Tech Insights

【CVE-2025-21361】Microsoft Outlookにリモートコード実行の脆弱性、Mac版の複数バージョンに影響

【CVE-2025-21361】Microsoft Outlookにリモートコード実行の脆弱性...

Microsoftは2025年1月14日、Microsoft Outlookにおけるリモートコード実行の脆弱性【CVE-2025-21361】を公開した。この脆弱性はCVSSスコア7.8の高深刻度と評価されており、Microsoft Office LTSC for Mac 2021/2024の特定バージョンに影響を及ぼす。攻撃者によるリモートコード実行の可能性があり、該当バージョンを使用するユーザーは最新版へのアップデートが推奨される。

【CVE-2025-21361】Microsoft Outlookにリモートコード実行の脆弱性...

Microsoftは2025年1月14日、Microsoft Outlookにおけるリモートコード実行の脆弱性【CVE-2025-21361】を公開した。この脆弱性はCVSSスコア7.8の高深刻度と評価されており、Microsoft Office LTSC for Mac 2021/2024の特定バージョンに影響を及ぼす。攻撃者によるリモートコード実行の可能性があり、該当バージョンを使用するユーザーは最新版へのアップデートが推奨される。

【CVE-2025-21364】Microsoft ExcelにSecurity Feature Bypass脆弱性、複数の製品で深刻な影響の可能性

【CVE-2025-21364】Microsoft ExcelにSecurity Featur...

MicrosoftはMicrosoft ExcelにおけるSecurity Feature Bypass脆弱性【CVE-2025-21364】を2025年1月14日に公開した。この脆弱性はMicrosoft 365 Apps for EnterpriseとMicrosoft Office LTSC 2024に影響を与え、CVSSスコア7.8のHigh深刻度と評価されている。信頼されていないデータのデシリアライゼーションに関する問題であり、早急な対応が推奨される。

【CVE-2025-21364】Microsoft ExcelにSecurity Featur...

MicrosoftはMicrosoft ExcelにおけるSecurity Feature Bypass脆弱性【CVE-2025-21364】を2025年1月14日に公開した。この脆弱性はMicrosoft 365 Apps for EnterpriseとMicrosoft Office LTSC 2024に影響を与え、CVSSスコア7.8のHigh深刻度と評価されている。信頼されていないデータのデシリアライゼーションに関する問題であり、早急な対応が推奨される。

MicrosoftがAzure SQL MIに正規表現機能を追加、データベース処理の効率化とクエリ最適化に貢献

MicrosoftがAzure SQL MIに正規表現機能を追加、データベース処理の効率化とク...

MicrosoftはAzure SQL Managed Instanceに正規表現機能のプライベートプレビューを公開した。POSIXスタンダードに準拠した5つの主要な正規表現関数をサポートし、REGEXP_LIKEによるパターンマッチングやREGEXP_COUNTによる出現回数のカウントなど、高度な文字列処理が可能になる。Always-up-to-dateポリシーを選択することで、最新機能へのアクセスが可能だ。

MicrosoftがAzure SQL MIに正規表現機能を追加、データベース処理の効率化とク...

MicrosoftはAzure SQL Managed Instanceに正規表現機能のプライベートプレビューを公開した。POSIXスタンダードに準拠した5つの主要な正規表現関数をサポートし、REGEXP_LIKEによるパターンマッチングやREGEXP_COUNTによる出現回数のカウントなど、高度な文字列処理が可能になる。Always-up-to-dateポリシーを選択することで、最新機能へのアクセスが可能だ。

【CVE-2024-12614】Passwords Manager 1.4.8に認証バイパスの脆弱性、データ改変のリスクが発生

【CVE-2024-12614】Passwords Manager 1.4.8に認証バイパスの...

WordPressプラグインPasswords Managerにおいて、バージョン1.4.8以前に認証バイパスの脆弱性が発見された。この脆弱性により、認証済みの一般ユーザーがプラグインの設定変更や暗号化キーの更新、パスワードの追加が可能となる。CVSSスコアは7.5(High)と評価され、早急な対応が必要とされている。

【CVE-2024-12614】Passwords Manager 1.4.8に認証バイパスの...

WordPressプラグインPasswords Managerにおいて、バージョン1.4.8以前に認証バイパスの脆弱性が発見された。この脆弱性により、認証済みの一般ユーザーがプラグインの設定変更や暗号化キーの更新、パスワードの追加が可能となる。CVSSスコアは7.5(High)と評価され、早急な対応が必要とされている。

【CVE-2024-12615】WordPress用プラグインPasswords Managerにおける認証済みユーザーによるSQL Injection脆弱性が発見

【CVE-2024-12615】WordPress用プラグインPasswords Manage...

WordfenceはWordPress用プラグインPasswords Managerのバージョン1.4.8以前に、SQL Injection脆弱性が存在することを公開した。この脆弱性は$wpdb->prefix値の不適切なエスケープと既存のSQLクエリの不十分な準備に起因しており、Subscriberレベル以上の権限を持つ認証済みユーザーによって悪用される可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-12615】WordPress用プラグインPasswords Manage...

WordfenceはWordPress用プラグインPasswords Managerのバージョン1.4.8以前に、SQL Injection脆弱性が存在することを公開した。この脆弱性は$wpdb->prefix値の不適切なエスケープと既存のSQLクエリの不十分な準備に起因しており、Subscriberレベル以上の権限を持つ認証済みユーザーによって悪用される可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-12613】Passwords Manager 1.4.8以前のバージョンにSQLインジェクションの脆弱性、認証なしでの攻撃が可能に

【CVE-2024-12613】Passwords Manager 1.4.8以前のバージョン...

WordPressプラグインのPasswords Manager 1.4.8以前のバージョンにSQLインジェクションの脆弱性が発見された。$wpdb->prefix値が適切にエスケープされておらず、SQL文が十分に準備されていないことが原因。認証なしで攻撃が可能で、データベースから機密情報を抽出できる状態にある。CVSSスコア7.5と高く評価され、特に機密性への影響が重大。早急なアップデートが推奨される。

【CVE-2024-12613】Passwords Manager 1.4.8以前のバージョン...

WordPressプラグインのPasswords Manager 1.4.8以前のバージョンにSQLインジェクションの脆弱性が発見された。$wpdb->prefix値が適切にエスケープされておらず、SQL文が十分に準備されていないことが原因。認証なしで攻撃が可能で、データベースから機密情報を抽出できる状態にある。CVSSスコア7.5と高く評価され、特に機密性への影響が重大。早急なアップデートが推奨される。

【CVE-2025-21363】Microsoft Wordにリモートコード実行の脆弱性、複数のOffice製品に影響

【CVE-2025-21363】Microsoft Wordにリモートコード実行の脆弱性、複数...

Microsoftは2025年1月14日、Microsoft Wordにおけるリモートコード実行の脆弱性を公開した。この脆弱性は信頼されていないポインタの参照に分類され、CVSSスコア7.8の高い深刻度を持つ。影響を受けるプロダクトはMicrosoft 365 Apps for EnterpriseやMicrosoft Office LTSC for Mac 2021など複数の製品に及び、早急な対応が必要とされている。

【CVE-2025-21363】Microsoft Wordにリモートコード実行の脆弱性、複数...

Microsoftは2025年1月14日、Microsoft Wordにおけるリモートコード実行の脆弱性を公開した。この脆弱性は信頼されていないポインタの参照に分類され、CVSSスコア7.8の高い深刻度を持つ。影響を受けるプロダクトはMicrosoft 365 Apps for EnterpriseやMicrosoft Office LTSC for Mac 2021など複数の製品に及び、早急な対応が必要とされている。

【CVE-2024-57726】SimpleHelp v5.5.7以前のバージョンで権限昇格の脆弱性が発見、サーバー管理者権限への昇格が可能に

【CVE-2024-57726】SimpleHelp v5.5.7以前のバージョンで権限昇格の...

リモートサポートソフトウェアSimpleHelp v5.5.7以前のバージョンにおいて、低権限技術者がAPI鍵を作成できる脆弱性が発見された。MITREコーポレーションにより【CVE-2024-57726】として識別されたこの脆弱性では、作成されたAPI鍵を使用してサーバー管理者権限まで昇格可能となっており、早急な対策が必要とされている。Horizon3.aiの分析により、この脆弱性がリモートサポート機能全体に影響を及ぼす可能性も指摘されている。

【CVE-2024-57726】SimpleHelp v5.5.7以前のバージョンで権限昇格の...

リモートサポートソフトウェアSimpleHelp v5.5.7以前のバージョンにおいて、低権限技術者がAPI鍵を作成できる脆弱性が発見された。MITREコーポレーションにより【CVE-2024-57726】として識別されたこの脆弱性では、作成されたAPI鍵を使用してサーバー管理者権限まで昇格可能となっており、早急な対策が必要とされている。Horizon3.aiの分析により、この脆弱性がリモートサポート機能全体に影響を及ぼす可能性も指摘されている。

バッファローがAirStationアプリVer.3.4を公開、Wi-Fiルーターの設定がアプリ内で完結可能に

バッファローがAirStationアプリVer.3.4を公開、Wi-Fiルーターの設定がアプリ...

バッファローは2025年1月16日、累計450万ダウンロードを突破したiOS・Android用アプリ「AirStation」のVer.3.4を公開した。新バージョンでは、従来Web設定画面で行っていたWi-Fiルーターの設定変更機能がアプリ内で実行可能になり、SSID名や暗号化キーの変更、ゲストポート設定など、より直感的な操作でネットワーク環境を管理できるようになった。

バッファローがAirStationアプリVer.3.4を公開、Wi-Fiルーターの設定がアプリ...

バッファローは2025年1月16日、累計450万ダウンロードを突破したiOS・Android用アプリ「AirStation」のVer.3.4を公開した。新バージョンでは、従来Web設定画面で行っていたWi-Fiルーターの設定変更機能がアプリ内で実行可能になり、SSID名や暗号化キーの変更、ゲストポート設定など、より直感的な操作でネットワーク環境を管理できるようになった。

コルグがポータブルレコードプレーヤーhandytraxx playを発表、デジタルエフェクトとスクラッチ機能を搭載し音楽表現の可能性を拡大

コルグがポータブルレコードプレーヤーhandytraxx playを発表、デジタルエフェクトと...

コルグは新しいポータブルレコードプレーヤー「handytraxx play」を発表した。Vestax元社長の中間俊秀氏との共同開発により実現したこの製品は、デジタルエフェクトやオーディオルーパーなど最新機能を搭載。価格は55,000円で、付属のACアダプターまたは単三電池6本での駆動が可能。カジュアルなレコード愛好家からPortablismの愛好家まで幅広いユーザーに対応する。

コルグがポータブルレコードプレーヤーhandytraxx playを発表、デジタルエフェクトと...

コルグは新しいポータブルレコードプレーヤー「handytraxx play」を発表した。Vestax元社長の中間俊秀氏との共同開発により実現したこの製品は、デジタルエフェクトやオーディオルーパーなど最新機能を搭載。価格は55,000円で、付属のACアダプターまたは単三電池6本での駆動が可能。カジュアルなレコード愛好家からPortablismの愛好家まで幅広いユーザーに対応する。

MicrosoftがWindows 11 2024 Updateの展開を拡大、IT部門管理外のHome/Proデバイスも自動更新の対象に

MicrosoftがWindows 11 2024 Updateの展開を拡大、IT部門管理外の...

MicrosoftはWindows 11 2024 Update(バージョン 24H2)の展開状況が新段階に入ったことを発表した。Windows UpdateによるHome/Proエディションへの自動更新が開始され、バージョン22H2および23H3のデバイスが対象となる。ユーザーは再起動のタイミングを選択でき、アップグレードの延期も可能だ。既知の問題のあるデバイスにはセーフガード措置が適用される。

MicrosoftがWindows 11 2024 Updateの展開を拡大、IT部門管理外の...

MicrosoftはWindows 11 2024 Update(バージョン 24H2)の展開状況が新段階に入ったことを発表した。Windows UpdateによるHome/Proエディションへの自動更新が開始され、バージョン22H2および23H3のデバイスが対象となる。ユーザーは再起動のタイミングを選択でき、アップグレードの延期も可能だ。既知の問題のあるデバイスにはセーフガード措置が適用される。

アット東京がATBeX Watchを発表、ネットワークサービスの状況確認が容易に

アット東京がATBeX Watchを発表、ネットワークサービスの状況確認が容易に

アット東京は、ATBeX接続回線、仮想マネージドルータサービス、ONUお預かりサービスの利用者向けに、新サービス「ATBeX Watch」を2025年3月3日より提供開始する。契約中の回線情報やトラフィック状況、メンテナンス情報などをWebブラウザから閲覧可能で、ネットワークに詳しくないユーザーでも簡単に利用できる。

アット東京がATBeX Watchを発表、ネットワークサービスの状況確認が容易に

アット東京は、ATBeX接続回線、仮想マネージドルータサービス、ONUお預かりサービスの利用者向けに、新サービス「ATBeX Watch」を2025年3月3日より提供開始する。契約中の回線情報やトラフィック状況、メンテナンス情報などをWebブラウザから閲覧可能で、ネットワークに詳しくないユーザーでも簡単に利用できる。

SmartNewsが地震通知機能をリニューアル、地域特化型の地震情報をリアルタイムで配信可能に

SmartNewsが地震通知機能をリニューアル、地域特化型の地震情報をリアルタイムで配信可能に

スマートニュース株式会社がニュースアプリSmartNewsの地震通知機能を大幅リニューアルし、より早く正確な地震速報を受け取ることができるプッシュ通知や地震情報ページの提供を開始した。震度5弱以上の地震はすべてのユーザーに、震度3から4の場合は地震発生地域のユーザーに限定して通知を行い、地域に特化した地震情報をリアルタイムで受け取ることが可能になった。

SmartNewsが地震通知機能をリニューアル、地域特化型の地震情報をリアルタイムで配信可能に

スマートニュース株式会社がニュースアプリSmartNewsの地震通知機能を大幅リニューアルし、より早く正確な地震速報を受け取ることができるプッシュ通知や地震情報ページの提供を開始した。震度5弱以上の地震はすべてのユーザーに、震度3から4の場合は地震発生地域のユーザーに限定して通知を行い、地域に特化した地震情報をリアルタイムで受け取ることが可能になった。

ライトコードがモバイルゲームジグソーパズルHDを世界71カ国以上でリリース、高画質パズルで没入感のある体験を実現

ライトコードがモバイルゲームジグソーパズルHDを世界71カ国以上でリリース、高画質パズルで没入...

株式会社ライトコードは、iOS及びAndroid向けのゲームアプリ「ジグソーパズルHD - パズルゲーム」を2024年12月19日にリリースした。本アプリケーションでは、HD高画質にこだわった没入感のある体験を提供し、完成した画像をスマートフォンの壁紙やSNSでシェアすることが可能となっている。日本語を含む8言語に対応し、世界71カ国以上で配信を開始している。

ライトコードがモバイルゲームジグソーパズルHDを世界71カ国以上でリリース、高画質パズルで没入...

株式会社ライトコードは、iOS及びAndroid向けのゲームアプリ「ジグソーパズルHD - パズルゲーム」を2024年12月19日にリリースした。本アプリケーションでは、HD高画質にこだわった没入感のある体験を提供し、完成した画像をスマートフォンの壁紙やSNSでシェアすることが可能となっている。日本語を含む8言語に対応し、世界71カ国以上で配信を開始している。

MTT NETWORKが初回エアドロップを開始、前30ノードに6ヶ月間で10000MTTを毎月配布へ

MTT NETWORKが初回エアドロップを開始、前30ノードに6ヶ月間で10000MTTを毎月配布へ

MTT NETWORKは2025年1月20日より、前30のノード(公式ノードを除く)に対して毎月10,000 MTTのエアドロップ報酬を6ヶ月間提供することを発表した。1月1日から開始したノードステーキングプログラムでは既に25のノードが稼働しており、累計ステーキング量は1600万MTTトークンを突破している。

MTT NETWORKが初回エアドロップを開始、前30ノードに6ヶ月間で10000MTTを毎月配布へ

MTT NETWORKは2025年1月20日より、前30のノード(公式ノードを除く)に対して毎月10,000 MTTのエアドロップ報酬を6ヶ月間提供することを発表した。1月1日から開始したノードステーキングプログラムでは既に25のノードが稼働しており、累計ステーキング量は1600万MTTトークンを突破している。

SBS株式会社が美容整形AIシミュレーション「ミラミル」を提供開始、中小規模クリニックの集客力向上に貢献

SBS株式会社が美容整形AIシミュレーション「ミラミル」を提供開始、中小規模クリニックの集客力...

SBS株式会社は2025年1月20日、美容整形AIシミュレーションツール「ミラミル」の提供を開始した。ディープラーニングを活用して医師の施術傾向や症例データを学習し、高精度な術後シミュレーションを実現。マーケティングパッケージを組み合わせることで中小規模の美容整形外科の集客を支援する。専任サポートチームによる運用支援やコンサルティングも提供している。

SBS株式会社が美容整形AIシミュレーション「ミラミル」を提供開始、中小規模クリニックの集客力...

SBS株式会社は2025年1月20日、美容整形AIシミュレーションツール「ミラミル」の提供を開始した。ディープラーニングを活用して医師の施術傾向や症例データを学習し、高精度な術後シミュレーションを実現。マーケティングパッケージを組み合わせることで中小規模の美容整形外科の集客を支援する。専任サポートチームによる運用支援やコンサルティングも提供している。

Windows 10 22H2にビルド19045.5435をリリース、新カレンダー機能とOutlook for Windowsの統合で利便性が向上

Windows 10 22H2にビルド19045.5435をリリース、新カレンダー機能とOut...

Microsoft社がWindows 10 22H2向けに最新ビルド19045.5435を公開。新カレンダーによる天気予報や休日情報の表示機能、新Outlook for Windowsのデフォルトメールアプリ化など、ユーザビリティの向上を実現。また仮想メモリの問題やNFCリーダーの不具合修正、BYOVDブロックリストの更新によりセキュリティも強化。

Windows 10 22H2にビルド19045.5435をリリース、新カレンダー機能とOut...

Microsoft社がWindows 10 22H2向けに最新ビルド19045.5435を公開。新カレンダーによる天気予報や休日情報の表示機能、新Outlook for Windowsのデフォルトメールアプリ化など、ユーザビリティの向上を実現。また仮想メモリの問題やNFCリーダーの不具合修正、BYOVDブロックリストの更新によりセキュリティも強化。

MicrosoftがAutoGen 0.4をリリース、AIエージェントフレームワークが完全刷新され開発効率が向上

MicrosoftがAutoGen 0.4をリリース、AIエージェントフレームワークが完全刷新...

MicrosoftがAIエージェントフレームワークAutoGen 0.4を2025年1月17日にリリースした。非同期メッセージングによるエージェント間コミュニケーションやプラグ可能なコンポーネントによる拡張性の向上、コード品質の改善とワークフローのスケーラビリティが強化された。さらにPythonと.NETの両言語対応やコミュニティ拡張機能のサポートも実現している。

MicrosoftがAutoGen 0.4をリリース、AIエージェントフレームワークが完全刷新...

MicrosoftがAIエージェントフレームワークAutoGen 0.4を2025年1月17日にリリースした。非同期メッセージングによるエージェント間コミュニケーションやプラグ可能なコンポーネントによる拡張性の向上、コード品質の改善とワークフローのスケーラビリティが強化された。さらにPythonと.NETの両言語対応やコミュニティ拡張機能のサポートも実現している。

【CVE-2024-54191】Linuxカーネルの循環ロック脆弱性、Bluetoothスタックの安定性向上へ

【CVE-2024-54191】Linuxカーネルの循環ロック脆弱性、Bluetoothスタッ...

LinuxカーネルのBluetooth実装において、iso_conn_big_syncの循環ロック問題が発見され、CVE-2024-54191として識別された。この脆弱性は6.13-rc1から6.13-rc2のバージョンに影響を与え、iso_sock_recvmsgの処理中にデッドロックが発生する可能性があったが、6.13-rc3で修正された。今後のカーネル開発では、ロック機構の設計段階での検証強化が重要となる。

【CVE-2024-54191】Linuxカーネルの循環ロック脆弱性、Bluetoothスタッ...

LinuxカーネルのBluetooth実装において、iso_conn_big_syncの循環ロック問題が発見され、CVE-2024-54191として識別された。この脆弱性は6.13-rc1から6.13-rc2のバージョンに影響を与え、iso_sock_recvmsgの処理中にデッドロックが発生する可能性があったが、6.13-rc3で修正された。今後のカーネル開発では、ロック機構の設計段階での検証強化が重要となる。

【CVE-2024-12851】Element Pack LiteにXSS脆弱性、Contributor以上の権限で任意のスクリプト実行が可能に

【CVE-2024-12851】Element Pack LiteにXSS脆弱性、Contri...

WordPressプラグインElement Pack Liteにおいて、Cookie Consent Widgetのcustom_attributesパラメータに関する脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、バージョン5.10.14以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対策が求められる。

【CVE-2024-12851】Element Pack LiteにXSS脆弱性、Contri...

WordPressプラグインElement Pack Liteにおいて、Cookie Consent Widgetのcustom_attributesパラメータに関する脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、バージョン5.10.14以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対策が求められる。

【CVE-2024-56376】REDCap 14.9.6に格納型XSS脆弱性が発見、認証済みユーザーからの攻撃に警鐘

【CVE-2024-56376】REDCap 14.9.6に格納型XSS脆弱性が発見、認証済み...

医療研究データ管理システムのREDCap 14.9.6において、内蔵メッセンジャーに格納型XSS脆弱性が発見された。CVE-2024-56376として報告されたこの脆弱性は、認証済みユーザーが悪意のあるスクリプトを注入し、他のユーザーがメッセージをクリックした際に実行される可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、早急な対応が求められている。

【CVE-2024-56376】REDCap 14.9.6に格納型XSS脆弱性が発見、認証済み...

医療研究データ管理システムのREDCap 14.9.6において、内蔵メッセンジャーに格納型XSS脆弱性が発見された。CVE-2024-56376として報告されたこの脆弱性は、認証済みユーザーが悪意のあるスクリプトを注入し、他のユーザーがメッセージをクリックした際に実行される可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、早急な対応が求められている。

【CVE-2024-56377】REDCap 14.9.6に格納型XSS脆弱性が発見、医療データのセキュリティに警鐘

【CVE-2024-56377】REDCap 14.9.6に格納型XSS脆弱性が発見、医療デー...

MITREがREDCap 14.9.6における格納型XSS脆弱性を報告した。この脆弱性により、認証済みユーザーがSurvey TitleフィールドやSurvey Instructionsに悪意のあるスクリプトを注入可能となっている。CVSSスコア5.4(MEDIUM)と評価され、医療研究データの安全性に潜在的なリスクをもたらす可能性があるため、早急な対応が求められている。

【CVE-2024-56377】REDCap 14.9.6に格納型XSS脆弱性が発見、医療デー...

MITREがREDCap 14.9.6における格納型XSS脆弱性を報告した。この脆弱性により、認証済みユーザーがSurvey TitleフィールドやSurvey Instructionsに悪意のあるスクリプトを注入可能となっている。CVSSスコア5.4(MEDIUM)と評価され、医療研究データの安全性に潜在的なリスクをもたらす可能性があるため、早急な対応が求められている。

【CVE-2024-10862】NEX-Forms 8.7.13にSQLインジェクション脆弱性、管理者権限での攻撃が可能に

【CVE-2024-10862】NEX-Forms 8.7.13にSQLインジェクション脆弱性...

WordPressプラグイン「NEX-Forms – Ultimate Form Builder」の8.7.13以前のバージョンにSQLインジェクションの脆弱性が発見された。CVSSスコア4.9で評価され、管理者権限を持つユーザーが検索パラメータを介して追加のSQLクエリを実行可能。CSRFを介した攻撃も可能なため、データベースから機密情報が抽出されるリスクがある。

【CVE-2024-10862】NEX-Forms 8.7.13にSQLインジェクション脆弱性...

WordPressプラグイン「NEX-Forms – Ultimate Form Builder」の8.7.13以前のバージョンにSQLインジェクションの脆弱性が発見された。CVSSスコア4.9で評価され、管理者権限を持つユーザーが検索パラメータを介して追加のSQLクエリを実行可能。CSRFを介した攻撃も可能なため、データベースから機密情報が抽出されるリスクがある。

【CVE-2024-56438】HuaweiのHUKS moduleに脆弱性、HarmonyOSとEMUIのセキュリティに影響

【CVE-2024-56438】HuaweiのHUKS moduleに脆弱性、HarmonyO...

Huawei社がHUKS moduleのメモリアドレス保護における脆弱性【CVE-2024-56438】を公開した。HarmonyOS 3.1.0から4.2.0およびEMUI 14.0.0に影響を与えるこの脆弱性は、CVSSスコア6.0(MEDIUM)で評価され、システムの可用性に影響を及ぼす可能性がある。特権アクセスを必要とする攻撃であり、ユーザーの関与は不要とされている。

【CVE-2024-56438】HuaweiのHUKS moduleに脆弱性、HarmonyO...

Huawei社がHUKS moduleのメモリアドレス保護における脆弱性【CVE-2024-56438】を公開した。HarmonyOS 3.1.0から4.2.0およびEMUI 14.0.0に影響を与えるこの脆弱性は、CVSSスコア6.0(MEDIUM)で評価され、システムの可用性に影響を及ぼす可能性がある。特権アクセスを必要とする攻撃であり、ユーザーの関与は不要とされている。

【CVE-2024-56447】HarmonyOSとEMUIに権限制御の脆弱性、サービスの機密性への影響に懸念

【CVE-2024-56447】HarmonyOSとEMUIに権限制御の脆弱性、サービスの機密...

Huawei TechnologiesはHarmonyOSとEMUIの窓管理モジュールにおける権限制御の脆弱性を公開した。CVSSスコア7.8の高リスク評価で、HarmonyOS 2.0.0から4.2.0とEMUI 12.0.0から14.0.0が影響を受ける。攻撃には局所的なアクセスが必要だが、ユーザーの介入なしで機密性と整合性、可用性に高い影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-56447】HarmonyOSとEMUIに権限制御の脆弱性、サービスの機密...

Huawei TechnologiesはHarmonyOSとEMUIの窓管理モジュールにおける権限制御の脆弱性を公開した。CVSSスコア7.8の高リスク評価で、HarmonyOS 2.0.0から4.2.0とEMUI 12.0.0から14.0.0が影響を受ける。攻撃には局所的なアクセスが必要だが、ユーザーの介入なしで機密性と整合性、可用性に高い影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-56445】HarmonyOS 5.0.0のFindnetworkモジュールに認証バイパスの脆弱性、機能異常のリスクに要注意

【CVE-2024-56445】HarmonyOS 5.0.0のFindnetworkモジュー...

Huaweiは2025年1月8日、HarmonyOS 5.0.0のFindnetworkモジュールに認証バイパスの脆弱性が存在することを公開した。CVSSスコアは4.3でMedium評価となっており、この脆弱性は【CVE-2024-56445】として識別されている。攻撃に成功した場合、モジュールの機能異常を引き起こす可能性があり、早急な対応が推奨される。

【CVE-2024-56445】HarmonyOS 5.0.0のFindnetworkモジュー...

Huaweiは2025年1月8日、HarmonyOS 5.0.0のFindnetworkモジュールに認証バイパスの脆弱性が存在することを公開した。CVSSスコアは4.3でMedium評価となっており、この脆弱性は【CVE-2024-56445】として識別されている。攻撃に成功した場合、モジュールの機能異常を引き起こす可能性があり、早急な対応が推奨される。

【CVE-2024-13183】Orbit Fox by ThemeIsleプラグインにXSS脆弱性、2.10.43以前のバージョンに影響

【CVE-2024-13183】Orbit Fox by ThemeIsleプラグインにXSS...

WordPressプラグインのOrbit Fox by ThemeIsleにおいて、title_tagパラメータの入力検証と出力エスケープが不十分であることによる重大な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる格納型XSSの脆弱性として報告されており、CVSSスコアは6.4でMedium(中程度)の深刻度に分類されている。影響を受けるバージョンは2.10.43以前のすべてのバージョンとなっている。

【CVE-2024-13183】Orbit Fox by ThemeIsleプラグインにXSS...

WordPressプラグインのOrbit Fox by ThemeIsleにおいて、title_tagパラメータの入力検証と出力エスケープが不十分であることによる重大な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる格納型XSSの脆弱性として報告されており、CVSSスコアは6.4でMedium(中程度)の深刻度に分類されている。影響を受けるバージョンは2.10.43以前のすべてのバージョンとなっている。

【CVE-2025-23022】FreeType 2.8.1に整数オーバーフローの脆弱性が発見、アプリケーションへの影響が懸念される状況に

【CVE-2025-23022】FreeType 2.8.1に整数オーバーフローの脆弱性が発見...

MITRE Corporationは2025年1月10日、FreeType 2.8.1のcf2_doFlex機能に整数オーバーフローの脆弱性が存在することを公開した。CVSSスコア4.0でMedium評価とされており、ローカル環境からの攻撃により、サービス可用性への影響が懸念される。GitLabのイシュートラッカーやDebianセキュリティチームによる追跡が行われており、早急な対策が必要な状況となっている。

【CVE-2025-23022】FreeType 2.8.1に整数オーバーフローの脆弱性が発見...

MITRE Corporationは2025年1月10日、FreeType 2.8.1のcf2_doFlex機能に整数オーバーフローの脆弱性が存在することを公開した。CVSSスコア4.0でMedium評価とされており、ローカル環境からの攻撃により、サービス可用性への影響が懸念される。GitLabのイシュートラッカーやDebianセキュリティチームによる追跡が行われており、早急な対策が必要な状況となっている。

【CVE-2025-0311】Orbit Fox by ThemeIsle 2.10.43にXSS脆弱性、認証済みユーザーによる任意スクリプト実行が可能に

【CVE-2025-0311】Orbit Fox by ThemeIsle 2.10.43にX...

WordPressプラグイン「Orbit Fox by ThemeIsle」のバージョン2.10.43以前にStored XSS脆弱性が発見された。Pricing Table Widgetにおける入力サニタイズと出力エスケープの不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4で、早急なアップデートが推奨される。

【CVE-2025-0311】Orbit Fox by ThemeIsle 2.10.43にX...

WordPressプラグイン「Orbit Fox by ThemeIsle」のバージョン2.10.43以前にStored XSS脆弱性が発見された。Pricing Table Widgetにおける入力サニタイズと出力エスケープの不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4で、早急なアップデートが推奨される。

【CVE-2024-13180】Ivanti Avalancheに認証不要のPath Traversal脆弱性が発見、機密情報漏洩のリスクに

【CVE-2024-13180】Ivanti Avalancheに認証不要のPath Trav...

IvantiのAvalanche 6.4.6以前のバージョンにおいて、リモートからの認証なしPath Traversal攻撃により機密情報が漏洩する脆弱性が発見された。CVSSスコア7.5の高レベルの深刻度を示すこの脆弱性は、CVE-2024-47011の不完全な修正により発生。SSVCの評価では自動化された攻撃の可能性は現時点で確認されていないものの、技術的な影響は存在するとされている。

【CVE-2024-13180】Ivanti Avalancheに認証不要のPath Trav...

IvantiのAvalanche 6.4.6以前のバージョンにおいて、リモートからの認証なしPath Traversal攻撃により機密情報が漏洩する脆弱性が発見された。CVSSスコア7.5の高レベルの深刻度を示すこの脆弱性は、CVE-2024-47011の不完全な修正により発生。SSVCの評価では自動化された攻撃の可能性は現時点で確認されていないものの、技術的な影響は存在するとされている。