Tech Insights

アクアリーフのフードバンク業務管理システムがASPIC情報開示認定を取得、自治体やフードバンク団体の安心導入に貢献

アクアリーフのフードバンク業務管理システムがASPIC情報開示認定を取得、自治体やフードバンク...

株式会社アクアリーフのフードバンク業務管理システムが、総務省とASPICによる情報開示認定を取得。システムの品質、安全性、信頼性が第三者機関により認定され、自治体やフードバンク団体が安心してサービスを導入できる環境が整備された。トレーサビリティ機能による食品寄附の促進と食品ロス対策にも貢献している。

アクアリーフのフードバンク業務管理システムがASPIC情報開示認定を取得、自治体やフードバンク...

株式会社アクアリーフのフードバンク業務管理システムが、総務省とASPICによる情報開示認定を取得。システムの品質、安全性、信頼性が第三者機関により認定され、自治体やフードバンク団体が安心してサービスを導入できる環境が整備された。トレーサビリティ機能による食品寄附の促進と食品ロス対策にも貢献している。

DenonがPMA-900HNEなど3機種でRoon Ready対応を発表、HEOSアプリの機能も大幅に強化

DenonがPMA-900HNEなど3機種でRoon Ready対応を発表、HEOSアプリの機...

デノンは2025年3月27日、ネットワークプリメインアンプPMA-900HNEなど3機種のRoon Ready対応を発表した。ファームウェアアップデートにより、HEOSアプリではUSBメモリー再生時のタイムシーク機能追加や再生キュー登録上限1000曲への拡大など、機能強化も実施される。アップデートは2025年4月9日までに段階的に提供される予定。

DenonがPMA-900HNEなど3機種でRoon Ready対応を発表、HEOSアプリの機...

デノンは2025年3月27日、ネットワークプリメインアンプPMA-900HNEなど3機種のRoon Ready対応を発表した。ファームウェアアップデートにより、HEOSアプリではUSBメモリー再生時のタイムシーク機能追加や再生キュー登録上限1000曲への拡大など、機能強化も実施される。アップデートは2025年4月9日までに段階的に提供される予定。

2024年のインターネット詐欺が深刻化、サポート詐欺が前年比2.6倍に増加し詐欺検知数が1億件突破

2024年のインターネット詐欺が深刻化、サポート詐欺が前年比2.6倍に増加し詐欺検知数が1億件突破

BBSS株式会社が詐欺ウォールの2024年分析レポートを公開。サポート詐欺が前年比2.6倍に急増し、偽販売サイトが全体の7割以上を占める。フィッシング詐欺では三菱UFJ銀行を装うサイトが最多で、クレジットカード詐欺が31%を占めた。地方銀行を標的とした攻撃も33%増加し、詐欺ウォールの年間検知数は1億1,743,401件に達している。

2024年のインターネット詐欺が深刻化、サポート詐欺が前年比2.6倍に増加し詐欺検知数が1億件突破

BBSS株式会社が詐欺ウォールの2024年分析レポートを公開。サポート詐欺が前年比2.6倍に急増し、偽販売サイトが全体の7割以上を占める。フィッシング詐欺では三菱UFJ銀行を装うサイトが最多で、クレジットカード詐欺が31%を占めた。地方銀行を標的とした攻撃も33%増加し、詐欺ウォールの年間検知数は1億1,743,401件に達している。

IDヨーロッパがBBSecとNewton ITと連携し欧州でサイバーセキュリティサービスを本格展開、XDRテクノロジーを活用した包括的な保護を実現

IDヨーロッパがBBSecとNewton ITと連携し欧州でサイバーセキュリティサービスを本格...

IDホールディングスの子会社IDヨーロッパが、欧州でのITサービス事業拡大に向けてサイバーセキュリティサービスの提供を開始。BBSecとNewton ITとの連携により、G-MDR、脆弱性診断、Web改ざん検知、TISAX認証支援などの高度なセキュリティサービスを展開。XDRテクノロジーの活用と専門知識の統合により、在欧日系企業の課題解決を支援する体制を構築している。

IDヨーロッパがBBSecとNewton ITと連携し欧州でサイバーセキュリティサービスを本格...

IDホールディングスの子会社IDヨーロッパが、欧州でのITサービス事業拡大に向けてサイバーセキュリティサービスの提供を開始。BBSecとNewton ITとの連携により、G-MDR、脆弱性診断、Web改ざん検知、TISAX認証支援などの高度なセキュリティサービスを展開。XDRテクノロジーの活用と専門知識の統合により、在欧日系企業の課題解決を支援する体制を構築している。

【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユーザー存在の判別が可能に

【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユ...

OpenSlidesの4.2.5未満のバージョンにおいて、ログイン認証時の応答時間の差異によりユーザーアカウントの存在有無が判別可能になる脆弱性が発見された。パスワードハッシュ化処理の省略により100ミリ秒以上の時間差が発生し、CVSSスコア5.3(MEDIUM)と評価される重要な問題である。早急なバージョンアップデートによる対応が推奨される。

【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユ...

OpenSlidesの4.2.5未満のバージョンにおいて、ログイン認証時の応答時間の差異によりユーザーアカウントの存在有無が判別可能になる脆弱性が発見された。パスワードハッシュ化処理の省略により100ミリ秒以上の時間差が発生し、CVSSスコア5.3(MEDIUM)と評価される重要な問題である。早急なバージョンアップデートによる対応が推奨される。

【CVE-2025-28868】WordPress用プラグインZipList Recipe 3.1にCSRF脆弱性、中程度のセキュリティリスクが判明

【CVE-2025-28868】WordPress用プラグインZipList Recipe 3...

WordPressのレシピ管理プラグインZipList Recipe 3.1以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28868として識別されるこの脆弱性は、特別な権限なしに悪用可能であり、CVSSスコア4.3の中程度のリスクと評価されている。攻撃者はユーザーの操作を必要とするものの、システムに部分的な影響を与える可能性がある。

【CVE-2025-28868】WordPress用プラグインZipList Recipe 3...

WordPressのレシピ管理プラグインZipList Recipe 3.1以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28868として識別されるこの脆弱性は、特別な権限なしに悪用可能であり、CVSSスコア4.3の中程度のリスクと評価されている。攻撃者はユーザーの操作を必要とするものの、システムに部分的な影響を与える可能性がある。

【CVE-2025-28863】WordPressプラグインDelete Original Image 0.4にCSRF脆弱性が発見、早急な対応が必要に

【CVE-2025-28863】WordPressプラグインDelete Original I...

Carlos MinattiのWordPressプラグインDelete Original Imageにおいて、バージョン0.4以前に深刻なCSRF脆弱性が発見された。CVSSスコア4.3のミディアムレベルの脆弱性で、攻撃者は特権レベルを必要とせずに不正なリクエストを実行可能。Patchstack Allianceの研究者によって発見され、CWE-352に分類される本脆弱性への対応が急務となっている。

【CVE-2025-28863】WordPressプラグインDelete Original I...

Carlos MinattiのWordPressプラグインDelete Original Imageにおいて、バージョン0.4以前に深刻なCSRF脆弱性が発見された。CVSSスコア4.3のミディアムレベルの脆弱性で、攻撃者は特権レベルを必要とせずに不正なリクエストを実行可能。Patchstack Allianceの研究者によって発見され、CWE-352に分類される本脆弱性への対応が急務となっている。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバージョンにXSS脆弱性が発見、ベンダーの対応待ち状態が継続

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2683】PHPGurukul Bank Locker Management Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが顕在化

【CVE-2025-2683】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のprofile.phpファイルにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータの不適切な処理により、リモートからの攻撃が可能で、CVSSスコアは最大7.5を記録。認証不要で攻撃可能なため、早急な対応が必要となっている。既に攻撃コードが公開されており、データベースの改ざんや情報漏洩のリスクが高まっている。

【CVE-2025-2683】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のprofile.phpファイルにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータの不適切な処理により、リモートからの攻撃が可能で、CVSSスコアは最大7.5を記録。認証不要で攻撃可能なため、早急な対応が必要となっている。既に攻撃コードが公開されており、データベースの改ざんや情報漏洩のリスクが高まっている。

【CVE-2025-2678】PHPGurukul Bank Locker Management System 1.0にSQLインジェクションの脆弱性、金融データに深刻な影響のおそれ

【CVE-2025-2678】PHPGurukul Bank Locker Managemen...

PHPGurukul社のBank Locker Management System 1.0において、changeimage1.phpファイルに重大な脆弱性が発見された。CVE-2025-2678として識別されたこの脆弱性は、editidパラメータを介したSQLインジェクション攻撃を可能にし、認証なしでリモートからの攻撃が可能な状態だ。CVSSスコアは最新のバージョン4.0で6.9を記録しており、早急な対応が求められる。

【CVE-2025-2678】PHPGurukul Bank Locker Managemen...

PHPGurukul社のBank Locker Management System 1.0において、changeimage1.phpファイルに重大な脆弱性が発見された。CVE-2025-2678として識別されたこの脆弱性は、editidパラメータを介したSQLインジェクション攻撃を可能にし、認証なしでリモートからの攻撃が可能な状態だ。CVSSスコアは最新のバージョン4.0で6.9を記録しており、早急な対応が求められる。

【CVE-2025-2676】PHPGurukul Bank Locker Management Systemで深刻なSQL injection脆弱性が発見、早急な対策が必要に

【CVE-2025-2676】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のadd-subadmin.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-2676として識別されるこの脆弱性は、sadminusername引数を通じて不正なSQLコマンドを実行可能で、CVSSスコアは最大7.5と評価されている。攻撃コードも公開されており、早急なセキュリティ対策が必要とされている。

【CVE-2025-2676】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のadd-subadmin.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-2676として識別されるこの脆弱性は、sadminusername引数を通じて不正なSQLコマンドを実行可能で、CVSSスコアは最大7.5と評価されている。攻撃コードも公開されており、早急なセキュリティ対策が必要とされている。

【CVE-2025-2674】PHPGurukul Bank Locker Management Systemに深刻なSQL injection脆弱性、早急な対応が必要に

【CVE-2025-2674】PHPGurukul Bank Locker Managemen...

PHPGurukul社のBank Locker Management System 1.0のaboutus.phpファイルにSQL injection脆弱性が発見された。pagetitle引数の不適切な処理が原因で、認証なしでリモートからの攻撃が可能。CVSS 4.0で6.9、CVSS 3.1/3.0で7.3のスコアが付けられ、既に攻撃手法が公開されているため早急な対応が必要とされている。

【CVE-2025-2674】PHPGurukul Bank Locker Managemen...

PHPGurukul社のBank Locker Management System 1.0のaboutus.phpファイルにSQL injection脆弱性が発見された。pagetitle引数の不適切な処理が原因で、認証なしでリモートからの攻撃が可能。CVSS 4.0で6.9、CVSS 3.1/3.0で7.3のスコアが付けられ、既に攻撃手法が公開されているため早急な対応が必要とされている。

【CVE-2025-2672】code-projects Payroll Management System 1.0にSQLインジェクション脆弱性が発見、リモート攻撃の可能性も

【CVE-2025-2672】code-projects Payroll Management...

code-projects Payroll Management System 1.0のadd_deductions.phpファイルにおいて、bir引数に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-2672として識別されるこの脆弱性は、リモートからの攻撃が可能で、低権限でも実行できる特徴を持つ。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価され、現在は攻撃コードも公開された状態となっている。

【CVE-2025-2672】code-projects Payroll Management...

code-projects Payroll Management System 1.0のadd_deductions.phpファイルにおいて、bir引数に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-2672として識別されるこの脆弱性は、リモートからの攻撃が可能で、低権限でも実行できる特徴を持つ。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価され、現在は攻撃コードも公開された状態となっている。

【CVE-2025-2654】SourceCodester AC Repair and Services Systemに重大な脆弱性、SQLインジェクション攻撃が可能に

【CVE-2025-2654】SourceCodester AC Repair and Ser...

SourceCodester社のAC Repair and Services System 1.0において、管理者向けサービス管理機能に重大な脆弱性が発見された。CVE-2025-2654として登録されたこの脆弱性は、SQLインジェクションを可能とし、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。リモートからの攻撃実行が可能で、すでに一般に公開されており早急な対応が必要となっている。

【CVE-2025-2654】SourceCodester AC Repair and Ser...

SourceCodester社のAC Repair and Services System 1.0において、管理者向けサービス管理機能に重大な脆弱性が発見された。CVE-2025-2654として登録されたこの脆弱性は、SQLインジェクションを可能とし、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。リモートからの攻撃実行が可能で、すでに一般に公開されており早急な対応が必要となっている。

【CVE-2025-2652】SourceCodester Gate Pass Logging Systemに情報漏洩の脆弱性、設定変更による対応が必要に

【CVE-2025-2652】SourceCodester Gate Pass Logging...

VulDBは2025年3月23日、SourceCodester社のEmployee and Visitor Gate Pass Logging System 1.0においてディレクトリリスティングによる情報漏洩の脆弱性を発見。CVE-2025-2652として識別されたこの脆弱性は、CVSS v4.0で深刻度6.9(ミディアム)と評価された。リモートからの攻撃が可能で認証も不要なため、早急な設定変更による対応が推奨されている。

【CVE-2025-2652】SourceCodester Gate Pass Logging...

VulDBは2025年3月23日、SourceCodester社のEmployee and Visitor Gate Pass Logging System 1.0においてディレクトリリスティングによる情報漏洩の脆弱性を発見。CVE-2025-2652として識別されたこの脆弱性は、CVSS v4.0で深刻度6.9(ミディアム)と評価された。リモートからの攻撃が可能で認証も不要なため、早急な設定変更による対応が推奨されている。

BBSecがIDヨーロッパと協業しサイバーセキュリティサービスを欧州展開、サイバーレジリエンス法対応も強化

BBSecがIDヨーロッパと協業しサイバーセキュリティサービスを欧州展開、サイバーレジリエンス...

BBSecはIDホールディングスとの資本業務提携を基に、IDヨーロッパおよびNewton ITとの協業を通じて欧州でのサイバーセキュリティ関連ソリューションサービスを開始する。G-MDR、脆弱性診断、改ざん検知、TISAX認証支援など包括的なサービスを提供し、地政学リスクに伴うサイバー攻撃対策とEUサイバーレジリエンス法への対応を支援する体制を構築した。

BBSecがIDヨーロッパと協業しサイバーセキュリティサービスを欧州展開、サイバーレジリエンス...

BBSecはIDホールディングスとの資本業務提携を基に、IDヨーロッパおよびNewton ITとの協業を通じて欧州でのサイバーセキュリティ関連ソリューションサービスを開始する。G-MDR、脆弱性診断、改ざん検知、TISAX認証支援など包括的なサービスを提供し、地政学リスクに伴うサイバー攻撃対策とEUサイバーレジリエンス法への対応を支援する体制を構築した。

マランツがAV 10とSTEREO 70sのHEOSメジャーアップデートを実施、Roon Ready対応とUSBメモリー再生機能を強化

マランツがAV 10とSTEREO 70sのHEOSメジャーアップデートを実施、Roon Re...

マランツは2025年3月27日、AVプリアンプ「AV 10」およびネットワーク・ステレオレシーバー「STEREO 70s」のHEOSメジャーアップデートを実施し、Roon Readyに対応。USBメモリー再生時のタイムシーク機能追加や、再生キューの最大登録曲数を300曲から1000曲に拡大するなど、HEOS Built-in製品の機能が大幅に強化された。アップデートは2025年4月9日までに段階的に提供される。

マランツがAV 10とSTEREO 70sのHEOSメジャーアップデートを実施、Roon Re...

マランツは2025年3月27日、AVプリアンプ「AV 10」およびネットワーク・ステレオレシーバー「STEREO 70s」のHEOSメジャーアップデートを実施し、Roon Readyに対応。USBメモリー再生時のタイムシーク機能追加や、再生キューの最大登録曲数を300曲から1000曲に拡大するなど、HEOS Built-in製品の機能が大幅に強化された。アップデートは2025年4月9日までに段階的に提供される。

【CVE-2025-2619】D-Link DAP-1620に重大な脆弱性、リモート攻撃の危険性が明らかに

【CVE-2025-2619】D-Link DAP-1620に重大な脆弱性、リモート攻撃の危険...

D-Link DAP-1620 1.03のCookie Handler機能において、重大なスタックベースバッファオーバーフローの脆弱性が発見された。CVE-2025-2619として識別されるこの脆弱性は、CVSSスコア9.3を記録し、リモートからの攻撃が可能。既に攻撃コードが公開されており、サポート終了製品のため修正プログラムの提供も期待できない状況だ。

【CVE-2025-2619】D-Link DAP-1620に重大な脆弱性、リモート攻撃の危険...

D-Link DAP-1620 1.03のCookie Handler機能において、重大なスタックベースバッファオーバーフローの脆弱性が発見された。CVE-2025-2619として識別されるこの脆弱性は、CVSSスコア9.3を記録し、リモートからの攻撃が可能。既に攻撃コードが公開されており、サポート終了製品のため修正プログラムの提供も期待できない状況だ。

【CVE-2025-25068】Mattermostの複数バージョンでMFA認証バイパスの脆弱性、修正版の更新を推奨

【CVE-2025-25068】Mattermostの複数バージョンでMFA認証バイパスの脆弱...

Mattermost社は2025年3月21日、同社製品の複数バージョンにおいてMFA認証をバイパス可能な重大な脆弱性(CVE-2025-25068)を発見したことを公開した。影響を受けるバージョンは10.4.x、10.3.x、9.11.x、10.5.xの一部で、CVSSスコアは7.5(High)と評価されている。プラグイン固有のルートへのAPIリクエストを通じて認証済みの攻撃者がMFA保護をバイパスできる問題が確認されており、速やかな更新が推奨される。

【CVE-2025-25068】Mattermostの複数バージョンでMFA認証バイパスの脆弱...

Mattermost社は2025年3月21日、同社製品の複数バージョンにおいてMFA認証をバイパス可能な重大な脆弱性(CVE-2025-25068)を発見したことを公開した。影響を受けるバージョンは10.4.x、10.3.x、9.11.x、10.5.xの一部で、CVSSスコアは7.5(High)と評価されている。プラグイン固有のルートへのAPIリクエストを通じて認証済みの攻撃者がMFA保護をバイパスできる問題が確認されており、速やかな更新が推奨される。

【CVE-2025-2384】Real Estate Property Management System 1.0にSQLインジェクションの脆弱性、顧客情報漏洩のリスクが深刻化

【CVE-2025-2384】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、InsertCustomer.phpのパラメータ処理に重大な脆弱性が発見された。この脆弱性はSQLインジェクションに分類され、CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められる状況となっている。

【CVE-2025-2384】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、InsertCustomer.phpのパラメータ処理に重大な脆弱性が発見された。この脆弱性はSQLインジェクションに分類され、CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められる状況となっている。

【CVE-2025-2216】zzskzy Warehouse Refinement Management System 1.3に重大な脆弱性、ベンダー応答なく詳細が公開される事態に

【CVE-2025-2216】zzskzy Warehouse Refinement Mana...

VulDBが2025年3月12日、zzskzy Warehouse Refinement Management System 1.3において重大な脆弱性を発見したことを公開した。SaveCrash.ashxファイルのUploadCrash機能に無制限アップロードの問題が存在し、リモートからの攻撃が可能。CVSS 3.1で6.3(MEDIUM)と評価され、機密性・完全性・可用性に影響。ベンダーからの応答がないまま脆弱性情報が公開され、攻撃者による悪用が懸念される。

【CVE-2025-2216】zzskzy Warehouse Refinement Mana...

VulDBが2025年3月12日、zzskzy Warehouse Refinement Management System 1.3において重大な脆弱性を発見したことを公開した。SaveCrash.ashxファイルのUploadCrash機能に無制限アップロードの問題が存在し、リモートからの攻撃が可能。CVSS 3.1で6.3(MEDIUM)と評価され、機密性・完全性・可用性に影響。ベンダーからの応答がないまま脆弱性情報が公開され、攻撃者による悪用が懸念される。

【CVE-2025-2147】Beijing Zhide Intelligent Internet Technologyの管理システムにファイルアクセスの脆弱性、対応が急務に

【CVE-2025-2147】Beijing Zhide Intelligent Intern...

Beijing Zhide Intelligent Internet TechnologyのModern Farm Digital Integrated Management System 1.0において、認証不要でリモートからファイルやディレクトリにアクセス可能な脆弱性が発見された。CVSSスコア6.9のMedium評価であり、既に公開済みだが、ベンダーは未対応のまま。農業データや個人情報の漏洩リスクが高まっており、早急な対策が必要とされている。

【CVE-2025-2147】Beijing Zhide Intelligent Intern...

Beijing Zhide Intelligent Internet TechnologyのModern Farm Digital Integrated Management System 1.0において、認証不要でリモートからファイルやディレクトリにアクセス可能な脆弱性が発見された。CVSSスコア6.9のMedium評価であり、既に公開済みだが、ベンダーは未対応のまま。農業データや個人情報の漏洩リスクが高まっており、早急な対策が必要とされている。

【CVE-2025-2103】SoundRise Musicプラグインに深刻な認可の欠陥、管理者権限取得の脆弱性が発見される

【CVE-2025-2103】SoundRise Musicプラグインに深刻な認可の欠陥、管理...

WordPressプラグイン「SoundRise Music」のバージョン1.6.11以前において、認証済みユーザーによる権限昇格が可能な重大な脆弱性が発見された。ironMusic_ajax()関数における認可チェックの欠如により、サブスクライバー以上の権限を持つユーザーが任意のオプションを更新可能な状態となっており、管理者権限の取得も可能な状況であることが判明。CVSSスコア8.8と高い深刻度が示されている。

【CVE-2025-2103】SoundRise Musicプラグインに深刻な認可の欠陥、管理...

WordPressプラグイン「SoundRise Music」のバージョン1.6.11以前において、認証済みユーザーによる権限昇格が可能な重大な脆弱性が発見された。ironMusic_ajax()関数における認可チェックの欠如により、サブスクライバー以上の権限を持つユーザーが任意のオプションを更新可能な状態となっており、管理者権限の取得も可能な状況であることが判明。CVSSスコア8.8と高い深刻度が示されている。

【CVE-2025-2025】GiveWPプラグイン3.22.0以前に認証回避の脆弱性、未認証攻撃者による収益レポートへのアクセスが可能に

【CVE-2025-2025】GiveWPプラグイン3.22.0以前に認証回避の脆弱性、未認証...

WordPressの寄付管理プラグインGiveWPに認証回避の脆弱性が発見された。3.22.0以前のバージョンでgive_reports_earnings関数に適切な認証チェックが実装されておらず、未認証の攻撃者が収益レポートにアクセス可能な状態となっていた。本脆弱性はCVE-2025-2025として識別され、CVSS値6.5のMEDIUM評価。すでに修正パッチが公開されており、早急なアップデートが推奨される。

【CVE-2025-2025】GiveWPプラグイン3.22.0以前に認証回避の脆弱性、未認証...

WordPressの寄付管理プラグインGiveWPに認証回避の脆弱性が発見された。3.22.0以前のバージョンでgive_reports_earnings関数に適切な認証チェックが実装されておらず、未認証の攻撃者が収益レポートにアクセス可能な状態となっていた。本脆弱性はCVE-2025-2025として識別され、CVSS値6.5のMEDIUM評価。すでに修正パッチが公開されており、早急なアップデートが推奨される。

【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS...

WordPressプラグインのGallery Stylesにおいて、バージョン1.3.4以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーがギャラリーブロックを介して任意のWebスクリプトを注入可能となり、CVSSスコア6.4のMedium評価とされている。早急なアップデートによる対応が推奨される。

【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS...

WordPressプラグインのGallery Stylesにおいて、バージョン1.3.4以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーがギャラリーブロックを介して任意のWebスクリプトを注入可能となり、CVSSスコア6.4のMedium評価とされている。早急なアップデートによる対応が推奨される。

WordPressプラグインTripetto 8.0.9以前にCSRF脆弱性、管理者権限で任意のデータ削除が可能に

WordPressプラグインTripetto 8.0.9以前にCSRF脆弱性、管理者権限で任意...

Wordfenceによって、WordPress用フォームビルダープラグインTripettoにCSRF脆弱性が発見された。バージョン8.0.9以前のすべてのバージョンが影響を受け、CVE-2025-1530として識別されている。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、任意のフォームデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されている。

WordPressプラグインTripetto 8.0.9以前にCSRF脆弱性、管理者権限で任意...

Wordfenceによって、WordPress用フォームビルダープラグインTripettoにCSRF脆弱性が発見された。バージョン8.0.9以前のすべてのバージョンが影響を受け、CVE-2025-1530として識別されている。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、任意のフォームデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2025-1504】WordPressプラグインPost Lockdown 4.0.2に認可機能の欠落による情報漏洩の脆弱性、Subscriberレベルのユーザーが保護コンテンツにアクセス可

【CVE-2025-1504】WordPressプラグインPost Lockdown 4.0....

WordPressプラグインPost Lockdownのバージョン4.0.2以前に、認可機能の欠落による情報漏洩の脆弱性が発見された。この脆弱性はSubscriberレベル以上の権限を持つユーザーが、パスワード保護された投稿やプライベート投稿、下書き状態の投稿内容にアクセス可能になるもので、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。'pl_autocomplete'のAJAXアクションにおける投稿アクセス制限の不備が原因とされている。

【CVE-2025-1504】WordPressプラグインPost Lockdown 4.0....

WordPressプラグインPost Lockdownのバージョン4.0.2以前に、認可機能の欠落による情報漏洩の脆弱性が発見された。この脆弱性はSubscriberレベル以上の権限を持つユーザーが、パスワード保護された投稿やプライベート投稿、下書き状態の投稿内容にアクセス可能になるもので、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。'pl_autocomplete'のAJAXアクションにおける投稿アクセス制限の不備が原因とされている。

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン2.19.0で修正完了

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン...

MLflowバージョン2.18において、管理者が新規ユーザーアカウントをパスワードなしで作成できる重大な脆弱性が発見された。この問題はCVE-2025-1474として識別され、CVSSスコア3.8(Low)と評価されている。MLflow開発チームは迅速に対応し、バージョン2.19.0で修正を完了。セキュアなユーザーアカウント管理の重要性が再認識される結果となった。

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン...

MLflowバージョン2.18において、管理者が新規ユーザーアカウントをパスワードなしで作成できる重大な脆弱性が発見された。この問題はCVE-2025-1474として識別され、CVSSスコア3.8(Low)と評価されている。MLflow開発チームは迅速に対応し、バージョン2.19.0で修正を完了。セキュアなユーザーアカウント管理の重要性が再認識される結果となった。

【CVE-2025-0723】ProfileGridプラグインにSQLインジェクションの脆弱性、ユーザーデータの漏洩リスクが浮上

【CVE-2025-0723】ProfileGridプラグインにSQLインジェクションの脆弱性...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.7以前に、認証済みユーザーによるSQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性により、データベースから機密情報を抽出される可能性がある。Subscriberレベル以上の権限を持つユーザーが悪用可能で、ブラインドおよびタイムベースSQLインジェクションの両方の手法が使用可能であることが判明している。

【CVE-2025-0723】ProfileGridプラグインにSQLインジェクションの脆弱性...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.7以前に、認証済みユーザーによるSQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性により、データベースから機密情報を抽出される可能性がある。Subscriberレベル以上の権限を持つユーザーが悪用可能で、ブラインドおよびタイムベースSQLインジェクションの両方の手法が使用可能であることが判明している。

MicrosoftがAzure SDK for Rustをベータ版として公開、クラウドネイティブ開発の新たな選択肢を提供

MicrosoftがAzure SDK for Rustをベータ版として公開、クラウドネイティ...

MicrosoftはAzure SDKの新バージョンで、Rust言語向けベータ版SDKを初公開した。Identity、Key Vault、Event Hubs、Cosmos DBのライブラリを提供し、高パフォーマンスと信頼性を重視したシステム開発をサポート。また、Node.js 18のサポート終了が2025年4月30日に予定されており、最新バージョンへの移行が推奨されている。

MicrosoftがAzure SDK for Rustをベータ版として公開、クラウドネイティ...

MicrosoftはAzure SDKの新バージョンで、Rust言語向けベータ版SDKを初公開した。Identity、Key Vault、Event Hubs、Cosmos DBのライブラリを提供し、高パフォーマンスと信頼性を重視したシステム開発をサポート。また、Node.js 18のサポート終了が2025年4月30日に予定されており、最新バージョンへの移行が推奨されている。