Tech Insights

【CVE-2024-13535】Actionwear Products Sync 2.3.0以前に深刻な脆弱性、未認証状態でフルパス情報が漏洩する危険性

【CVE-2024-13535】Actionwear Products Sync 2.3.0以...

WordPressプラグインActionwear Products Syncの全バージョンに脆弱性が発見された。CVE-2024-13535として識別されるこの脆弱性は、composer-setup.phpファイルの設定不備により、未認証状態でWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3のMedium評価だが、他の脆弱性と組み合わさることで被害が拡大する可能性があり、早急な対応が推奨される。

【CVE-2024-13535】Actionwear Products Sync 2.3.0以...

WordPressプラグインActionwear Products Syncの全バージョンに脆弱性が発見された。CVE-2024-13535として識別されるこの脆弱性は、composer-setup.phpファイルの設定不備により、未認証状態でWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3のMedium評価だが、他の脆弱性と組み合わさることで被害が拡大する可能性があり、早急な対応が推奨される。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱性、未認証攻撃者による任意スクリプト実行が可能に

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – YaySMTPに認証なしXSSの脆弱性、早急な対応が必要に

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2025-1642】Benner ModernaNetにリソースインジェクションの脆弱性、バージョン1.1.1で修正完了

【CVE-2025-1642】Benner ModernaNetにリソースインジェクションの脆...

医療システムBenner ModernaNetのバージョン1.1.0以下に重大な脆弱性が発見された。GetImageMedico機能のfooIdパラメータを介したリソースインジェクションの脆弱性で、リモートからの攻撃が可能。CVSS 4.0で5.3(中程度)と評価され、情報漏洩のリスクが指摘されている。対策としてバージョン1.1.1へのアップグレードが推奨される。

【CVE-2025-1642】Benner ModernaNetにリソースインジェクションの脆...

医療システムBenner ModernaNetのバージョン1.1.0以下に重大な脆弱性が発見された。GetImageMedico機能のfooIdパラメータを介したリソースインジェクションの脆弱性で、リモートからの攻撃が可能。CVSS 4.0で5.3(中程度)と評価され、情報漏洩のリスクが指摘されている。対策としてバージョン1.1.1へのアップグレードが推奨される。

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要な情報漏洩の脆弱性、ユーザーデータ流出のリスクに警戒

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要...

WordPressプラグイン「Post Grid and Gutenberg Blocks – ComboBlocks」のバージョン2.3.6以前に、認証不要でユーザー情報が漏洩する脆弱性が発見された。REST APIを介して攻撃者がメールアドレスなどの情報を取得可能な状態となっており、CVSSスコア5.3のミディアムレベルの深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要...

WordPressプラグイン「Post Grid and Gutenberg Blocks – ComboBlocks」のバージョン2.3.6以前に、認証不要でユーザー情報が漏洩する脆弱性が発見された。REST APIを介して攻撃者がメールアドレスなどの情報を取得可能な状態となっており、CVSSスコア5.3のミディアムレベルの深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2025-1905】SourceCodester Employee Management System 1.0にXSS脆弱性、従業員情報の改ざんリスクが浮上

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

株式会社トドケールは郵便物・配達物管理SaaS「トドケール」において、データの大量ダウンロードを検知するセキュリティ機能を2025年3月6日にリリースした。この機能により、ユーザーによる大量データダウンロード時に警告画面を表示し、管理者へアラートを通知することで、内部からの情報漏洩リスクを低減する。荷物・郵便物情報などの個人情報保護強化につながる。

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

株式会社トドケールは郵便物・配達物管理SaaS「トドケール」において、データの大量ダウンロードを検知するセキュリティ機能を2025年3月6日にリリースした。この機能により、ユーザーによる大量データダウンロード時に警告画面を表示し、管理者へアラートを通知することで、内部からの情報漏洩リスクを低減する。荷物・郵便物情報などの個人情報保護強化につながる。

【CVE-2024-58049】HarmonyOS 5.0.0のメディアライブラリに権限確認の脆弱性、サービスの機密性に影響のおそれ

【CVE-2024-58049】HarmonyOS 5.0.0のメディアライブラリに権限確認の...

Huawei Technologiesは2025年3月4日、HarmonyOS 5.0.0のメディアライブラリモジュールに権限確認の脆弱性が存在することを公開した。CVE-2024-58049として識別されるこの脆弱性は、CVSSスコア5.0(MEDIUM)に分類され、認可されていないアクターへの機密情報の露出(CWE-200)につながる可能性がある。攻撃には低特権レベルとユーザー操作が必要だが、適切な対策が推奨される。

【CVE-2024-58049】HarmonyOS 5.0.0のメディアライブラリに権限確認の...

Huawei Technologiesは2025年3月4日、HarmonyOS 5.0.0のメディアライブラリモジュールに権限確認の脆弱性が存在することを公開した。CVE-2024-58049として識別されるこの脆弱性は、CVSSスコア5.0(MEDIUM)に分類され、認可されていないアクターへの機密情報の露出(CWE-200)につながる可能性がある。攻撃には低特権レベルとユーザー操作が必要だが、適切な対策が推奨される。

IppuSenkinとビューカードが生成AI活用した審査マニュアル検索アプリ「みちびき」を開発、業務効率化に向け本格展開

IppuSenkinとビューカードが生成AI活用した審査マニュアル検索アプリ「みちびき」を開発...

IppuSenkinとビューカードは、クレジットカード入会審査業務の効率化を目指し、生成AI活用した審査マニュアル・FAQ検索アプリケーション「みちびき」の開発を開始した。RAGとFAQ検索を組み合わせたハイブリッドシステムにより高度な検索・回答精度を実現し、オンプレミス環境での運用でセキュリティも確保。将来的なクラウド環境への移行も視野に入れた展開を予定している。

IppuSenkinとビューカードが生成AI活用した審査マニュアル検索アプリ「みちびき」を開発...

IppuSenkinとビューカードは、クレジットカード入会審査業務の効率化を目指し、生成AI活用した審査マニュアル・FAQ検索アプリケーション「みちびき」の開発を開始した。RAGとFAQ検索を組み合わせたハイブリッドシステムにより高度な検索・回答精度を実現し、オンプレミス環境での運用でセキュリティも確保。将来的なクラウド環境への移行も視野に入れた展開を予定している。

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

株式会社トドケールは郵便物・配達物管理SaaS「トドケール」において、データの大量ダウンロードを検知するセキュリティ機能を2025年3月6日にリリースした。この機能により、ユーザーによる大量データダウンロード時に警告画面を表示し、管理者へアラートを通知することで、内部からの情報漏洩リスクを低減する。荷物・郵便物情報などの個人情報保護強化につながる。

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

株式会社トドケールは郵便物・配達物管理SaaS「トドケール」において、データの大量ダウンロードを検知するセキュリティ機能を2025年3月6日にリリースした。この機能により、ユーザーによる大量データダウンロード時に警告画面を表示し、管理者へアラートを通知することで、内部からの情報漏洩リスクを低減する。荷物・郵便物情報などの個人情報保護強化につながる。

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

株式会社トドケールは郵便物・配達物管理SaaS「トドケール」において、データの大量ダウンロードを検知するセキュリティ機能を2025年3月6日にリリースした。この機能により、ユーザーによる大量データダウンロード時に警告画面を表示し、管理者へアラートを通知することで、内部からの情報漏洩リスクを低減する。荷物・郵便物情報などの個人情報保護強化につながる。

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

株式会社トドケールは郵便物・配達物管理SaaS「トドケール」において、データの大量ダウンロードを検知するセキュリティ機能を2025年3月6日にリリースした。この機能により、ユーザーによる大量データダウンロード時に警告画面を表示し、管理者へアラートを通知することで、内部からの情報漏洩リスクを低減する。荷物・郵便物情報などの個人情報保護強化につながる。

【CVE-2025-1316】Edimax IC-7100 IPカメラにOS命令実行の重大な脆弱性、早急な対応が必要に

【CVE-2025-1316】Edimax IC-7100 IPカメラにOS命令実行の重大な脆...

CISAは2025年3月4日、Edimax IC-7100 IPカメラに重大な脆弱性(CVE-2025-1316)を発見したと発表した。この脆弱性は特別に細工されたリクエストによってリモートからのコード実行が可能となるOS命令実行の問題であり、CVSS v4.0で9.3のクリティカルな評価を受けている。すべてのバージョンが影響を受け、特権レベルや特別なユーザー操作を必要とせずに攻撃が可能である点が深刻視されている。

【CVE-2025-1316】Edimax IC-7100 IPカメラにOS命令実行の重大な脆...

CISAは2025年3月4日、Edimax IC-7100 IPカメラに重大な脆弱性(CVE-2025-1316)を発見したと発表した。この脆弱性は特別に細工されたリクエストによってリモートからのコード実行が可能となるOS命令実行の問題であり、CVSS v4.0で9.3のクリティカルな評価を受けている。すべてのバージョンが影響を受け、特権レベルや特別なユーザー操作を必要とせずに攻撃が可能である点が深刻視されている。

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

株式会社トドケールは郵便物・配達物管理SaaS「トドケール」において、データの大量ダウンロードを検知するセキュリティ機能を2025年3月6日にリリースした。この機能により、ユーザーによる大量データダウンロード時に警告画面を表示し、管理者へアラートを通知することで、内部からの情報漏洩リスクを低減する。荷物・郵便物情報などの個人情報保護強化につながる。

トドケールが大量データダウンロード検知機能をリリース、情報セキュリティ強化で個人情報保護を実現

株式会社トドケールは郵便物・配達物管理SaaS「トドケール」において、データの大量ダウンロードを検知するセキュリティ機能を2025年3月6日にリリースした。この機能により、ユーザーによる大量データダウンロード時に警告画面を表示し、管理者へアラートを通知することで、内部からの情報漏洩リスクを低減する。荷物・郵便物情報などの個人情報保護強化につながる。

【CVE-2025-23411】mySCADA myPRO ManagerにCSRF脆弱性、機密情報漏洩のリスクが浮上

【CVE-2025-23411】mySCADA myPRO ManagerにCSRF脆弱性、機...

CISAがmySCADA myPRO Managerにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを公表した。CVE-2025-23411として識別されるこの脆弱性は、CVSS v3.1で6.3のミディアムスコアを記録。攻撃者は悪意のあるウェブサイトに被害者を誘導することで機密情報を取得できる可能性がある。影響を受けるバージョンは1.4未満で、早急なアップデートが推奨される。

【CVE-2025-23411】mySCADA myPRO ManagerにCSRF脆弱性、機...

CISAがmySCADA myPRO Managerにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを公表した。CVE-2025-23411として識別されるこの脆弱性は、CVSS v3.1で6.3のミディアムスコアを記録。攻撃者は悪意のあるウェブサイトに被害者を誘導することで機密情報を取得できる可能性がある。影響を受けるバージョンは1.4未満で、早急なアップデートが推奨される。

【CVE-2025-25281】Outback Power Mojaveインバーターに深刻な情報漏洩の脆弱性、全バージョンが影響を受け早急な対応が必要に

【CVE-2025-25281】Outback Power Mojaveインバーターに深刻な情...

CISAは2025年2月13日、Outback Power社のMojaveインバーターに情報漏洩の脆弱性が存在することを公表した。CVE-2025-25281として識別されるこの脆弱性は、URLの改変により対象ネットワークの機密情報が露出する可能性があり、CVSS v3.1で7.5(High)、CVSS v4.0で8.7(High)と評価されている。認証不要でリモートから攻撃可能な状態であり、全バージョンが影響を受けるため早急な対応が必要とされている。

【CVE-2025-25281】Outback Power Mojaveインバーターに深刻な情...

CISAは2025年2月13日、Outback Power社のMojaveインバーターに情報漏洩の脆弱性が存在することを公表した。CVE-2025-25281として識別されるこの脆弱性は、URLの改変により対象ネットワークの機密情報が露出する可能性があり、CVSS v3.1で7.5(High)、CVSS v4.0で8.7(High)と評価されている。認証不要でリモートから攻撃可能な状態であり、全バージョンが影響を受けるため早急な対応が必要とされている。

【CVE-2025-24861】Outback Power Mojaveインバーターに重大な脆弱性、コマンドインジェクション攻撃のリスクが判明

【CVE-2025-24861】Outback Power Mojaveインバーターに重大な脆...

CISAが2025年2月13日、Outback Power社のMojaveインバーターにコマンドインジェクション脆弱性が存在することを公表。CVE-2025-24861として識別されたこの脆弱性は、特別に細工されたPOSTリクエストを介して不正なコマンドを実行できる危険性がある。CVSS v3.1で7.5、v4.0で8.7の重要度評価となっており、すべてのバージョンが影響を受ける。

【CVE-2025-24861】Outback Power Mojaveインバーターに重大な脆...

CISAが2025年2月13日、Outback Power社のMojaveインバーターにコマンドインジェクション脆弱性が存在することを公表。CVE-2025-24861として識別されたこの脆弱性は、特別に細工されたPOSTリクエストを介して不正なコマンドを実行できる危険性がある。CVSS v3.1で7.5、v4.0で8.7の重要度評価となっており、すべてのバージョンが影響を受ける。

【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーによる任意のクエリ実行が可能に

【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーに...

GitHubがWeGIAのdelete_documento.phpエンドポイントにおけるSQLインジェクションの脆弱性を公開した。CVSS 4.0で9.4(Critical)を記録する深刻な脆弱性で、認証済みユーザーによる任意のSQLクエリ実行が可能。開発元のLabRedesCefetRJはバージョン3.2.14で修正対応を実施しており、影響を受けるバージョンのユーザーには早急なアップグレードが推奨される。

【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーに...

GitHubがWeGIAのdelete_documento.phpエンドポイントにおけるSQLインジェクションの脆弱性を公開した。CVSS 4.0で9.4(Critical)を記録する深刻な脆弱性で、認証済みユーザーによる任意のSQLクエリ実行が可能。開発元のLabRedesCefetRJはバージョン3.2.14で修正対応を実施しており、影響を受けるバージョンのユーザーには早急なアップグレードが推奨される。

【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2.13で修正完了

【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2....

オープンソースWeb管理システムWeGIAのinformacao_adicional.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSSスコア10.0の重大な脆弱性で、任意のSQLクエリ実行による機密情報への不正アクセスが可能となる。開発元は既にバージョン3.2.13で修正を完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2....

オープンソースWeb管理システムWeGIAのinformacao_adicional.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSSスコア10.0の重大な脆弱性で、任意のSQLクエリ実行による機密情報への不正アクセスが可能となる。開発元は既にバージョン3.2.13で修正を完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を追加、AIを活用した自動診断で脆弱性対策を効率化

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...

GMO Flatt Security株式会社が脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加。AIによる自動診断により、従来はセキュリティエンジニアによる手動診断が必要だった認可制御不備の検出を効率化。年間150万円(税抜き/Starterプラン)で継続的な診断が可能となり、情報漏洩などの重大インシデントの予防に貢献する。

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...

GMO Flatt Security株式会社が脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加。AIによる自動診断により、従来はセキュリティエンジニアによる手動診断が必要だった認可制御不備の検出を効率化。年間150万円(税抜き/Starterプラン)で継続的な診断が可能となり、情報漏洩などの重大インシデントの予防に貢献する。

MOTEXがLANSCOPE エンドポイントマネージャーにAIアシスタント機能を搭載し業務効率化を実現

MOTEXがLANSCOPE エンドポイントマネージャーにAIアシスタント機能を搭載し業務効率...

エムオーテックス株式会社は、IT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版」にCopilot機能を実装し、AIアシスタント「LANSCOPE Copilot for エンドポイントマネージャー」をベータ版として提供開始。管理コンソール内でチャット形式での操作方法や運用方法の案内が可能となり、情報システム・セキュリティ担当者の業務効率化を実現する。

MOTEXがLANSCOPE エンドポイントマネージャーにAIアシスタント機能を搭載し業務効率...

エムオーテックス株式会社は、IT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版」にCopilot機能を実装し、AIアシスタント「LANSCOPE Copilot for エンドポイントマネージャー」をベータ版として提供開始。管理コンソール内でチャット形式での操作方法や運用方法の案内が可能となり、情報システム・セキュリティ担当者の業務効率化を実現する。

【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリスクで即時アップデートを推奨

【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリス...

ポルトガル語圏向け医療機関管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性が発見された。historico_paciente.phpエンドポイントに存在するこの脆弱性は、CVSSスコア10.0を記録する深刻な問題で、攻撃者による患者情報への不正アクセスを許す可能性がある。開発元は対策版となるバージョン3.2.14をリリースし、全ユーザーに対して早急なアップグレードを推奨している。

【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリス...

ポルトガル語圏向け医療機関管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性が発見された。historico_paciente.phpエンドポイントに存在するこの脆弱性は、CVSSスコア10.0を記録する深刻な問題で、攻撃者による患者情報への不正アクセスを許す可能性がある。開発元は対策版となるバージョン3.2.14をリリースし、全ユーザーに対して早急なアップグレードを推奨している。

【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグレードで対策必要

【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグ...

GitHubは2025年2月18日、ポルトガル語圏向けのオープンソースWeb管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性を公開した。CVSSスコア9.4のクリティカルな評価を受けたこの脆弱性は、認証済み攻撃者による任意のSQLクエリ実行を許可してしまう。影響を受けるバージョン3.2.13未満のユーザーは、早急な最新版へのアップグレードが推奨される。

【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグ...

GitHubは2025年2月18日、ポルトガル語圏向けのオープンソースWeb管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性を公開した。CVSSスコア9.4のクリティカルな評価を受けたこの脆弱性は、認証済み攻撃者による任意のSQLクエリ実行を許可してしまう。影響を受けるバージョン3.2.13未満のユーザーは、早急な最新版へのアップグレードが推奨される。

【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、設定ファイルなど重要情報漏洩の危険性

【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、...

サイバー実験とシミュレーション向けフレームワークGHOSTSにおいて、深刻なパストラバーサル脆弱性が発見された。version 8.0.0.0から8.2.7.90未満のバージョンで、NPCプロファイル写真取得エンドポイントのファイルパス検証が不適切であり、任意のファイルへのアクセスが可能となっている。CVSSスコア8.7の高リスク脆弱性として、早急なアップデートが推奨される。

【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、...

サイバー実験とシミュレーション向けフレームワークGHOSTSにおいて、深刻なパストラバーサル脆弱性が発見された。version 8.0.0.0から8.2.7.90未満のバージョンで、NPCプロファイル写真取得エンドポイントのファイルパス検証が不適切であり、任意のファイルへのアクセスが可能となっている。CVSSスコア8.7の高リスク脆弱性として、早急なアップデートが推奨される。

【CVE-2025-27098】GraphQL Meshにパストラバーサルの脆弱性、ファイルシステム全体へのアクセスが可能に

【CVE-2025-27098】GraphQL Meshにパストラバーサルの脆弱性、ファイルシ...

GitHubは2025年2月20日、GraphQL Meshの静的ファイルハンドラーに重大な脆弱性を発見したことを公開した。この脆弱性により、サーバーのファイルシステム全体へのアクセスが可能となる。影響を受けるバージョンは@graphql-mesh/cli 0.78.0以上0.82.22未満、@graphql-mesh/http 0.3.19未満であり、早急なアップデートが推奨される。

【CVE-2025-27098】GraphQL Meshにパストラバーサルの脆弱性、ファイルシ...

GitHubは2025年2月20日、GraphQL Meshの静的ファイルハンドラーに重大な脆弱性を発見したことを公開した。この脆弱性により、サーバーのファイルシステム全体へのアクセスが可能となる。影響を受けるバージョンは@graphql-mesh/cli 0.78.0以上0.82.22未満、@graphql-mesh/http 0.3.19未満であり、早急なアップデートが推奨される。

【CVE-2025-1581】PHPGurukul Online Nurse Hiring Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-1581】PHPGurukul Online Nurse Hiring S...

PHPGurukul Online Nurse Hiring System 1.0のbook-nurse.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価されており、リモートからの攻撃が可能な状態。脆弱性はcontactname引数の操作により発生し、攻撃手法も公開済み。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、早急な対応が必要とされている。

【CVE-2025-1581】PHPGurukul Online Nurse Hiring S...

PHPGurukul Online Nurse Hiring System 1.0のbook-nurse.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価されており、リモートからの攻撃が可能な状態。脆弱性はcontactname引数の操作により発生し、攻撃手法も公開済み。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、早急な対応が必要とされている。

【CVE-2025-1596】SourceCodester Best Church Management Software 1.0にSQL injection脆弱性、深刻な情報漏洩のリスクが発生

【CVE-2025-1596】SourceCodester Best Church Manag...

VulDBが2025年2月23日、SourceCodester Best Church Management Software 1.0のfpassword.phpファイルに重大なSQL injection脆弱性を発見したことを公表した。この脆弱性はCVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特別な権限も必要としない。既に一般公開されており、早急な対策が求められている。ベンダーからの応答が得られていない状況も相まって、深刻な事態となっている。

【CVE-2025-1596】SourceCodester Best Church Manag...

VulDBが2025年2月23日、SourceCodester Best Church Management Software 1.0のfpassword.phpファイルに重大なSQL injection脆弱性を発見したことを公表した。この脆弱性はCVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特別な権限も必要としない。既に一般公開されており、早急な対策が求められている。ベンダーからの応答が得られていない状況も相まって、深刻な事態となっている。

【CVE-2025-1675】ZephyrプロジェクトのDNS機能に深刻な脆弱性、バッファオーバーリードによる情報漏洩のリスク

【CVE-2025-1675】ZephyrプロジェクトのDNS機能に深刻な脆弱性、バッファオー...

Zephyr Projectのdns_pack.cファイル内のdns_copy_qname関数において、信頼できないフィールドに対するmemcpy操作時にソースバッファのサイズチェックが行われていない脆弱性が発見された。CVE-2025-1675として識別されたこの問題は、CVSSスコア8.2の高リスクと評価され、version 4.0までのバージョンに影響を与える。攻撃の自動化は確認されていないものの、情報漏洩やシステムの可用性に深刻な影響を及ぼす可能性がある。

【CVE-2025-1675】ZephyrプロジェクトのDNS機能に深刻な脆弱性、バッファオー...

Zephyr Projectのdns_pack.cファイル内のdns_copy_qname関数において、信頼できないフィールドに対するmemcpy操作時にソースバッファのサイズチェックが行われていない脆弱性が発見された。CVE-2025-1675として識別されたこの問題は、CVSSスコア8.2の高リスクと評価され、version 4.0までのバージョンに影響を与える。攻撃の自動化は確認されていないものの、情報漏洩やシステムの可用性に深刻な影響を及ぼす可能性がある。

【CVE-2025-22847】OpenHarmony v5.0.2以前のバージョンでバッファオーバーリードの脆弱性が発見、サービス拒否攻撃のリスクに注意

【CVE-2025-22847】OpenHarmony v5.0.2以前のバージョンでバッファ...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーリードの脆弱性が発見された。CVE-2025-22847として識別されるこの脆弱性は、v4.1.0からv5.0.2までのバージョンに影響を与える。CVSSスコア3.1で深刻度は低いものの、ローカル攻撃者によるサービス拒否攻撃のリスクが存在する。特権レベルは低く、ユーザーインタラクションは不要とされている。

【CVE-2025-22847】OpenHarmony v5.0.2以前のバージョンでバッファ...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーリードの脆弱性が発見された。CVE-2025-22847として識別されるこの脆弱性は、v4.1.0からv5.0.2までのバージョンに影響を与える。CVSSスコア3.1で深刻度は低いものの、ローカル攻撃者によるサービス拒否攻撃のリスクが存在する。特権レベルは低く、ユーザーインタラクションは不要とされている。

【CVE-2025-20042】OpenHarmonyのLiteos-Aに境界外読み取りの脆弱性、v5.0.2まで影響の可能性

【CVE-2025-20042】OpenHarmonyのLiteos-Aに境界外読み取りの脆弱...

OpenHarmonyは2025年3月4日、オペレーティングシステムLiteos-Aにおいて境界外読み取りの脆弱性(CVE-2025-20042)を発見したことを公開した。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、CVSSスコアは5.5(中)と評価された。ローカル攻撃者による情報漏洩のリスクが存在し、早急な対応が求められている。

【CVE-2025-20042】OpenHarmonyのLiteos-Aに境界外読み取りの脆弱...

OpenHarmonyは2025年3月4日、オペレーティングシステムLiteos-Aにおいて境界外読み取りの脆弱性(CVE-2025-20042)を発見したことを公開した。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、CVSSスコアは5.5(中)と評価された。ローカル攻撃者による情報漏洩のリスクが存在し、早急な対応が求められている。

【CVE-2025-1583】PHPGurukul Online Nurse Hiring Systemにおける重大な脆弱性、管理者機能に深刻な影響

【CVE-2025-1583】PHPGurukul Online Nurse Hiring S...

医療従事者の採用管理システムPHPGurukul Online Nurse Hiring System 1.0において、管理者用ファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1583として識別されるこの脆弱性は、CVSS 3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能であることから、早急な対応が求められている。脆弱性は一般に公開されており、攻撃コードも利用可能な状態となっている。

【CVE-2025-1583】PHPGurukul Online Nurse Hiring S...

医療従事者の採用管理システムPHPGurukul Online Nurse Hiring System 1.0において、管理者用ファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1583として識別されるこの脆弱性は、CVSS 3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能であることから、早急な対応が求められている。脆弱性は一般に公開されており、攻撃コードも利用可能な状態となっている。