Tech Insights
【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...
WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。
【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...
WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。
【CVE-2025-0731】SMAのSunny Portalに深刻な脆弱性、デモアカウントを...
SMAのwww.sunnyportal.comにおいて、デモアカウントを通じて太陽光発電システムの画像の代わりに.aspxファイルをアップロードできる脆弱性が発見された。CVE-2025-0731として識別されるこの脆弱性は、CVSSスコア6.5(MEDIUM)と評価され、2024年2月19日より前のバージョンに影響を与える。認証不要でリモートからの攻撃が可能であり、ユーザーのセキュリティコンテキスト内でコードが実行される可能性がある。
【CVE-2025-0731】SMAのSunny Portalに深刻な脆弱性、デモアカウントを...
SMAのwww.sunnyportal.comにおいて、デモアカウントを通じて太陽光発電システムの画像の代わりに.aspxファイルをアップロードできる脆弱性が発見された。CVE-2025-0731として識別されるこの脆弱性は、CVSSスコア6.5(MEDIUM)と評価され、2024年2月19日より前のバージョンに影響を与える。認証不要でリモートからの攻撃が可能であり、ユーザーのセキュリティコンテキスト内でコードが実行される可能性がある。
【CVE-2025-2690】Yiisoft Yii2 2.0.39以前のバージョンにデシリア...
PHPフレームワークYiisoft Yii2の2.0.0から2.0.39までのバージョンに重大な脆弱性が発見された。MockClass.phpのGenerate関数に存在するデシリアライゼーションの問題により、リモートからの攻撃が可能となっている。CVE-2025-2690として登録されたこの脆弱性は、CVSSスコア5.3-6.3(中程度)と評価されており、すでに攻撃コードが公開されているため早急な対応が必要だ。
【CVE-2025-2690】Yiisoft Yii2 2.0.39以前のバージョンにデシリア...
PHPフレームワークYiisoft Yii2の2.0.0から2.0.39までのバージョンに重大な脆弱性が発見された。MockClass.phpのGenerate関数に存在するデシリアライゼーションの問題により、リモートからの攻撃が可能となっている。CVE-2025-2690として登録されたこの脆弱性は、CVSSスコア5.3-6.3(中程度)と評価されており、すでに攻撃コードが公開されているため早急な対応が必要だ。
【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...
Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。
【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...
Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。
Automatticが人気日記アプリDay OneのWindows版を公開、クロスプラットフォ...
Automatticは10年以上の実績を持つ日記アプリDay OneのWindows版を3月18日に公開した。エンドツーエンド暗号化によるプライバシー保護とローカルファーストのストレージ機能を実装し、Windows、Mac、iOS、Android、Web間でのクロスデバイス同期を実現。基本機能は無料で利用可能で、有償プランではメディア添付などの追加機能が利用できる。
Automatticが人気日記アプリDay OneのWindows版を公開、クロスプラットフォ...
Automatticは10年以上の実績を持つ日記アプリDay OneのWindows版を3月18日に公開した。エンドツーエンド暗号化によるプライバシー保護とローカルファーストのストレージ機能を実装し、Windows、Mac、iOS、Android、Web間でのクロスデバイス同期を実現。基本機能は無料で利用可能で、有償プランではメディア添付などの追加機能が利用できる。
住友電工情報システムがMCore Ver.7.8SP2を発表、クラウドストレージからのソフトウ...
住友電工情報システムは、IT資産管理/セキュリティ管理統合システムMCore Ver.7.8SP2を発表した。OneDriveやGoogle Driveを利用したソフトウェア配布機能を追加し、VPN不要で社外PCへの配布が可能に。SharePoint Onlineのログ取得機能も新たに搭載され、ファイル共有の監視機能が強化された。大規模なCSVファイル出力時の操作性も向上している。
住友電工情報システムがMCore Ver.7.8SP2を発表、クラウドストレージからのソフトウ...
住友電工情報システムは、IT資産管理/セキュリティ管理統合システムMCore Ver.7.8SP2を発表した。OneDriveやGoogle Driveを利用したソフトウェア配布機能を追加し、VPN不要で社外PCへの配布が可能に。SharePoint Onlineのログ取得機能も新たに搭載され、ファイル共有の監視機能が強化された。大規模なCSVファイル出力時の操作性も向上している。
キヤノンITSがクラウド型標的型攻撃メール訓練サービスMudFixを提供開始、充実したテンプレ...
キヤノンITソリューションズは2025年3月24日より、ITインフラサービス「SOLTAGE」の新たなセキュリティラインアップとして標的型攻撃メール訓練サービス「MudFix」の提供を開始した。JSecurityが開発したMudFixは、添付ファイルタイプとフィッシング誘導タイプの多様なテンプレートを提供し、リアルタイム管理ツールで訓練状況を詳細に把握可能。完全クラウドサービスで初期費用なしの柔軟な料金プランを用意している。
キヤノンITSがクラウド型標的型攻撃メール訓練サービスMudFixを提供開始、充実したテンプレ...
キヤノンITソリューションズは2025年3月24日より、ITインフラサービス「SOLTAGE」の新たなセキュリティラインアップとして標的型攻撃メール訓練サービス「MudFix」の提供を開始した。JSecurityが開発したMudFixは、添付ファイルタイプとフィッシング誘導タイプの多様なテンプレートを提供し、リアルタイム管理ツールで訓練状況を詳細に把握可能。完全クラウドサービスで初期費用なしの柔軟な料金プランを用意している。
ELSOUL LABOがSLVのSolanaメインネットバリデータ対応をリリース、安全なノード...
ELSOUL LABO B.V.とValidators DAOが、オープンソースのSolana開発ツール「SLV」においてメインネットバリデータおよびRPC運用への対応をリリースした。新バージョンではノード側に秘密鍵を置かないリモート管理システムを実装し、Geyser gRPC PluginやJito-Relayerにも対応。複数ノードの一括管理や自動トラブルシューティング機能により、安全で効率的なノード運用を実現する。
ELSOUL LABOがSLVのSolanaメインネットバリデータ対応をリリース、安全なノード...
ELSOUL LABO B.V.とValidators DAOが、オープンソースのSolana開発ツール「SLV」においてメインネットバリデータおよびRPC運用への対応をリリースした。新バージョンではノード側に秘密鍵を置かないリモート管理システムを実装し、Geyser gRPC PluginやJito-Relayerにも対応。複数ノードの一括管理や自動トラブルシューティング機能により、安全で効率的なノード運用を実現する。
エックスモバイルが全ブランドでeSIMサービスを開始、契約から利用開始までの時間を大幅に短縮
エックスモバイル株式会社は2025年3月24日より、シン・プランやHORIE MOBILE、マジモバSIMなど全てのSIMブランドでeSIMサービスの提供を開始した。物理的なSIMカードの差し替えが不要となり、オンラインでの契約手続きだけで最短1時間程度での通信サービス利用が可能に。物理SIMとeSIMの組み合わせによるデュアルSIM運用にも対応し、利便性が大幅に向上した。
エックスモバイルが全ブランドでeSIMサービスを開始、契約から利用開始までの時間を大幅に短縮
エックスモバイル株式会社は2025年3月24日より、シン・プランやHORIE MOBILE、マジモバSIMなど全てのSIMブランドでeSIMサービスの提供を開始した。物理的なSIMカードの差し替えが不要となり、オンラインでの契約手続きだけで最短1時間程度での通信サービス利用が可能に。物理SIMとeSIMの組み合わせによるデュアルSIM運用にも対応し、利便性が大幅に向上した。
Windows 11 Insider Preview Build 22635.5097がBet...
MicrosoftがWindows 11 Insider Preview Build 22635.5097をBetaチャネル向けにリリース。File Explorerのテキストスケーリング機能が強化され、警告やエラーメッセージダイアログでのアクセシビリティが向上。また、タスクバーの多言語対応の改善やWindows Sandboxの起動問題も修正され、全体的な使用体験が改善された。
Windows 11 Insider Preview Build 22635.5097がBet...
MicrosoftがWindows 11 Insider Preview Build 22635.5097をBetaチャネル向けにリリース。File Explorerのテキストスケーリング機能が強化され、警告やエラーメッセージダイアログでのアクセシビリティが向上。また、タスクバーの多言語対応の改善やWindows Sandboxの起動問題も修正され、全体的な使用体験が改善された。
【CVE-2024-13899】WordPress用Mambo Importerプラグインに深...
WordFenceは2025年2月22日、WordPress用プラグインMambo Importerのバージョン1.0以前に、PHPオブジェクトインジェクションの脆弱性が存在することを公開した。CVSSスコア7.2の高い深刻度を示すこの脆弱性は、認証済みの管理者権限以上のユーザーによって悪用される可能性があり、POPチェーンと組み合わさることで重大な影響をもたらす危険性がある。
【CVE-2024-13899】WordPress用Mambo Importerプラグインに深...
WordFenceは2025年2月22日、WordPress用プラグインMambo Importerのバージョン1.0以前に、PHPオブジェクトインジェクションの脆弱性が存在することを公開した。CVSSスコア7.2の高い深刻度を示すこの脆弱性は、認証済みの管理者権限以上のユーザーによって悪用される可能性があり、POPチェーンと組み合わさることで重大な影響をもたらす危険性がある。
【CVE-2025-27590】Oxidized Webに深刻な認証バイパスの脆弱性、Linu...
ネットワーク構成管理ツールOxidized Webにおいて、バージョン0.15.0未満に重大な脆弱性が発見された。RANCIDマイグレーションページを介して未認証ユーザーがLinuxユーザーアカウントを制御可能な状態となっており、CVSS評価は9.0のクリティカルと判定。速やかな最新版へのアップデートが推奨される。
【CVE-2025-27590】Oxidized Webに深刻な認証バイパスの脆弱性、Linu...
ネットワーク構成管理ツールOxidized Webにおいて、バージョン0.15.0未満に重大な脆弱性が発見された。RANCIDマイグレーションページを介して未認証ユーザーがLinuxユーザーアカウントを制御可能な状態となっており、CVSS評価は9.0のクリティカルと判定。速やかな最新版へのアップデートが推奨される。
【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。
【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。
【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にク...
JoomlaUX JUX Real Estate 3.4.0において、Itemid/jp_yearbuiltパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2127として登録されたこの脆弱性は、リモートから攻撃可能で既に公開されている。CVSSスコア5.3(中程度)と評価される一方、ベンダーは現在まで対応を行っておらず、セキュリティリスクが継続している状況だ。
【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にク...
JoomlaUX JUX Real Estate 3.4.0において、Itemid/jp_yearbuiltパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2127として登録されたこの脆弱性は、リモートから攻撃可能で既に公開されている。CVSSスコア5.3(中程度)と評価される一方、ベンダーは現在まで対応を行っておらず、セキュリティリスクが継続している状況だ。
【CVE-2025-1945】picklescan 0.0.23未満にZIPフラグビット脆弱性...
Sonatype社が2025年3月10日、picklescanの0.0.23未満のバージョンにおいて、ZIPファイルのフラグビット改変により悪意のあるpickleファイルの検出を回避できる脆弱性を公開した。CVSSスコア5.3のこの脆弱性により、PyTorchのtorch.load()でモデルが正常に読み込まれる一方で、セキュリティチェックが回避され、任意のコード実行のリスクが生じる可能性がある。
【CVE-2025-1945】picklescan 0.0.23未満にZIPフラグビット脆弱性...
Sonatype社が2025年3月10日、picklescanの0.0.23未満のバージョンにおいて、ZIPファイルのフラグビット改変により悪意のあるpickleファイルの検出を回避できる脆弱性を公開した。CVSSスコア5.3のこの脆弱性により、PyTorchのtorch.load()でモデルが正常に読み込まれる一方で、セキュリティチェックが回避され、任意のコード実行のリスクが生じる可能性がある。
【CVE-2025-2480】Sante DICOM Viewer Proに重大な脆弱性、医療...
ICS-CERTが医療用画像ビューアSante DICOM Viewer Proのout-of-bounds write脆弱性を公表した。CVE-2025-2480として特定されたこの脆弱性は、悪意のあるDCMファイルを開くことで任意コード実行を許す可能性がある。CVSS v4.0で8.4、v3.1で7.8とHigh評価を受けており、バージョン14.1.2以前のすべてのバージョンが影響を受ける。早急なアップデートが推奨されている。
【CVE-2025-2480】Sante DICOM Viewer Proに重大な脆弱性、医療...
ICS-CERTが医療用画像ビューアSante DICOM Viewer Proのout-of-bounds write脆弱性を公表した。CVE-2025-2480として特定されたこの脆弱性は、悪意のあるDCMファイルを開くことで任意コード実行を許す可能性がある。CVSS v4.0で8.4、v3.1で7.8とHigh評価を受けており、バージョン14.1.2以前のすべてのバージョンが影響を受ける。早急なアップデートが推奨されている。
OracleがJava 24を発表、量子耐性暗号実装と32-bit x86版サポート終了で新時代へ
Oracleは2025年3月18日、プログラミング言語Java最新版のJava 24を発表した。24件のJDK拡張提案を実装し、量子コンピューティング時代に備えた暗号化機能や開発効率を向上させる新APIを導入。また32-bit x86版のサポートを終了し、64-bit環境への移行を促進する方針を示した。
OracleがJava 24を発表、量子耐性暗号実装と32-bit x86版サポート終了で新時代へ
Oracleは2025年3月18日、プログラミング言語Java最新版のJava 24を発表した。24件のJDK拡張提案を実装し、量子コンピューティング時代に備えた暗号化機能や開発効率を向上させる新APIを導入。また32-bit x86版のサポートを終了し、64-bit環境への移行を促進する方針を示した。
SmartHRが管理部門向けメッセージ機能を提供開始、従業員との直接コミュニケーションが可能に
株式会社SmartHRがクラウド型人事労務ソフトウェア「SmartHR」に新機能を追加。管理部門が従業員に直接メッセージを送信できる「メッセージ」機能の提供を3月18日より開始する。テキストメッセージや各種ファイルの送付が可能で、既読確認機能も搭載。スマートフォンアプリとの連携により、従業員とのコミュニケーション効率が大幅に向上する見込みだ。
SmartHRが管理部門向けメッセージ機能を提供開始、従業員との直接コミュニケーションが可能に
株式会社SmartHRがクラウド型人事労務ソフトウェア「SmartHR」に新機能を追加。管理部門が従業員に直接メッセージを送信できる「メッセージ」機能の提供を3月18日より開始する。テキストメッセージや各種ファイルの送付が可能で、既読確認機能も搭載。スマートフォンアプリとの連携により、従業員とのコミュニケーション効率が大幅に向上する見込みだ。
オプティムがクラウド型文書管理サービスを発表、AIによる自動分類と管理台帳作成機能を搭載
株式会社オプティムが新たに提供開始するクラウド型文書管理サービス「OPTiM 文書管理」は、法定文書や稟議書などの業務文書をAIで自動解析・分類し、管理台帳を作成する機能を実装。全文検索機能とAI-OCR処理により、文書のテキスト埋め込みの有無を問わず全文検索が可能。ユーザー数無制限かつ大容量ストレージを標準搭載し、全社規模での導入を容易にした。
オプティムがクラウド型文書管理サービスを発表、AIによる自動分類と管理台帳作成機能を搭載
株式会社オプティムが新たに提供開始するクラウド型文書管理サービス「OPTiM 文書管理」は、法定文書や稟議書などの業務文書をAIで自動解析・分類し、管理台帳を作成する機能を実装。全文検索機能とAI-OCR処理により、文書のテキスト埋め込みの有無を問わず全文検索が可能。ユーザー数無制限かつ大容量ストレージを標準搭載し、全社規模での導入を容易にした。
UnityがUnity 6の新機能を発表、AIを活用したワークフローとプラットフォーム対応を強化へ
Unityは2025年内に3回のUnity 6メジャーアップデートを実施する計画を発表した。4月リリース予定のUnity 6.1では、フレームレート向上やCPU/GPU負荷低減による端末パフォーマンスの改善、Meta QuestなどのXRプラットフォーム対応を実現。さらにエージェンティックAIツールの統合により、開発者は問題診断やプレイヤー体験の最適化が可能になる。
UnityがUnity 6の新機能を発表、AIを活用したワークフローとプラットフォーム対応を強化へ
Unityは2025年内に3回のUnity 6メジャーアップデートを実施する計画を発表した。4月リリース予定のUnity 6.1では、フレームレート向上やCPU/GPU負荷低減による端末パフォーマンスの改善、Meta QuestなどのXRプラットフォーム対応を実現。さらにエージェンティックAIツールの統合により、開発者は問題診断やプレイヤー体験の最適化が可能になる。
D2FrontierがPDFスライド共有サービスSHI-SOシェアノートを公開、マーケティング...
合同会社D2Frontierがスライド発信型SNS「SHI-SOシェアノート」のサービスページを公開。PDFのアップロードと配信、ユーザーの閲覧行動分析機能を実装し、月間70万PV以上のメディア露出を提供。スワイプ操作による閲覧方式と複数のデザインパターンを採用し、効果的な情報伝達を実現。特に中小企業のマーケティング戦略に有効なツールとして注目を集めている。
D2FrontierがPDFスライド共有サービスSHI-SOシェアノートを公開、マーケティング...
合同会社D2Frontierがスライド発信型SNS「SHI-SOシェアノート」のサービスページを公開。PDFのアップロードと配信、ユーザーの閲覧行動分析機能を実装し、月間70万PV以上のメディア露出を提供。スワイプ操作による閲覧方式と複数のデザインパターンを採用し、効果的な情報伝達を実現。特に中小企業のマーケティング戦略に有効なツールとして注目を集めている。
製造業向けソフトウェア開発のAMFGがISO 27001認証を取得し情報セキュリティ体制を強化
米国・英国・ヨーロッパを拠点とし世界30か国以上で事業展開するAMFGが、情報セキュリティ管理システムの国際規格ISO 27001認証を取得した。見積作成、受発注・在庫管理などの製造業向けソリューションを提供するAMFGは、この認証取得により情報セキュリティとデータ保護の面で顧客とのパートナーシップを強化する。50以上の変数による詳細な原価計算や独自の価格設定エンジンなど、高度な機能の安全な提供を目指す。
製造業向けソフトウェア開発のAMFGがISO 27001認証を取得し情報セキュリティ体制を強化
米国・英国・ヨーロッパを拠点とし世界30か国以上で事業展開するAMFGが、情報セキュリティ管理システムの国際規格ISO 27001認証を取得した。見積作成、受発注・在庫管理などの製造業向けソリューションを提供するAMFGは、この認証取得により情報セキュリティとデータ保護の面で顧客とのパートナーシップを強化する。50以上の変数による詳細な原価計算や独自の価格設定エンジンなど、高度な機能の安全な提供を目指す。
クラフターが法人向け生成AIサービスCrewにWeb検索機能を追加、企業の情報収集と調査活動の...
クラフターは法人向け生成AI「Crew」にWeb検索機能を追加した。指定したURLから情報を取得して質問に対する回答を生成する新機能により、取引先企業の最新ニュースの要約や海外記事の翻訳など、企業の情報収集や調査活動の効率化を実現。RAGによる社内文書からの回答生成と組み合わせることで、より幅広い用途での活用が期待される。
クラフターが法人向け生成AIサービスCrewにWeb検索機能を追加、企業の情報収集と調査活動の...
クラフターは法人向け生成AI「Crew」にWeb検索機能を追加した。指定したURLから情報を取得して質問に対する回答を生成する新機能により、取引先企業の最新ニュースの要約や海外記事の翻訳など、企業の情報収集や調査活動の効率化を実現。RAGによる社内文書からの回答生成と組み合わせることで、より幅広い用途での活用が期待される。
MicrosoftがWindows 11 Insider Preview Build 2781...
MicrosoftはWindows 11 Insider Preview Build 27818をCanary Channelで公開した。Pluton TPMチップの詳細情報表示機能の追加やFile Explorerのパフォーマンス改善、各種バグ修正により、セキュリティ機能とシステムの安定性が向上。提案アクション機能の廃止も決定し、よりスマートなユーザーエクスペリエンスの実現を目指す。
MicrosoftがWindows 11 Insider Preview Build 2781...
MicrosoftはWindows 11 Insider Preview Build 27818をCanary Channelで公開した。Pluton TPMチップの詳細情報表示機能の追加やFile Explorerのパフォーマンス改善、各種バグ修正により、セキュリティ機能とシステムの安定性が向上。提案アクション機能の廃止も決定し、よりスマートなユーザーエクスペリエンスの実現を目指す。
【CVE-2024-13869】WPvivid 0.9.112以前のバージョンに任意のファイル...
WordPressプラグイン「Migration, Backup, Staging – WPvivid」のバージョン0.9.112以前に、任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つユーザーによって悪用される可能性があり、特にNGINXウェブサーバー環境では遠隔からのコード実行につながる恐れがある。CVSSスコアは7.2(High)と評価されており、早急な対応が推奨される。
【CVE-2024-13869】WPvivid 0.9.112以前のバージョンに任意のファイル...
WordPressプラグイン「Migration, Backup, Staging – WPvivid」のバージョン0.9.112以前に、任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つユーザーによって悪用される可能性があり、特にNGINXウェブサーバー環境では遠隔からのコード実行につながる恐れがある。CVSSスコアは7.2(High)と評価されており、早急な対応が推奨される。
【CVE-2025-1944】picklescan 0.0.23未満のZIPアーカイブ操作脆弱...
Sonatype社がpicklescanの重要な脆弱性を公開。バージョン0.0.23未満において、ZIPヘッダーの改変によりBadZipFileエラーを引き起こし、PyTorchモデルの不正な読み込みを可能にする脆弱性が発見された。CVSS v4.0で中程度(5.3)と評価され、特権は不要だが利用者の関与が必要。セキュリティツールとフレームワークの実装差異が攻撃ベクトルとなる新たな脅威として注目される。
【CVE-2025-1944】picklescan 0.0.23未満のZIPアーカイブ操作脆弱...
Sonatype社がpicklescanの重要な脆弱性を公開。バージョン0.0.23未満において、ZIPヘッダーの改変によりBadZipFileエラーを引き起こし、PyTorchモデルの不正な読み込みを可能にする脆弱性が発見された。CVSS v4.0で中程度(5.3)と評価され、特権は不要だが利用者の関与が必要。セキュリティツールとフレームワークの実装差異が攻撃ベクトルとなる新たな脅威として注目される。
【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...
MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。
【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...
MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。
【CVE-2025-1661】HUSKY WooCommerceプラグインにLFI脆弱性、認証...
WordPressプラグイン「HUSKY - Products Filter Professional for WooCommerce」にローカルファイルインクルージョンの脆弱性が発見された。バージョン1.3.6.5以前が影響を受け、認証不要で攻撃可能なこの脆弱性は、CVSSスコア9.8のクリティカルレベルと評価されている。任意のファイル実行やデータ取得が可能となる深刻な脆弱性であり、早急な対応が求められる。
【CVE-2025-1661】HUSKY WooCommerceプラグインにLFI脆弱性、認証...
WordPressプラグイン「HUSKY - Products Filter Professional for WooCommerce」にローカルファイルインクルージョンの脆弱性が発見された。バージョン1.3.6.5以前が影響を受け、認証不要で攻撃可能なこの脆弱性は、CVSSスコア9.8のクリティカルレベルと評価されている。任意のファイル実行やデータ取得が可能となる深刻な脆弱性であり、早急な対応が求められる。
Git for Windows v2.49.0がリリース、name-hash v2の正式採用で...
分散型バージョン管理システム「Git」のWindows版「Git for Windows」がv2.49.0へアップデート。実験的機能だったname-hash v2が正式採用され、パックファイルの処理速度とサイズ効率が大幅に改善。32bit版は段階的に提供終了へ移行し、SVNサポートも今後数カ月で廃止予定。OpenSSH v9.9.P2やPCRE2 v10.45など主要コンポーネントも更新された。
Git for Windows v2.49.0がリリース、name-hash v2の正式採用で...
分散型バージョン管理システム「Git」のWindows版「Git for Windows」がv2.49.0へアップデート。実験的機能だったname-hash v2が正式採用され、パックファイルの処理速度とサイズ効率が大幅に改善。32bit版は段階的に提供終了へ移行し、SVNサポートも今後数カ月で廃止予定。OpenSSH v9.9.P2やPCRE2 v10.45など主要コンポーネントも更新された。
MozillaがFirefox v136.0.2をリリース、シャットダウン時の履歴クリア設定と...
Mozillaは3月18日、デスクトップ向けFirefox v136.0.2を公開した。シャットダウン時の履歴クリア設定が予期せず変更される問題やWindows版でのCPU使用率の問題を修正。また、暗い背景でのラジオボタンの視認性やプライマリパスワードプロンプトの表示問題も解決。CookieStore APIは互換性の問題により一時的に無効化された。
MozillaがFirefox v136.0.2をリリース、シャットダウン時の履歴クリア設定と...
Mozillaは3月18日、デスクトップ向けFirefox v136.0.2を公開した。シャットダウン時の履歴クリア設定が予期せず変更される問題やWindows版でのCPU使用率の問題を修正。また、暗い背景でのラジオボタンの視認性やプライマリパスワードプロンプトの表示問題も解決。CookieStore APIは互換性の問題により一時的に無効化された。