Tech Insights

Snowflakeのgosnowflakeドライバに脆弱性CVE-2025-46327、バージ...

2025年5月14日

SnowflakeのGo言語ドライバgosnowflakeのバージョン1.7.0から1.13.2において、ログ設定ファイルへのアクセス制御に脆弱性CVE-2025-46327が発見された。ローカル攻撃者がログ設定を改ざんできる可能性があり、バージョン1.13.3で修正済みだ。TOCTOU脆弱性によるもので、時間差攻撃を許容していた。

Snowflakeのgosnowflakeドライバに脆弱性CVE-2025-46327、バージ...

2025年5月14日

SnowflakeのGo言語ドライバgosnowflakeのバージョン1.7.0から1.13.2において、ログ設定ファイルへのアクセス制御に脆弱性CVE-2025-46327が発見された。ローカル攻撃者がログ設定を改ざんできる可能性があり、バージョン1.13.3で修正済みだ。TOCTOU脆弱性によるもので、時間差攻撃を許容していた。

ScriptAndTools Online-Travling-System 1.0の脆弱性CV...

2025年5月14日

2025年4月29日、VulDBはScriptAndTools Online-Travling-System 1.0における深刻な脆弱性CVE-2025-4067を公開した。/admin/viewpackage.phpファイルのアクセス制御に問題があり、リモートからの攻撃が可能だ。CVSSv4スコアは6.9で、迅速な対応が必要となる。この脆弱性は既に公表されており、悪用される可能性がある。

ScriptAndTools Online-Travling-System 1.0の脆弱性CV...

2025年5月14日

2025年4月29日、VulDBはScriptAndTools Online-Travling-System 1.0における深刻な脆弱性CVE-2025-4067を公開した。/admin/viewpackage.phpファイルのアクセス制御に問題があり、リモートからの攻撃が可能だ。CVSSv4スコアは6.9で、迅速な対応が必要となる。この脆弱性は既に公表されており、悪用される可能性がある。

ScriptAndTools Online-Travling-System 1.0の脆弱性CV...

2025年5月14日

2025年4月29日、VulDBはScriptAndTools Online-Travling-System 1.0における深刻な脆弱性CVE-2025-4064を公開した。/admin/viewenquiry.phpファイルのアクセス制御に不備があり、リモートからの不正アクセスが可能となる。CVSS v4スコアは6.9で、迅速な対応が必要だ。VulDBのウェブサイトで詳細を確認できる。

ScriptAndTools Online-Travling-System 1.0の脆弱性CV...

2025年5月14日

2025年4月29日、VulDBはScriptAndTools Online-Travling-System 1.0における深刻な脆弱性CVE-2025-4064を公開した。/admin/viewenquiry.phpファイルのアクセス制御に不備があり、リモートからの不正アクセスが可能となる。CVSS v4スコアは6.9で、迅速な対応が必要だ。VulDBのウェブサイトで詳細を確認できる。

PHPGurukul Park Ticketing Management System v2....

2025年5月14日

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0のnormal-search.phpファイルにおけるHTMLインジェクション脆弱性CVE-2025-45009を公開した。searchdataパラメータを悪用した任意コード実行が可能で、データ改ざん、情報窃取などの深刻な被害につながる可能性がある。迅速な対策が必要だ。

PHPGurukul Park Ticketing Management System v2....

2025年5月14日

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0のnormal-search.phpファイルにおけるHTMLインジェクション脆弱性CVE-2025-45009を公開した。searchdataパラメータを悪用した任意コード実行が可能で、データ改ざん、情報窃取などの深刻な被害につながる可能性がある。迅速な対策が必要だ。

PHPGurukul Curfew e-Pass Management System 1.0の...

2025年5月14日

2025年4月29日、PHPGurukul Curfew e-Pass Management System 1.0において、SQLインジェクション脆弱性CVE-2025-4074が発見された。pass-bwdates-report.phpファイルのfromdate/todate引数の操作により、リモートから攻撃が可能だ。CVSS v4で6.9(MEDIUM)、v3.1とv3.0で7.3(HIGH)と評価されており、迅速な対策が必要である。VulDB、GitHub、PHPGurukulのサイトで詳細を確認できる。

PHPGurukul Curfew e-Pass Management System 1.0の...

2025年5月14日

2025年4月29日、PHPGurukul Curfew e-Pass Management System 1.0において、SQLインジェクション脆弱性CVE-2025-4074が発見された。pass-bwdates-report.phpファイルのfromdate/todate引数の操作により、リモートから攻撃が可能だ。CVSS v4で6.9(MEDIUM)、v3.1とv3.0で7.3(HIGH)と評価されており、迅速な対策が必要である。VulDB、GitHub、PHPGurukulのサイトで詳細を確認できる。

PHPGurukul COVID19 Testing Management System 1....

2025年5月14日

2025年4月29日、PHPGurukul COVID19 Testing Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4071がVulDBにより公開された。test-details.phpファイルのStatus引数を操作することで、リモートからSQLインジェクション攻撃が可能となる。CVSS v4では6.9(MEDIUM)、v3.1とv3.0では7.3(HIGH)と評価されており、迅速な対策が必要だ。

PHPGurukul COVID19 Testing Management System 1....

2025年5月14日

2025年4月29日、PHPGurukul COVID19 Testing Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4071がVulDBにより公開された。test-details.phpファイルのStatus引数を操作することで、リモートからSQLインジェクション攻撃が可能となる。CVSS v4では6.9(MEDIUM)、v3.1とv3.0では7.3(HIGH)と評価されており、迅速な対策が必要だ。

PHPGurukul COVID19 Testing Management System 1....

2025年5月14日

2025年4月28日、VulDBはPHPGurukul COVID19 Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4005を公開した。patient-report.phpファイルのsearchdata引数を操作することで、リモート攻撃が可能となる。CVSSスコアは6.9(MEDIUM)だが、他のベクトルでは7.3(HIGH)と評価されており、迅速な対応が必要だ。患者情報の漏洩リスクも高く、セキュリティ対策の強化が求められる。

PHPGurukul COVID19 Testing Management System 1....

2025年5月14日

2025年4月28日、VulDBはPHPGurukul COVID19 Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4005を公開した。patient-report.phpファイルのsearchdata引数を操作することで、リモート攻撃が可能となる。CVSSスコアは6.9(MEDIUM)だが、他のベクトルでは7.3(HIGH)と評価されており、迅速な対応が必要だ。患者情報の漏洩リスクも高く、セキュリティ対策の強化が求められる。

PHPGurukul COVID19 Testing Management System 1....

2025年5月14日

2025年4月28日、VulDBはPHPGurukul COVID19 Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4030を公開した。search-report-result.phpファイルのserachdata引数の操作が原因で、リモートからの攻撃が可能であり、CVSSスコアは6.9から7.5と評価されている。PHPGurukul COVID19 Testing Management Systemの利用者は、速やかにアップデートを行う必要がある。

PHPGurukul COVID19 Testing Management System 1....

2025年5月14日

2025年4月28日、VulDBはPHPGurukul COVID19 Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4030を公開した。search-report-result.phpファイルのserachdata引数の操作が原因で、リモートからの攻撃が可能であり、CVSSスコアは6.9から7.5と評価されている。PHPGurukul COVID19 Testing Management Systemの利用者は、速やかにアップデートを行う必要がある。

PHPGurukul Company Visitor Management System 2....

2025年5月14日

2025年5月6日、PHPGurukul Company Visitor Management System 2.0に深刻なSQLインジェクション脆弱性CVE-2025-4358が発見された。admin-profile.phpファイルのadminname引数を操作することで攻撃が可能で、リモートからの攻撃も可能だ。CVSSスコアは7.3(HIGH)と評価されており、迅速な対応が必要である。VulDBで詳細情報が公開されている。

PHPGurukul Company Visitor Management System 2....

2025年5月14日

2025年5月6日、PHPGurukul Company Visitor Management System 2.0に深刻なSQLインジェクション脆弱性CVE-2025-4358が発見された。admin-profile.phpファイルのadminname引数を操作することで攻撃が可能で、リモートからの攻撃も可能だ。CVSSスコアは7.3(HIGH)と評価されており、迅速な対応が必要である。VulDBで詳細情報が公開されている。

n8nバージョン1.90.0未満における保存型XSS脆弱性CVE-2025-46343の修正と...

2025年5月14日

ワークフロー自動化プラットフォームn8nにおいて、バージョン1.90.0未満で保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46343が発見された。認証済み攻撃者が悪意のあるHTMLファイルをアップロードすることで、アカウント乗っ取りが可能となる深刻な脆弱性だ。本記事では脆弱性の詳細、修正バージョン、XSS攻撃への対策、今後のセキュリティ対策について解説する。

n8nバージョン1.90.0未満における保存型XSS脆弱性CVE-2025-46343の修正と...

2025年5月14日

ワークフロー自動化プラットフォームn8nにおいて、バージョン1.90.0未満で保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46343が発見された。認証済み攻撃者が悪意のあるHTMLファイルをアップロードすることで、アカウント乗っ取りが可能となる深刻な脆弱性だ。本記事では脆弱性の詳細、修正バージョン、XSS攻撃への対策、今後のセキュリティ対策について解説する。

libheifの脆弱性CVE-2025-43966修正版リリース、迅速なアップデートを推奨

2025年5月14日

画像処理ライブラリlibheifの脆弱性CVE-2025-43966が発見され、深刻度はLOW(CVSS 2.9)と評価された。これはNULLポインタデリファレンスによるもので、libheif 1.19.6以前のバージョンに影響する。開発元strukturagは2025年4月20日に修正版1.19.6をリリースした。ユーザーは速やかにアップデートを行うべきだ。

libheifの脆弱性CVE-2025-43966修正版リリース、迅速なアップデートを推奨

2025年5月14日

画像処理ライブラリlibheifの脆弱性CVE-2025-43966が発見され、深刻度はLOW(CVSS 2.9)と評価された。これはNULLポインタデリファレンスによるもので、libheif 1.19.6以前のバージョンに影響する。開発元strukturagは2025年4月20日に修正版1.19.6をリリースした。ユーザーは速やかにアップデートを行うべきだ。

itwanger paicoding 1.0.3の脆弱性CVE-2025-3967公開、不正認...

2025年5月14日

2025年4月27日、VulDBはitwanger paicoding 1.0.3における深刻な脆弱性CVE-2025-3967を公開した。Article Handlerコンポーネントの/article/api/postファイルに存在する不正認可の脆弱性で、リモートからの攻撃が可能だ。uglory (VulDB User)の報告によるもので、迅速なバージョンアップが求められる。

itwanger paicoding 1.0.3の脆弱性CVE-2025-3967公開、不正認...

2025年5月14日

2025年4月27日、VulDBはitwanger paicoding 1.0.3における深刻な脆弱性CVE-2025-3967を公開した。Article Handlerコンポーネントの/article/api/postファイルに存在する不正認可の脆弱性で、リモートからの攻撃が可能だ。uglory (VulDB User)の報告によるもので、迅速なバージョンアップが求められる。

IBM Operational Decision Managerの脆弱性CVE-2025-15...

2025年5月14日

IBMは2025年4月29日、Operational Decision Manager 8.11.0.1、8.11.1.0、8.12.0.1、9.0.0.1におけるクロスサイトスクリプティング(XSS)の脆弱性CVE-2025-1551を発表した。この脆弱性により、認証されていない攻撃者が任意のJavaScriptコードを実行できる可能性がある。IBMは修正プログラムを提供し、ユーザーへの迅速な対応を推奨している。

IBM Operational Decision Managerの脆弱性CVE-2025-15...

2025年5月14日

IBMは2025年4月29日、Operational Decision Manager 8.11.0.1、8.11.1.0、8.12.0.1、9.0.0.1におけるクロスサイトスクリプティング(XSS)の脆弱性CVE-2025-1551を発表した。この脆弱性により、認証されていない攻撃者が任意のJavaScriptコードを実行できる可能性がある。IBMは修正プログラムを提供し、ユーザーへの迅速な対応を推奨している。

GoogleがGeminiモバイルアプリに音声会話機能Liveを追加、Google Works...

2025年5月13日

Googleは、Google Workspaceユーザー向けにGeminiモバイルアプリの音声会話機能「Live」を2025年5月9日よりリリースした。Geminiのマルチモーダル機能を活用し、自然な音声で質問への回答を受け取れる。カメラや画面の共有、ファイルの追加なども可能で、ブレインストーミングやプレゼンテーション練習などに活用できる。Business Starter、Standard、Plusなど様々なGoogle Workspaceエディションで利用可能だ。

GoogleがGeminiモバイルアプリに音声会話機能Liveを追加、Google Works...

2025年5月13日

Googleは、Google Workspaceユーザー向けにGeminiモバイルアプリの音声会話機能「Live」を2025年5月9日よりリリースした。Geminiのマルチモーダル機能を活用し、自然な音声で質問への回答を受け取れる。カメラや画面の共有、ファイルの追加なども可能で、ブレインストーミングやプレゼンテーション練習などに活用できる。Business Starter、Standard、Plusなど様々なGoogle Workspaceエディションで利用可能だ。

ナレッジセンス、自治体向け生成AIサービスChatSenseの実証実験パートナー募集開始、Sh...

2025年5月13日

株式会社ナレッジセンスは、自治体向け生成AIサービス「ChatSense」の実証実験パートナーを募集開始した。SharePointデータを含む社内データの学習（RAG）機能を検証可能で、予算確保前でも無償で検証できる。AI活用方法の模索への伴走、広報活動支援、無償検証機会などを提供する。業務効率化を目指す自治体にとって大きなメリットとなるだろう。

ナレッジセンス、自治体向け生成AIサービスChatSenseの実証実験パートナー募集開始、Sh...

2025年5月13日

株式会社ナレッジセンスは、自治体向け生成AIサービス「ChatSense」の実証実験パートナーを募集開始した。SharePointデータを含む社内データの学習（RAG）機能を検証可能で、予算確保前でも無償で検証できる。AI活用方法の模索への伴走、広報活動支援、無償検証機会などを提供する。業務効率化を目指す自治体にとって大きなメリットとなるだろう。

IBMがハイブリッド統合ソリューションwebMethods Hybrid Integratio...

2025年5月13日

IBMは2025年5月9日、Think 2025において、AIを活用したハイブリッド統合ソリューション「IBM webMethods Hybrid Integration」を発表した。このソリューションは、AI、API、アプリケーション、イベント、ファイル、B2B/EDI、メインフレーム内のデータなど、多様なデータソースを統合し、企業の生産性向上に貢献する。オンプレミスとマルチクラウド環境に対応し、統合パターンの開発、デプロイメント、管理、モニタリングを包括的に提供する。2025年6月16日より一般提供開始予定だ。

IBMがハイブリッド統合ソリューションwebMethods Hybrid Integratio...

2025年5月13日

IBMは2025年5月9日、Think 2025において、AIを活用したハイブリッド統合ソリューション「IBM webMethods Hybrid Integration」を発表した。このソリューションは、AI、API、アプリケーション、イベント、ファイル、B2B/EDI、メインフレーム内のデータなど、多様なデータソースを統合し、企業の生産性向上に貢献する。オンプレミスとマルチクラウド環境に対応し、統合パターンの開発、デプロイメント、管理、モニタリングを包括的に提供する。2025年6月16日より一般提供開始予定だ。

石原産業、AIRead導入で請求書処理業務時間を50%削減、DX推進を加速

2025年5月13日

株式会社ユニリタプラスのAI OCRツールAIReadが、石原産業株式会社に導入され、請求書処理業務時間が50%削減された。従来の複合機OCRの低識字率を克服し、業務効率化とコスト削減を実現した。SaaS製品活用による導入コストの抑制にも成功している。AIReadの高い精度と柔軟なデータ抽出機能が、企業のデジタル化を強力に支援する。

石原産業、AIRead導入で請求書処理業務時間を50%削減、DX推進を加速

2025年5月13日

株式会社ユニリタプラスのAI OCRツールAIReadが、石原産業株式会社に導入され、請求書処理業務時間が50%削減された。従来の複合機OCRの低識字率を克服し、業務効率化とコスト削減を実現した。SaaS製品活用による導入コストの抑制にも成功している。AIReadの高い精度と柔軟なデータ抽出機能が、企業のデジタル化を強力に支援する。

ハタス株式会社、AIとRPAで賃貸管理業務の報告書作成時間を97％短縮

2025年5月13日

ハタス株式会社は、AIとRPAを導入することで、賃貸管理業務における定期報告書の作成時間を35時間から1時間に短縮することに成功した。これにより、働き方改革の推進と業務効率の大幅な向上が実現した。2021年施行の賃貸住宅管理業法への対応もスムーズに行えるようになった。

ハタス株式会社、AIとRPAで賃貸管理業務の報告書作成時間を97％短縮

2025年5月13日

ハタス株式会社は、AIとRPAを導入することで、賃貸管理業務における定期報告書の作成時間を35時間から1時間に短縮することに成功した。これにより、働き方改革の推進と業務効率の大幅な向上が実現した。2021年施行の賃貸住宅管理業法への対応もスムーズに行えるようになった。

CeSSAが自治体向け電子署名利用ガイド1.2版を公開、デジタル庁協力のもと参考事例集を追加

2025年5月13日

一般社団法人クラウド型電子署名サービス協議会（CeSSA）は、2025年5月8日、地方公共団体における処分通知等への電子署名利用を支援するガイド【1.2版】を公開した。デジタル庁の協力のもと作成された本ガイドは、クラウド型電子署名サービスの活用方法や、参考事例集などを網羅。兵庫県や東京都八王子市の事例も紹介されている。自治体DX推進に貢献する重要な資料だ。

CeSSAが自治体向け電子署名利用ガイド1.2版を公開、デジタル庁協力のもと参考事例集を追加

2025年5月13日

一般社団法人クラウド型電子署名サービス協議会（CeSSA）は、2025年5月8日、地方公共団体における処分通知等への電子署名利用を支援するガイド【1.2版】を公開した。デジタル庁の協力のもと作成された本ガイドは、クラウド型電子署名サービスの活用方法や、参考事例集などを網羅。兵庫県や東京都八王子市の事例も紹介されている。自治体DX推進に貢献する重要な資料だ。

Snowflake Connector for .NET 2.1.2～4.4.0のTOCTOU...

2025年5月13日

Snowflake社は、Snowflake Connector for .NETのバージョン2.1.2から4.4.0において、Time-of-check to Time-of-use (TOCTOU) race conditionの脆弱性CVE-2025-46326を発見したと発表した。この脆弱性により、ローカル攻撃者がログ設定を改ざんできる可能性があった。Snowflake社は、バージョン4.4.1をリリースし、この問題を修正した。影響を受けるユーザーは、速やかにアップデートを行う必要がある。

Snowflake Connector for .NET 2.1.2～4.4.0のTOCTOU...

2025年5月13日

Snowflake社は、Snowflake Connector for .NETのバージョン2.1.2から4.4.0において、Time-of-check to Time-of-use (TOCTOU) race conditionの脆弱性CVE-2025-46326を発見したと発表した。この脆弱性により、ローカル攻撃者がログ設定を改ざんできる可能性があった。Snowflake社は、バージョン4.4.1をリリースし、この問題を修正した。影響を受けるユーザーは、速やかにアップデートを行う必要がある。

PHPGurukul Human Metapneumovirus Testing Manage...

2025年5月13日

2025年5月6日、VulDBはPHPGurukul Human Metapneumovirus Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4303を公開した。add-phlebotomist.phpファイルのempid引数を操作することで攻撃が可能で、リモートから実行され、既に公開されているため悪用される危険性がある。CVSSスコアは6.9(MEDIUM)と7.3(HIGH)と評価されており、迅速な対応と対策が求められる。

PHPGurukul Human Metapneumovirus Testing Manage...

2025年5月13日

2025年5月6日、VulDBはPHPGurukul Human Metapneumovirus Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4303を公開した。add-phlebotomist.phpファイルのempid引数を操作することで攻撃が可能で、リモートから実行され、既に公開されているため悪用される危険性がある。CVSSスコアは6.9(MEDIUM)と7.3(HIGH)と評価されており、迅速な対応と対策が求められる。

WordfenceがWordPress複数プラグインの任意ファイルアップロード脆弱性CVE-2024-13418を報告、G5Theme製品に影響