な脆弱性だ。本記事では脆弱性の詳細、修正バージョン、XSS攻撃への対策、今後のセキュリティ対策について解説する。

MozillaがThunderbirdのCSRF脆弱性CVE-2025-4088を修正、138以前のバージョンに影響

MozillaがThunderbirdのCSRF脆弱性CVE-2025-4088を修正、138...

Mozillaは、ThunderbirdとFirefoxのクロスサイトリクエストフォージェリ(CSRF)脆弱性CVE-2025-4088を修正したと発表した。Thunderbird 138以前、Firefox 138以前のバージョンが影響を受ける。悪意のあるサイトがリダイレクトを利用して認証済みリクエストを送信できる脆弱性であり、迅速なアップデートが推奨される。

MozillaがThunderbirdのCSRF脆弱性CVE-2025-4088を修正、138...

Mozillaは、ThunderbirdとFirefoxのクロスサイトリクエストフォージェリ(CSRF)脆弱性CVE-2025-4088を修正したと発表した。Thunderbird 138以前、Firefox 138以前のバージョンが影響を受ける。悪意のあるサイトがリダイレクトを利用して認証済みリクエストを送信できる脆弱性であり、迅速なアップデートが推奨される。

MozillaがThunderbird for Androidの脆弱性CVE-2025-4090を修正

MozillaがThunderbird for Androidの脆弱性CVE-2025-409...

Mozillaは、Thunderbird for Androidにおけるセキュリティ脆弱性CVE-2025-4090を修正したと発表した。この脆弱性により、機密性の高いライブラリの場所がLogcatを介してログに記録される可能性があった。Firefox 138未満、Thunderbird 138未満が影響を受ける。ユーザーは速やかにアップデートを行うべきだ。

MozillaがThunderbird for Androidの脆弱性CVE-2025-409...

Mozillaは、Thunderbird for Androidにおけるセキュリティ脆弱性CVE-2025-4090を修正したと発表した。この脆弱性により、機密性の高いライブラリの場所がLogcatを介してログに記録される可能性があった。Firefox 138未満、Thunderbird 138未満が影響を受ける。ユーザーは速やかにアップデートを行うべきだ。

LibRaw 0.21.4リリース、CVE-2025-43964脆弱性への対応でセキュリティ強化

LibRaw 0.21.4リリース、CVE-2025-43964脆弱性への対応でセキュリティ強化

MITRE Corporationは2025年4月20日、LibRaw 0.21.4をリリースした。このバージョンでは、タグ0x412処理における最小値検証不足を修正し、CVE-2025-43964に対応している。LibRaw 0.21.4以前のバージョンを使用しているユーザーは、速やかにアップデートを行う必要がある。CVSSスコアは2.9(LOW)と評価されているものの、潜在的なリスクへの対応は不可欠だ。

LibRaw 0.21.4リリース、CVE-2025-43964脆弱性への対応でセキュリティ強化

MITRE Corporationは2025年4月20日、LibRaw 0.21.4をリリースした。このバージョンでは、タグ0x412処理における最小値検証不足を修正し、CVE-2025-43964に対応している。LibRaw 0.21.4以前のバージョンを使用しているユーザーは、速やかにアップデートを行う必要がある。CVSSスコアは2.9(LOW)と評価されているものの、潜在的なリスクへの対応は不可欠だ。