Tech Insights

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報流出の可能性

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報...

おやつカンパニーは2025年3月12日、同社のシステムサーバーが3月3日に不正アクセスを受け、2012年から2025年の期間中にキャンペーンで当選した顧客約17万人分の個人情報が流出した可能性があると発表した。流出の可能性がある情報は氏名、住所、電話番号で、従業員450名分の勤怠管理情報も影響を受けた可能性がある。現時点で情報の不正利用や二次被害は確認されていない。

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報...

おやつカンパニーは2025年3月12日、同社のシステムサーバーが3月3日に不正アクセスを受け、2012年から2025年の期間中にキャンペーンで当選した顧客約17万人分の個人情報が流出した可能性があると発表した。流出の可能性がある情報は氏名、住所、電話番号で、従業員450名分の勤怠管理情報も影響を受けた可能性がある。現時点で情報の不正利用や二次被害は確認されていない。

SecureNaviがAironWorksのAI標的型攻撃メール訓練プラットフォームを販売開始、中小企業のセキュリティ対策を効率化

SecureNaviがAironWorksのAI標的型攻撃メール訓練プラットフォームを販売開始...

SecureNavi株式会社はAironWorks株式会社の標的型攻撃メール訓練プラットフォームの販売を2025年3月13日より開始した。AIによる最新の攻撃手法分析と効率的な訓練環境を提供し、特に中小・スタートアップ企業向けの特別パッケージを用意。既に500社以上の導入実績があり、業務工数を従来比85%以上削減するなど、高い効果を発揮している。

SecureNaviがAironWorksのAI標的型攻撃メール訓練プラットフォームを販売開始...

SecureNavi株式会社はAironWorks株式会社の標的型攻撃メール訓練プラットフォームの販売を2025年3月13日より開始した。AIによる最新の攻撃手法分析と効率的な訓練環境を提供し、特に中小・スタートアップ企業向けの特別パッケージを用意。既に500社以上の導入実績があり、業務工数を従来比85%以上削減するなど、高い効果を発揮している。

S&JがActive Directory監視サービスのADTRオプションを開始、自動対処と遠隔操作で企業のセキュリティ強化へ

S&JがActive Directory監視サービスのADTRオプションを開始、自動対処と遠隔...

S&J株式会社は2025年3月11日、独自開発SOCサービス『Active Directory監視サービス』にADTRオプションを追加した。このオプションは、増加するRDPブルートフォース攻撃やランサムウェア感染などの脅威に対し、自動対処や遠隔操作による調査・対応を可能にする。24時間365日の有人監視体制と独自開発のAD Agentにより、SIEMでは検知できない脅威にも対応する。

S&JがActive Directory監視サービスのADTRオプションを開始、自動対処と遠隔...

S&J株式会社は2025年3月11日、独自開発SOCサービス『Active Directory監視サービス』にADTRオプションを追加した。このオプションは、増加するRDPブルートフォース攻撃やランサムウェア感染などの脅威に対し、自動対処や遠隔操作による調査・対応を可能にする。24時間365日の有人監視体制と独自開発のAD Agentにより、SIEMでは検知できない脅威にも対応する。

【CVE-2025-1614】FiberHome AN5506-01A ONU GPONにXSS脆弱性、リモート攻撃のリスクが浮上

【CVE-2025-1614】FiberHome AN5506-01A ONU GPONにXS...

FiberHome AN5506-01A ONU GPON RP2511のPort Forwarding Submenuに深刻な脆弱性が発見された。pf_Description引数を介したクロスサイトスクリプティング攻撃が可能で、リモートからの実行も可能な状態。CVSSスコア4.8を記録し、特権ユーザーによる攻撃で情報の整合性に影響を与える可能性がある。ベンダーへの通知も行われたが現時点で対応なし。

【CVE-2025-1614】FiberHome AN5506-01A ONU GPONにXS...

FiberHome AN5506-01A ONU GPON RP2511のPort Forwarding Submenuに深刻な脆弱性が発見された。pf_Description引数を介したクロスサイトスクリプティング攻撃が可能で、リモートからの実行も可能な状態。CVSSスコア4.8を記録し、特権ユーザーによる攻撃で情報の整合性に影響を与える可能性がある。ベンダーへの通知も行われたが現時点で対応なし。

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱性、バージョン1.3.7以下で発見

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱...

チャットウィジェットサービスTawkTo Widgetのバージョン1.3.7以下にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-57026として識別されるこの脆弱性は、ユーザー入力の不適切な処理によってJavaScriptコードの実行が可能になる問題。CISAによってCVSSスコア6.1(中程度)と評価され、特別な権限なしで攻撃可能だが、ユーザーの操作が必要となる。

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱...

チャットウィジェットサービスTawkTo Widgetのバージョン1.3.7以下にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-57026として識別されるこの脆弱性は、ユーザー入力の不適切な処理によってJavaScriptコードの実行が可能になる問題。CISAによってCVSSスコア6.1(中程度)と評価され、特別な権限なしで攻撃可能だが、ユーザーの操作が必要となる。

セキュリティエージェントが企業登録機能を追加、組織単位での専門家マッチングが可能に

セキュリティエージェントが企業登録機能を追加、組織単位での専門家マッチングが可能に

セキュアオンラインが運営するサイバーセキュリティの専門家マッチングサービス「セキュリティエージェント」において、新たに企業としての専門家登録機能の提供を開始した。従来の個人専門家に加え、企業単位での登録が可能となり、組織としての専門性発信や大規模案件への対応が実現。契約の透明性向上により、より信頼性の高いセキュリティサービスの提供が期待される。

セキュリティエージェントが企業登録機能を追加、組織単位での専門家マッチングが可能に

セキュアオンラインが運営するサイバーセキュリティの専門家マッチングサービス「セキュリティエージェント」において、新たに企業としての専門家登録機能の提供を開始した。従来の個人専門家に加え、企業単位での登録が可能となり、組織としての専門性発信や大規模案件への対応が実現。契約の透明性向上により、より信頼性の高いセキュリティサービスの提供が期待される。

【CVE-2025-1642】Benner ModernaNetにリソースインジェクションの脆弱性、バージョン1.1.1で修正完了

【CVE-2025-1642】Benner ModernaNetにリソースインジェクションの脆...

医療システムBenner ModernaNetのバージョン1.1.0以下に重大な脆弱性が発見された。GetImageMedico機能のfooIdパラメータを介したリソースインジェクションの脆弱性で、リモートからの攻撃が可能。CVSS 4.0で5.3(中程度)と評価され、情報漏洩のリスクが指摘されている。対策としてバージョン1.1.1へのアップグレードが推奨される。

【CVE-2025-1642】Benner ModernaNetにリソースインジェクションの脆...

医療システムBenner ModernaNetのバージョン1.1.0以下に重大な脆弱性が発見された。GetImageMedico機能のfooIdパラメータを介したリソースインジェクションの脆弱性で、リモートからの攻撃が可能。CVSS 4.0で5.3(中程度)と評価され、情報漏洩のリスクが指摘されている。対策としてバージョン1.1.1へのアップグレードが推奨される。

【CVE-2025-1814】Tenda AC6 15.03.05.16に重大な脆弱性、スタックベースのバッファオーバーフローによる深刻なリスクが発生

【CVE-2025-1814】Tenda AC6 15.03.05.16に重大な脆弱性、スタッ...

Tenda AC6 15.03.05.16のWifiExtraSet機能に重大な脆弱性が発見された。wpapsk_crypto引数の操作によってスタックベースのバッファオーバーフローが発生する可能性があり、CVSSスコアは8.7(High)を記録。リモートからの攻撃が可能で、すでにエクスプロイトコードが公開されている状況だ。早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-1814】Tenda AC6 15.03.05.16に重大な脆弱性、スタッ...

Tenda AC6 15.03.05.16のWifiExtraSet機能に重大な脆弱性が発見された。wpapsk_crypto引数の操作によってスタックベースのバッファオーバーフローが発生する可能性があり、CVSSスコアは8.7(High)を記録。リモートからの攻撃が可能で、すでにエクスプロイトコードが公開されている状況だ。早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-22225】VMware ESXiに重大な任意書き込みの脆弱性、複数製品への影響が判明

【CVE-2025-22225】VMware ESXiに重大な任意書き込みの脆弱性、複数製品へ...

VMwareは同社の仮想化基盤ソフトウェアESXiに任意書き込みの脆弱性が存在することを公表した。CVE-2025-22225として識別されるこの脆弱性は、VMXプロセス内の特権を持つ攻撃者がサンドボックスから脱出する可能性がある。影響を受ける製品にはVMware Cloud Foundation、Telco Cloud Platform、Telco Cloud Infrastructureが含まれており、早急な対応が必要とされている。

【CVE-2025-22225】VMware ESXiに重大な任意書き込みの脆弱性、複数製品へ...

VMwareは同社の仮想化基盤ソフトウェアESXiに任意書き込みの脆弱性が存在することを公表した。CVE-2025-22225として識別されるこの脆弱性は、VMXプロセス内の特権を持つ攻撃者がサンドボックスから脱出する可能性がある。影響を受ける製品にはVMware Cloud Foundation、Telco Cloud Platform、Telco Cloud Infrastructureが含まれており、早急な対応が必要とされている。

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を追加、AIを活用した自動診断で脆弱性対策を効率化

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...

GMO Flatt Security株式会社が脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加。AIによる自動診断により、従来はセキュリティエンジニアによる手動診断が必要だった認可制御不備の検出を効率化。年間150万円(税抜き/Starterプラン)で継続的な診断が可能となり、情報漏洩などの重大インシデントの予防に貢献する。

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...

GMO Flatt Security株式会社が脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加。AIによる自動診断により、従来はセキュリティエンジニアによる手動診断が必要だった認可制御不備の検出を効率化。年間150万円(税抜き/Starterプラン)で継続的な診断が可能となり、情報漏洩などの重大インシデントの予防に貢献する。

MOTEXがLANSCOPE エンドポイントマネージャーにAIアシスタント機能を搭載し業務効率化を実現

MOTEXがLANSCOPE エンドポイントマネージャーにAIアシスタント機能を搭載し業務効率...

エムオーテックス株式会社は、IT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版」にCopilot機能を実装し、AIアシスタント「LANSCOPE Copilot for エンドポイントマネージャー」をベータ版として提供開始。管理コンソール内でチャット形式での操作方法や運用方法の案内が可能となり、情報システム・セキュリティ担当者の業務効率化を実現する。

MOTEXがLANSCOPE エンドポイントマネージャーにAIアシスタント機能を搭載し業務効率...

エムオーテックス株式会社は、IT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版」にCopilot機能を実装し、AIアシスタント「LANSCOPE Copilot for エンドポイントマネージャー」をベータ版として提供開始。管理コンソール内でチャット形式での操作方法や運用方法の案内が可能となり、情報システム・セキュリティ担当者の業務効率化を実現する。

【CVE-2025-23420】OpenHarmonyのArkcompiler Ets Runtimeに脆弱性、プリインストールアプリへの影響に注意

【CVE-2025-23420】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフローの脆弱性が発見された。CVE-2025-23420として識別されるこの脆弱性は、v5.0.2以前のバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能となる。CVSSスコアは3.8(Low)と評価されているが、適切なパッチ適用による対策が推奨される。

【CVE-2025-23420】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフローの脆弱性が発見された。CVE-2025-23420として識別されるこの脆弱性は、v5.0.2以前のバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能となる。CVSSスコアは3.8(Low)と評価されているが、適切なパッチ適用による対策が推奨される。

【CVE-2024-58044】HarmonyOSとEMUIに権限検証バイパスの脆弱性、複数バージョンで高リスクの影響

【CVE-2024-58044】HarmonyOSとEMUIに権限検証バイパスの脆弱性、複数バ...

HuaweiはHarmonyOSとEMUIの通知モジュールにおける権限検証バイパスの脆弱性を公開した。HarmonyOSの2.0.0から4.3.0までの7バージョンとEMUIの12.0.0から14.0.0までの3バージョンが影響を受け、CVSSスコア8.4のハイリスクと評価された。不適切な入力検証に起因する本脆弱性は、システムの可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-58044】HarmonyOSとEMUIに権限検証バイパスの脆弱性、複数バ...

HuaweiはHarmonyOSとEMUIの通知モジュールにおける権限検証バイパスの脆弱性を公開した。HarmonyOSの2.0.0から4.3.0までの7バージョンとEMUIの12.0.0から14.0.0までの3バージョンが影響を受け、CVSSスコア8.4のハイリスクと評価された。不適切な入力検証に起因する本脆弱性は、システムの可用性に重大な影響を及ぼす可能性がある。

IdrasysがAIエージェントサービスGenAI Admin Portalを提供開始、部署横断的な業務効率化を実現へ

IdrasysがAIエージェントサービスGenAI Admin Portalを提供開始、部署横...

クリーク・アンド・リバー社の子会社Idrasysが、インツミット社開発のAIエージェントサービス「GenAI Admin Portal」の提供を開始した。Azure OpenAI ServiceとChatGPTモデルを統合し、音声会議記録要約やチャットボット、契約書分析など、各部署の業務効率を改善する統合的なAIソリューションを提供する。すでに台湾の政府機関やインフラ企業で導入実績があり、日本でも札幌観光協会での活用が始まっている。

IdrasysがAIエージェントサービスGenAI Admin Portalを提供開始、部署横...

クリーク・アンド・リバー社の子会社Idrasysが、インツミット社開発のAIエージェントサービス「GenAI Admin Portal」の提供を開始した。Azure OpenAI ServiceとChatGPTモデルを統合し、音声会議記録要約やチャットボット、契約書分析など、各部署の業務効率を改善する統合的なAIソリューションを提供する。すでに台湾の政府機関やインフラ企業で導入実績があり、日本でも札幌観光協会での活用が始まっている。

日立製作所が生成AI活用の脆弱性分析サービスを開始、製品セキュリティの強化とPSIRTソリューションの拡充へ

日立製作所が生成AI活用の脆弱性分析サービスを開始、製品セキュリティの強化とPSIRTソリュー...

日立製作所は2025年3月5日より、IoT製品・システムの脆弱性対処に必要なセキュリティの知見を補う生成AIを活用した脆弱性分析サービスの販売を開始する。本サービスは脆弱性の調査時間を約45%削減し、製品セキュリティの知見や人財不足の課題解決を支援する。サイバーレジリエンス法への対応を背景に、製造業顧客向けにPSIRTソリューションを強化していく。

日立製作所が生成AI活用の脆弱性分析サービスを開始、製品セキュリティの強化とPSIRTソリュー...

日立製作所は2025年3月5日より、IoT製品・システムの脆弱性対処に必要なセキュリティの知見を補う生成AIを活用した脆弱性分析サービスの販売を開始する。本サービスは脆弱性の調査時間を約45%削減し、製品セキュリティの知見や人財不足の課題解決を支援する。サイバーレジリエンス法への対応を背景に、製造業顧客向けにPSIRTソリューションを強化していく。

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を追加、AIによる自動診断で脆弱性対策が効率化

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...

GMO Flatt Securityは2025年3月5日より、国産脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加した。AIを活用して権限マトリクスを自動作成し、Webアプリケーションの認可制御不備を自動検知する機能を実装。従来のセキュリティエンジニアによる手動診断と比較して大幅なコスト削減を実現し、年間150万円から継続的な診断が可能となった。

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...

GMO Flatt Securityは2025年3月5日より、国産脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加した。AIを活用して権限マトリクスを自動作成し、Webアプリケーションの認可制御不備を自動検知する機能を実装。従来のセキュリティエンジニアによる手動診断と比較して大幅なコスト削減を実現し、年間150万円から継続的な診断が可能となった。

【CVE-2025-26616】WeGIAにパストラバーサルの脆弱性、設定ファイルへの不正アクセスのリスクで緊急アップデートを推奨

【CVE-2025-26616】WeGIAにパストラバーサルの脆弱性、設定ファイルへの不正アク...

GitHubは2025年2月18日、ポルトガル語圏向け施設管理システムWeGIAにパストラバーサル脆弱性(CVE-2025-26616)を発見したと発表した。この脆弱性により、攻撃者はconfig.phpファイルに不正アクセスし、データベースの認証情報を取得できる可能性がある。CVSSスコア10.0の最高レベルの深刻度と評価され、開発元は脆弱性を修正したバージョン3.2.14へのアップデートを推奨している。

【CVE-2025-26616】WeGIAにパストラバーサルの脆弱性、設定ファイルへの不正アク...

GitHubは2025年2月18日、ポルトガル語圏向け施設管理システムWeGIAにパストラバーサル脆弱性(CVE-2025-26616)を発見したと発表した。この脆弱性により、攻撃者はconfig.phpファイルに不正アクセスし、データベースの認証情報を取得できる可能性がある。CVSSスコア10.0の最高レベルの深刻度と評価され、開発元は脆弱性を修正したバージョン3.2.14へのアップデートを推奨している。

【CVE-2025-26612】WeGIAにSQLインジェクションの脆弱性、CVSSスコア10.0の緊急事態に

【CVE-2025-26612】WeGIAにSQLインジェクションの脆弱性、CVSSスコア10...

ポルトガル語ユーザー向けオープンソースWeb管理ツールWeGIAで深刻なSQLインジェクションの脆弱性が発見された。adicionar_almoxarife.phpエンドポイントに存在するこの脆弱性は、攻撃者による任意のSQLクエリ実行を可能にし、機密情報への不正アクセスのリスクが指摘されている。CVSSスコア10.0の緊急性の高い脆弱性として、バージョン3.2.13での修正が提供されている。

【CVE-2025-26612】WeGIAにSQLインジェクションの脆弱性、CVSSスコア10...

ポルトガル語ユーザー向けオープンソースWeb管理ツールWeGIAで深刻なSQLインジェクションの脆弱性が発見された。adicionar_almoxarife.phpエンドポイントに存在するこの脆弱性は、攻撃者による任意のSQLクエリ実行を可能にし、機密情報への不正アクセスのリスクが指摘されている。CVSSスコア10.0の緊急性の高い脆弱性として、バージョン3.2.13での修正が提供されている。

セキュリティ・ミニキャンプ in 大阪2025が公開講座を開催、産学官連携による実践的なセキュリティ教育を提供

セキュリティ・ミニキャンプ in 大阪2025が公開講座を開催、産学官連携による実践的なセキュ...

一般財団法人関西情報センターと一般社団法人セキュリティ・キャンプ協議会は、2025年3月21日にセキュリティ・ミニキャンプ in 大阪2025の公開講座をオンラインで開催する。トライコーダの上野宣氏による実践的なサイバー攻撃対策の講演や、業界の第一線で活躍する専門家によるトークバトルを通じて、最新のセキュリティ動向と対策について学べる機会を提供する。

セキュリティ・ミニキャンプ in 大阪2025が公開講座を開催、産学官連携による実践的なセキュ...

一般財団法人関西情報センターと一般社団法人セキュリティ・キャンプ協議会は、2025年3月21日にセキュリティ・ミニキャンプ in 大阪2025の公開講座をオンラインで開催する。トライコーダの上野宣氏による実践的なサイバー攻撃対策の講演や、業界の第一線で活躍する専門家によるトークバトルを通じて、最新のセキュリティ動向と対策について学べる機会を提供する。

【CVE-2025-21124】InDesign DesktopにOut-of-Bounds Read脆弱性、情報漏洩のリスクに警戒

【CVE-2025-21124】InDesign DesktopにOut-of-Bounds ...

AdobeのInDesign Desktop ID20.0、ID19.5.1以前のバージョンにOut-of-Bounds Read脆弱性が発見された。CVSSスコア5.5(中程度)と評価されるこの脆弱性は、悪意のあるファイルを開くことで機密メモリの情報漏洩やASLRなどの保護機能の回避につながる可能性がある。ユーザーの操作を必要とする特性から、不審なファイルを開かないよう注意が必要だ。

【CVE-2025-21124】InDesign DesktopにOut-of-Bounds ...

AdobeのInDesign Desktop ID20.0、ID19.5.1以前のバージョンにOut-of-Bounds Read脆弱性が発見された。CVSSスコア5.5(中程度)と評価されるこの脆弱性は、悪意のあるファイルを開くことで機密メモリの情報漏洩やASLRなどの保護機能の回避につながる可能性がある。ユーザーの操作を必要とする特性から、不審なファイルを開かないよう注意が必要だ。

【CVE-2025-25192】GLPIにデバッグモードの権限昇格の脆弱性、バージョン10.0.18で修正完了

【CVE-2025-25192】GLPIにデバッグモードの権限昇格の脆弱性、バージョン10.0...

資産およびIT管理ソフトウェアGLPIにおいて、低権限ユーザーがデバッグモードを有効にして機密情報にアクセスできる重大な脆弱性が発見された。CVE-2025-25192として識別されるこの脆弱性は、バージョン10.0.18未満に影響し、CVSSスコア6.5と評価されている。対策としてバージョン10.0.18へのアップデートまたはinstall/update.phpファイルの削除が推奨される。

【CVE-2025-25192】GLPIにデバッグモードの権限昇格の脆弱性、バージョン10.0...

資産およびIT管理ソフトウェアGLPIにおいて、低権限ユーザーがデバッグモードを有効にして機密情報にアクセスできる重大な脆弱性が発見された。CVE-2025-25192として識別されるこの脆弱性は、バージョン10.0.18未満に影響し、CVSSスコア6.5と評価されている。対策としてバージョン10.0.18へのアップデートまたはinstall/update.phpファイルの削除が推奨される。

【CVE-2025-1586】code-projects Blood Bank System 1.0にクロスサイトスクリプティングの脆弱性、医療システムのセキュリティリスクが浮き彫りに

【CVE-2025-1586】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のA-.phpファイルにおいて、Bloodname引数を操作することで発動するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1586として識別されたこの脆弱性は、認証済みユーザーによる遠隔からの攻撃が可能で、最大CVSSスコア5.1を記録。既に公開されており、早急な対策が求められている。

【CVE-2025-1586】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のA-.phpファイルにおいて、Bloodname引数を操作することで発動するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1586として識別されたこの脆弱性は、認証済みユーザーによる遠隔からの攻撃が可能で、最大CVSSスコア5.1を記録。既に公開されており、早急な対策が求められている。

【CVE-2025-1335】CmsEasy 7.7.7.9でパストラバーサルの脆弱性、ベンダー未対応でリスク増大

【CVE-2025-1335】CmsEasy 7.7.7.9でパストラバーサルの脆弱性、ベンダ...

VulDBが2025年2月16日に公開したCmsEasy 7.7.7.9の脆弱性は、file_admin.phpのdeleteimg_action機能におけるパストラバーサルの問題だ。CVSSスコアは最大で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態となっている。ベンダーは現時点で対応を行っておらず、既に攻撃コードが公開されているため、ユーザー企業による独自の対策が急務となっている。

【CVE-2025-1335】CmsEasy 7.7.7.9でパストラバーサルの脆弱性、ベンダ...

VulDBが2025年2月16日に公開したCmsEasy 7.7.7.9の脆弱性は、file_admin.phpのdeleteimg_action機能におけるパストラバーサルの問題だ。CVSSスコアは最大で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態となっている。ベンダーは現時点で対応を行っておらず、既に攻撃コードが公開されているため、ユーザー企業による独自の対策が急務となっている。

【CVE-2025-1599】Best Church Management Software 1.0に深刻な脆弱性、リモート攻撃の危険性が浮上

【CVE-2025-1599】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、profile_crud.phpファイルにパストラバーサルの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、リモートからの攻撃が可能で既に公開されているにもかかわらず、ベンダーは現時点で対応を行っていない。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-1599】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、profile_crud.phpファイルにパストラバーサルの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、リモートからの攻撃が可能で既に公開されているにもかかわらず、ベンダーは現時点で対応を行っていない。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-1641】Benner ModernaNetにSQLインジェクションの脆弱性、医療データのセキュリティリスクに警鐘

【CVE-2025-1641】Benner ModernaNetにSQLインジェクションの脆弱...

Benner ModernaNetのバージョン1.1.0以前に重大な脆弱性が発見され、CVE-2025-1641として公開された。SQLインジェクションの脆弱性により、リモートからの攻撃が可能な状態にある。CVSS 3.1で7.3(High)と評価される深刻な問題であり、医療データのセキュリティリスクが懸念される。対策としてバージョン1.1.1へのアップデートが推奨されている。

【CVE-2025-1641】Benner ModernaNetにSQLインジェクションの脆弱...

Benner ModernaNetのバージョン1.1.0以前に重大な脆弱性が発見され、CVE-2025-1641として公開された。SQLインジェクションの脆弱性により、リモートからの攻撃が可能な状態にある。CVSS 3.1で7.3(High)と評価される深刻な問題であり、医療データのセキュリティリスクが懸念される。対策としてバージョン1.1.1へのアップデートが推奨されている。

SCSKセキュリティが企業向けセキュリティリテイナーサービスを開始、包括的なセキュリティ対策の実現へ

SCSKセキュリティが企業向けセキュリティリテイナーサービスを開始、包括的なセキュリティ対策の実現へ

SCSKセキュリティ株式会社が2025年2月27日、企業の情報セキュリティ確保を包括的に支援する新サービス「SCSKセキュリティリテイナー」の提供開始を発表した。年間99万円のBasicプランで、セキュリティアセスメントや脆弱性診断、インシデント対応支援など、平時の体制強化から有事の対応までをカバー。2030年までに国内300社との契約を目指し、サービスの拡充を進めていく。

SCSKセキュリティが企業向けセキュリティリテイナーサービスを開始、包括的なセキュリティ対策の実現へ

SCSKセキュリティ株式会社が2025年2月27日、企業の情報セキュリティ確保を包括的に支援する新サービス「SCSKセキュリティリテイナー」の提供開始を発表した。年間99万円のBasicプランで、セキュリティアセスメントや脆弱性診断、インシデント対応支援など、平時の体制強化から有事の対応までをカバー。2030年までに国内300社との契約を目指し、サービスの拡充を進めていく。

プライム・ストラテジーがKUSANAGI Security Editionを発表、WordPressとCMSのセキュリティ運用負荷を大幅に軽減

プライム・ストラテジーがKUSANAGI Security Editionを発表、WordPr...

プライム・ストラテジー株式会社が高速CMS環境「KUSANAGI」シリーズの新製品としてKUSANAGI Security EditionをGoogle Cloudで提供開始。OS・ミドルウェアの自動アップデートによる脆弱性対策、マルウェア対策機能、セキュリティ監査機能を実装し、企業のセキュリティ運用を効率化。さらにKUSANAGI Appで複数サーバの一元管理も実現。

プライム・ストラテジーがKUSANAGI Security Editionを発表、WordPr...

プライム・ストラテジー株式会社が高速CMS環境「KUSANAGI」シリーズの新製品としてKUSANAGI Security EditionをGoogle Cloudで提供開始。OS・ミドルウェアの自動アップデートによる脆弱性対策、マルウェア対策機能、セキュリティ監査機能を実装し、企業のセキュリティ運用を効率化。さらにKUSANAGI Appで複数サーバの一元管理も実現。

ConorisTechnologiesがAPIセキュリティウェビナーを開催、SaaSベンダー向けにリスク対策を解説

ConorisTechnologiesがAPIセキュリティウェビナーを開催、SaaSベンダー向...

2025年3月18日、ConorisTechnologies代表の井上幸氏がAnyflow主催のウェビナー「APIとセキュリティの最前線」に登壇する。マネーフォワード執行役員の廣原亜樹氏らと共に、SaaS間のデータ連携におけるAPIセキュリティの課題と解決策について議論を展開。開発者やセキュリティ担当者向けに、APIの利便性とリスク、セキュリティ対策の具体的な実装方法について解説予定だ。

ConorisTechnologiesがAPIセキュリティウェビナーを開催、SaaSベンダー向...

2025年3月18日、ConorisTechnologies代表の井上幸氏がAnyflow主催のウェビナー「APIとセキュリティの最前線」に登壇する。マネーフォワード執行役員の廣原亜樹氏らと共に、SaaS間のデータ連携におけるAPIセキュリティの課題と解決策について議論を展開。開発者やセキュリティ担当者向けに、APIの利便性とリスク、セキュリティ対策の具体的な実装方法について解説予定だ。

【CVE-2025-21392】Microsoft Office製品群に重大な脆弱性、リモートコード実行の危険性で緊急対応が必要に

【CVE-2025-21392】Microsoft Office製品群に重大な脆弱性、リモート...

Microsoftは2025年2月11日、Office製品群に重大なリモートコード実行の脆弱性(CVE-2025-21392)を公開した。影響範囲はOffice 2019からLTSC 2024まで広範に及び、CVSSスコア7.8と高いリスクレベルが報告されている。脆弱性はUse After Free(CWE-416)に分類され、攻撃者による遠隔からのコード実行を可能にする深刻な問題となっている。

【CVE-2025-21392】Microsoft Office製品群に重大な脆弱性、リモート...

Microsoftは2025年2月11日、Office製品群に重大なリモートコード実行の脆弱性(CVE-2025-21392)を公開した。影響範囲はOffice 2019からLTSC 2024まで広範に及び、CVSSスコア7.8と高いリスクレベルが報告されている。脆弱性はUse After Free(CWE-416)に分類され、攻撃者による遠隔からのコード実行を可能にする深刻な問題となっている。

【CVE-2025-0967】code-projects Chat System 1.0にSQLインジェクションの脆弱性、早急な対応が必要な状況に

【CVE-2025-0967】code-projects Chat System 1.0にSQ...

code-projects Chat System 1.0のadd_chatroom.phpファイルにおいて、chatnameとchatpassパラメータの処理に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-0967として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコアは中程度と評価されている。既に攻撃コードが公開されており、早急な対応が必要な状況となっている。

【CVE-2025-0967】code-projects Chat System 1.0にSQ...

code-projects Chat System 1.0のadd_chatroom.phpファイルにおいて、chatnameとchatpassパラメータの処理に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-0967として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコアは中程度と評価されている。既に攻撃コードが公開されており、早急な対応が必要な状況となっている。