Tech Insights

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バージョン2.5.1以前に影響

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バ...

WordPressのWooODT Liteプラグインにおいて、バージョン2.5.1以前の全バージョンでフルパス情報漏洩の脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価され、認証なしでアクセス可能な状態での情報漏洩リスクが存在する。この脆弱性単体での直接的な被害は限定的だが、他の脆弱性と組み合わさることで攻撃に悪用される可能性があり、影響を受けるバージョンのユーザーは注意が必要である。

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バ...

WordPressのWooODT Liteプラグインにおいて、バージョン2.5.1以前の全バージョンでフルパス情報漏洩の脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価され、認証なしでアクセス可能な状態での情報漏洩リスクが存在する。この脆弱性単体での直接的な被害は限定的だが、他の脆弱性と組み合わさることで攻撃に悪用される可能性があり、影響を受けるバージョンのユーザーは注意が必要である。

【CVE-2024-13525】WooCommerceプラグインに深刻な脆弱性、ユーザー情報漏洩のリスクが発生

【CVE-2024-13525】WooCommerceプラグインに深刻な脆弱性、ユーザー情報漏...

WordfenceはWordPress用プラグインCustomer Email Verification for WooCommerceのバージョン2.9.4以前に情報漏洩の脆弱性が存在することを公開した。Contributor以上の権限を持つ攻撃者がショートコードを介してユーザーの機密情報を抽出できる問題で、CVSS評価は6.5(MEDIUM)。メールアドレスやハッシュ化パスワードの漏洩リスクがあり、早急な対応が必要とされている。

【CVE-2024-13525】WooCommerceプラグインに深刻な脆弱性、ユーザー情報漏...

WordfenceはWordPress用プラグインCustomer Email Verification for WooCommerceのバージョン2.9.4以前に情報漏洩の脆弱性が存在することを公開した。Contributor以上の権限を持つ攻撃者がショートコードを介してユーザーの機密情報を抽出できる問題で、CVSS評価は6.5(MEDIUM)。メールアドレスやハッシュ化パスワードの漏洩リスクがあり、早急な対応が必要とされている。

【CVE-2024-13523】WordPressプラグインMemorialDay 1.0.4以前にXSS脆弱性、管理者権限での設定変更とスクリプト注入の危険性

【CVE-2024-13523】WordPressプラグインMemorialDay 1.0.4...

WordPressプラグインMemorialDayのバージョン1.0.4以前において、クロスサイトリクエストフォージェリからクロスサイトスクリプティングに繋がる重大な脆弱性が発見された。この脆弱性はCVE-2024-13523として識別され、CVSSスコア6.1のMedium評価となっている。攻撃者は管理者の操作を誘導することで設定変更や悪意のあるスクリプトの注入が可能となるため、早急な対応が必要とされている。

【CVE-2024-13523】WordPressプラグインMemorialDay 1.0.4...

WordPressプラグインMemorialDayのバージョン1.0.4以前において、クロスサイトリクエストフォージェリからクロスサイトスクリプティングに繋がる重大な脆弱性が発見された。この脆弱性はCVE-2024-13523として識別され、CVSSスコア6.1のMedium評価となっている。攻撃者は管理者の操作を誘導することで設定変更や悪意のあるスクリプトの注入が可能となるため、早急な対応が必要とされている。

【CVE-2024-13500】WP Project Manager 2.6.17にSQL Injection脆弱性、データベースからの情報漏洩のリスクが浮上

【CVE-2024-13500】WP Project Manager 2.6.17にSQL I...

WordPressプラグイン「WP Project Manager」の2.6.17以前のバージョンにSQL Injection脆弱性が発見された。orderbyパラメータの不適切な処理により、Subscriber権限以上のユーザーがデータベースから機密情報を抽出可能となる。CVSSスコア6.5で評価され、早急なアップデートが推奨される。Wordfenceが2025年2月15日に公開した情報によると、この脆弱性はCVE-2024-13500として識別されている。

【CVE-2024-13500】WP Project Manager 2.6.17にSQL I...

WordPressプラグイン「WP Project Manager」の2.6.17以前のバージョンにSQL Injection脆弱性が発見された。orderbyパラメータの不適切な処理により、Subscriber権限以上のユーザーがデータベースから機密情報を抽出可能となる。CVSSスコア6.5で評価され、早急なアップデートが推奨される。Wordfenceが2025年2月15日に公開した情報によると、この脆弱性はCVE-2024-13500として識別されている。

【CVE-2024-13445】Elementor Website Builder 3.27.4にXSS脆弱性、認証済みユーザーによる不正スクリプト実行の危険性

【CVE-2024-13445】Elementor Website Builder 3.27....

WordPressプラグインのElementor Website Builder 3.27.4以前のバージョンに、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが境界線、マージン、ギャップのパラメータを通じて悪意のあるスクリプトを注入可能で、CVSS v3.1で中程度の深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13445】Elementor Website Builder 3.27....

WordPressプラグインのElementor Website Builder 3.27.4以前のバージョンに、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが境界線、マージン、ギャップのパラメータを通じて悪意のあるスクリプトを注入可能で、CVSS v3.1で中程度の深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13369】Tour Masterプラグインに深刻な脆弱性、データベースからの情報漏洩のリスクが発生

【CVE-2024-13369】Tour Masterプラグインに深刻な脆弱性、データベースか...

WordPressのツアー予約プラグインTour Masterにおいて、バージョン5.3.6以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVE-2024-13369として識別されるこの脆弱性は、認証済みユーザーがreview_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-13369】Tour Masterプラグインに深刻な脆弱性、データベースか...

WordPressのツアー予約プラグインTour Masterにおいて、バージョン5.3.6以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVE-2024-13369として識別されるこの脆弱性は、認証済みユーザーがreview_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-13229】Rank Math SEO 1.0.235に認証不備の脆弱性、メタデータ削除のリスクが発覚

【CVE-2024-13229】Rank Math SEO 1.0.235に認証不備の脆弱性、...

WordPressプラグイン「Rank Math SEO」の1.0.235以前のバージョンにおいて、認証に関する重大な脆弱性が発見された。update_metadata()関数の権限チェック欠如により、Contributor以上の権限を持つユーザーが任意の投稿のスキーマメタデータを削除可能な状態となっていた。CVSSスコア4.3(MEDIUM)と評価され、不適切なアクセス制御(CWE-284)に分類される本脆弱性への対応が求められている。

【CVE-2024-13229】Rank Math SEO 1.0.235に認証不備の脆弱性、...

WordPressプラグイン「Rank Math SEO」の1.0.235以前のバージョンにおいて、認証に関する重大な脆弱性が発見された。update_metadata()関数の権限チェック欠如により、Contributor以上の権限を持つユーザーが任意の投稿のスキーマメタデータを削除可能な状態となっていた。CVSSスコア4.3(MEDIUM)と評価され、不適切なアクセス制御(CWE-284)に分類される本脆弱性への対応が求められている。

CLINKSがナレフルチャットでプロンプト関連の特許を2件取得、企業の生成AI活用効率化に貢献

CLINKSがナレフルチャットでプロンプト関連の特許を2件取得、企業の生成AI活用効率化に貢献

CLINKS株式会社は企業向け生成AIチャットツール「ナレフルチャット」において、プロンプト自動生成・改善(特許番号 第7620171号)とプロンプト評価・共有(特許番号 第7626986号)に関する特許を取得した。これにより専門知識がなくても高度な生成AI活用が可能になり、組織全体での効率的な活用が期待される。セキュアな環境での正規利用により、シャドーIT問題の解決にも貢献する。

CLINKSがナレフルチャットでプロンプト関連の特許を2件取得、企業の生成AI活用効率化に貢献

CLINKS株式会社は企業向け生成AIチャットツール「ナレフルチャット」において、プロンプト自動生成・改善(特許番号 第7620171号)とプロンプト評価・共有(特許番号 第7626986号)に関する特許を取得した。これにより専門知識がなくても高度な生成AI活用が可能になり、組織全体での効率的な活用が期待される。セキュアな環境での正規利用により、シャドーIT問題の解決にも貢献する。

サムスンが「Samsung Wallet」の国内サービスを開始、PayPayなど主要決済サービスに対応し利便性が向上

サムスンが「Samsung Wallet」の国内サービスを開始、PayPayなど主要決済サービ...

サムスン電子ジャパンは2025年2月25日より、Samsung Galaxyユーザー向けデジタルウォレット「Samsung Wallet」の国内サービスを開始した。クレジットカードやQRコード決済、ポイントカード、搭乗券などを1つのアプリに集約し、ロック画面からすぐにアクセス可能。国内スマートフォンメーカーのWalletサービスで初めてPayPayに対応し、オリコ、Vポイント、PayPayによる記念キャンペーンも実施される。

サムスンが「Samsung Wallet」の国内サービスを開始、PayPayなど主要決済サービ...

サムスン電子ジャパンは2025年2月25日より、Samsung Galaxyユーザー向けデジタルウォレット「Samsung Wallet」の国内サービスを開始した。クレジットカードやQRコード決済、ポイントカード、搭乗券などを1つのアプリに集約し、ロック画面からすぐにアクセス可能。国内スマートフォンメーカーのWalletサービスで初めてPayPayに対応し、オリコ、Vポイント、PayPayによる記念キャンペーンも実施される。

ユニリタがWaha! Transformerの生成AI連携オプションを提供開始、セキュアなデータ活用と追加学習機能を実現

ユニリタがWaha! Transformerの生成AI連携オプションを提供開始、セキュアなデー...

株式会社ユニリタは純国産ノーコードETLツール「Waha! Transformer」の最新オプションとして生成AI連携オプションを2025年2月に提供開始する。クラウドアップロードが不要で情報漏洩リスクを抑制しながら生成AIを安全に利用できる。チャットWebアプリケーションや追加学習機能の強化、PDF・Word・画像ファイル対応など、機能が大幅に拡充された。

ユニリタがWaha! Transformerの生成AI連携オプションを提供開始、セキュアなデー...

株式会社ユニリタは純国産ノーコードETLツール「Waha! Transformer」の最新オプションとして生成AI連携オプションを2025年2月に提供開始する。クラウドアップロードが不要で情報漏洩リスクを抑制しながら生成AIを安全に利用できる。チャットWebアプリケーションや追加学習機能の強化、PDF・Word・画像ファイル対応など、機能が大幅に拡充された。

【CVE-2024-13475】WordPress用UPSプラグインにSQLインジェクションの脆弱性、認証不要で機密情報漏洩の危険性

【CVE-2024-13475】WordPress用UPSプラグインにSQLインジェクションの...

WordPressプラグインのSmall Package Quotes – UPS Editionにおいて、バージョン4.5.16以前のすべてのバージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、認証なしで攻撃可能。edit_idパラメータの不適切な処理により、データベースから機密情報が抽出される可能性がある。早急なアップデートが推奨される。

【CVE-2024-13475】WordPress用UPSプラグインにSQLインジェクションの...

WordPressプラグインのSmall Package Quotes – UPS Editionにおいて、バージョン4.5.16以前のすべてのバージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、認証なしで攻撃可能。edit_idパラメータの不適切な処理により、データベースから機密情報が抽出される可能性がある。早急なアップデートが推奨される。

【CVE-2024-13490】WordPress用LTL Freight Quotes – XPO Edition 4.3.7にSQLインジェクションの脆弱性、認証なしでの攻撃が可能に

【CVE-2024-13490】WordPress用LTL Freight Quotes – ...

WordfenceはWordPress用プラグインLTL Freight Quotes – XPO Edition 4.3.7以前のバージョンにSQLインジェクションの脆弱性が存在することを発表した。edit_idとdropship_edit_idパラメータのエスケープ処理が不十分で、認証なしでデータベースから機密情報を抽出できる状態にあることが判明。CVSSスコア7.5(High)と評価され、早急な対応が必要とされている。

【CVE-2024-13490】WordPress用LTL Freight Quotes – ...

WordfenceはWordPress用プラグインLTL Freight Quotes – XPO Edition 4.3.7以前のバージョンにSQLインジェクションの脆弱性が存在することを発表した。edit_idとdropship_edit_idパラメータのエスケープ処理が不十分で、認証なしでデータベースから機密情報を抽出できる状態にあることが判明。CVSSスコア7.5(High)と評価され、早急な対応が必要とされている。

【CVE-2024-13531】ShipEngine Shipping Quotes 1.0.7以前に認証不要のSQLインジェクション脆弱性が発見

【CVE-2024-13531】ShipEngine Shipping Quotes 1.0....

WordPressプラグインのShipEngine Shipping Quotesにおいて、バージョン1.0.7以前の全バージョンで認証不要のSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13531として識別され、CVSSスコア7.5(High)と評価されている。'edit_id'パラメータの不十分なエスケープ処理により、データベースから機密情報が抽出される可能性がある深刻な問題となっている。

【CVE-2024-13531】ShipEngine Shipping Quotes 1.0....

WordPressプラグインのShipEngine Shipping Quotesにおいて、バージョン1.0.7以前の全バージョンで認証不要のSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13531として識別され、CVSSスコア7.5(High)と評価されている。'edit_id'パラメータの不十分なエスケープ処理により、データベースから機密情報が抽出される可能性がある深刻な問題となっている。

【CVE-2024-13477】WordPressプラグインLTL Freight Quotesに深刻な脆弱性、未認証でのSQLインジェクションが可能に

【CVE-2024-13477】WordPressプラグインLTL Freight Quote...

WordPressプラグイン「LTL Freight Quotes – Unishippers Edition」のバージョン2.5.8以前に重大な脆弱性が発見された。CVE-2024-13477として識別されるこの脆弱性は、未認証の攻撃者がSQLインジェクションを介してデータベースから機密情報を抽出できる可能性があり、CVSSスコア7.5の評価を受けている。脆弱性は'edit_id'パラメータの不適切な処理に起因しており、早急な対応が必要とされている。

【CVE-2024-13477】WordPressプラグインLTL Freight Quote...

WordPressプラグイン「LTL Freight Quotes – Unishippers Edition」のバージョン2.5.8以前に重大な脆弱性が発見された。CVE-2024-13477として識別されるこの脆弱性は、未認証の攻撃者がSQLインジェクションを介してデータベースから機密情報を抽出できる可能性があり、CVSSスコア7.5の評価を受けている。脆弱性は'edit_id'パラメータの不適切な処理に起因しており、早急な対応が必要とされている。

【CVE-2024-13480】FedEx Freight用WordPressプラグインにSQLインジェクションの脆弱性、認証不要で情報漏洩のリスク

【CVE-2024-13480】FedEx Freight用WordPressプラグインにSQ...

WordPressプラグイン「LTL Freight Quotes – For Customers of FedEx Freight」にSQLインジェクションの脆弱性が発見され、CVE-2024-13480として公開された。バージョン3.4.1以前の全バージョンが影響を受け、認証なしでデータベースから機密情報が抽出される可能性がある。CVSSスコアは7.5(High)と評価されており、早急な対応が必要とされている。

【CVE-2024-13480】FedEx Freight用WordPressプラグインにSQ...

WordPressプラグイン「LTL Freight Quotes – For Customers of FedEx Freight」にSQLインジェクションの脆弱性が発見され、CVE-2024-13480として公開された。バージョン3.4.1以前の全バージョンが影響を受け、認証なしでデータベースから機密情報が抽出される可能性がある。CVSSスコアは7.5(High)と評価されており、早急な対応が必要とされている。

【CVE-2024-12366】PandasAI 2.4.0にプロンプトインジェクションの脆弱性、リモートコード実行の危険性が明らかに

【CVE-2024-12366】PandasAI 2.4.0にプロンプトインジェクションの脆弱...

Sinaptik AI社のPandasAI 2.4.0において、プロンプトインジェクションによるリモートコード実行の脆弱性が発見された。CVSSスコア9.8のクリティカルな評価を受けており、攻撃の自動化も可能とされている。自然言語処理による説明機能を通じて任意のPythonコードが実行可能となっており、早急なセキュリティ対策が必要とされている。

【CVE-2024-12366】PandasAI 2.4.0にプロンプトインジェクションの脆弱...

Sinaptik AI社のPandasAI 2.4.0において、プロンプトインジェクションによるリモートコード実行の脆弱性が発見された。CVSSスコア9.8のクリティカルな評価を受けており、攻撃の自動化も可能とされている。自然言語処理による説明機能を通じて任意のPythonコードが実行可能となっており、早急なセキュリティ対策が必要とされている。

【CVE-2025-1283】Dingtian DT-R0シリーズに認証バイパスの脆弱性、複数のバージョンで深刻な影響

【CVE-2025-1283】Dingtian DT-R0シリーズに認証バイパスの脆弱性、複数...

ICS-CERTがDingtian DT-R0シリーズの認証バイパス脆弱性【CVE-2025-1283】を公開。DT-R002、DT-R008、DT-R016、DT-R032の特定バージョンで影響を確認。メインページへの直接アクセスでログイン要件をバイパス可能。CVSSスコアは3.1で9.8、4.0で9.3と深刻度が極めて高く、早急な対応が必要。CISAによる評価では攻撃の自動化が可能で技術的影響は全体に及ぶと判断。

【CVE-2025-1283】Dingtian DT-R0シリーズに認証バイパスの脆弱性、複数...

ICS-CERTがDingtian DT-R0シリーズの認証バイパス脆弱性【CVE-2025-1283】を公開。DT-R002、DT-R008、DT-R016、DT-R032の特定バージョンで影響を確認。メインページへの直接アクセスでログイン要件をバイパス可能。CVSSスコアは3.1で9.8、4.0で9.3と深刻度が極めて高く、早急な対応が必要。CISAによる評価では攻撃の自動化が可能で技術的影響は全体に及ぶと判断。

【CVE-2025-1265】ElsetaのVinci Protocol Analyzerに深刻な脆弱性、OSコマンドインジェクションによる権限昇格のリスク

【CVE-2025-1265】ElsetaのVinci Protocol Analyzerに深...

ICS-CERTは2025年2月20日、Elseta社のVinci Protocol Analyzerに重大な脆弱性が発見されたことを公表した。CVE-2025-1265として識別されるこの脆弱性は、CVSSスコア9.9の極めて深刻なものであり、OSコマンドインジェクションを通じた権限昇格やコード実行のリスクがある。対策としてバージョン3.2.3.19以降へのアップデートが推奨される。

【CVE-2025-1265】ElsetaのVinci Protocol Analyzerに深...

ICS-CERTは2025年2月20日、Elseta社のVinci Protocol Analyzerに重大な脆弱性が発見されたことを公表した。CVE-2025-1265として識別されるこの脆弱性は、CVSSスコア9.9の極めて深刻なものであり、OSコマンドインジェクションを通じた権限昇格やコード実行のリスクがある。対策としてバージョン3.2.3.19以降へのアップデートが推奨される。

HPCシステムズがNVIDIA Blackwell搭載の最新GPUサーバーを発表、大規模ローカルLLM環境の構築が容易に

HPCシステムズがNVIDIA Blackwell搭載の最新GPUサーバーを発表、大規模ローカ...

HPCシステムズがNVIDIA HGX B200を8基搭載したGPUサーバー「HPC5000-XGRAGPU8R10S-NVL」を発表した。1.44TBの大容量GPUメモリを搭載し、Llama 3などの最大級LLMにも対応。主要なLLM関連ソフトウェアを事前インストールし、環境構築から運用後のサポートまでワンストップで提供することで、企業や研究機関におけるローカルLLM環境の導入を加速する。

HPCシステムズがNVIDIA Blackwell搭載の最新GPUサーバーを発表、大規模ローカ...

HPCシステムズがNVIDIA HGX B200を8基搭載したGPUサーバー「HPC5000-XGRAGPU8R10S-NVL」を発表した。1.44TBの大容量GPUメモリを搭載し、Llama 3などの最大級LLMにも対応。主要なLLM関連ソフトウェアを事前インストールし、環境構築から運用後のサポートまでワンストップで提供することで、企業や研究機関におけるローカルLLM環境の導入を加速する。

青森県おいらせ町がexaBase 生成AI for 自治体を導入、LGWANで全職員が利用可能に

青森県おいらせ町がexaBase 生成AI for 自治体を導入、LGWANで全職員が利用可能に

株式会社イマクリエは青森県おいらせ町に行政向けChatGPTサービス「exaBase 生成AI for 自治体」を導入した。LGWANに対応し高度なセキュリティ環境で運用され、利用アカウント発行数を無制限とすることで組織全体での活用が可能。広報文作成や政策立案など、行政機関の各部門で活用できるプロンプトテンプレートも提供されている。

青森県おいらせ町がexaBase 生成AI for 自治体を導入、LGWANで全職員が利用可能に

株式会社イマクリエは青森県おいらせ町に行政向けChatGPTサービス「exaBase 生成AI for 自治体」を導入した。LGWANに対応し高度なセキュリティ環境で運用され、利用アカウント発行数を無制限とすることで組織全体での活用が可能。広報文作成や政策立案など、行政機関の各部門で活用できるプロンプトテンプレートも提供されている。

【CVE-2025-21394】Microsoft Excelに深刻な脆弱性が発見、複数のOffice製品にも影響の可能性

【CVE-2025-21394】Microsoft Excelに深刻な脆弱性が発見、複数のOf...

Microsoftは2025年2月11日、Microsoft ExcelにRemote Code Execution脆弱性を発見したことを発表した。CVE-2025-21394として識別されるこの脆弱性は、CVSSスコア7.8のハイリスクと評価されている。影響を受ける製品には、Microsoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2024など、複数のOffice製品が含まれており、早急な対応が必要とされている。

【CVE-2025-21394】Microsoft Excelに深刻な脆弱性が発見、複数のOf...

Microsoftは2025年2月11日、Microsoft ExcelにRemote Code Execution脆弱性を発見したことを発表した。CVE-2025-21394として識別されるこの脆弱性は、CVSSスコア7.8のハイリスクと評価されている。影響を受ける製品には、Microsoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2024など、複数のOffice製品が含まれており、早急な対応が必要とされている。

【CVE-2025-21390】Microsoft Excelに重大な脆弱性、Office製品全般のアップデートが緊急に必要な状況に

【CVE-2025-21390】Microsoft Excelに重大な脆弱性、Office製品...

Microsoftは2025年2月11日、Microsoft ExcelおよびOffice製品群に影響を与えるリモートコード実行の脆弱性を公開した。CVE-2025-21390として識別されるこの問題は、CVSSスコア7.8の高リスク脆弱性であり、Office Online Server、Microsoft Office 2019、Microsoft 365 Apps for Enterprise、Office LTSC 2021/2024など、広範な製品に影響を及ぼすことが判明している。

【CVE-2025-21390】Microsoft Excelに重大な脆弱性、Office製品...

Microsoftは2025年2月11日、Microsoft ExcelおよびOffice製品群に影響を与えるリモートコード実行の脆弱性を公開した。CVE-2025-21390として識別されるこの問題は、CVSSスコア7.8の高リスク脆弱性であり、Office Online Server、Microsoft Office 2019、Microsoft 365 Apps for Enterprise、Office LTSC 2021/2024など、広範な製品に影響を及ぼすことが判明している。

【CVE-2025-21387】Microsoft Office製品群に深刻な脆弱性、リモートコード実行の危険性が判明

【CVE-2025-21387】Microsoft Office製品群に深刻な脆弱性、リモート...

Microsoftが2025年2月11日に公開した情報によると、複数のOffice製品にリモートコード実行を可能にする重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性として評価され、Office Online Server、Microsoft Office 2019、Microsoft 365 Apps for Enterpriseなど広範な製品に影響が及ぶ。特権は不要だがユーザーの操作を必要とする本脆弱性への対策として、早急なパッチ適用が推奨されている。

【CVE-2025-21387】Microsoft Office製品群に深刻な脆弱性、リモート...

Microsoftが2025年2月11日に公開した情報によると、複数のOffice製品にリモートコード実行を可能にする重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性として評価され、Office Online Server、Microsoft Office 2019、Microsoft 365 Apps for Enterpriseなど広範な製品に影響が及ぶ。特権は不要だがユーザーの操作を必要とする本脆弱性への対策として、早急なパッチ適用が推奨されている。

【CVE-2025-21386】Microsoft Excelに深刻な脆弱性、複数のOffice製品のアップデートが緊急に必要に

【CVE-2025-21386】Microsoft Excelに深刻な脆弱性、複数のOffic...

Microsoftは2025年2月11日、Microsoft Excelにリモートコード実行の脆弱性【CVE-2025-21386】を発見したと発表した。この脆弱性はUse After Free(CWE-416)に分類され、CVSS 3.1で高リスク(7.8)と評価されている。Microsoft 365 Apps for EnterpriseやMicrosoft Office LTSC 2024など、複数の製品に影響があり、早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-21386】Microsoft Excelに深刻な脆弱性、複数のOffic...

Microsoftは2025年2月11日、Microsoft Excelにリモートコード実行の脆弱性【CVE-2025-21386】を発見したと発表した。この脆弱性はUse After Free(CWE-416)に分類され、CVSS 3.1で高リスク(7.8)と評価されている。Microsoft 365 Apps for EnterpriseやMicrosoft Office LTSC 2024など、複数の製品に影響があり、早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-13843】Ivanti製品で機密データの平文保存の脆弱性、管理者権限で機密情報が閲覧可能に

【CVE-2024-13843】Ivanti製品で機密データの平文保存の脆弱性、管理者権限で機...

IvantiのConnect SecureとPolicy Secureに機密データの平文保存に関する脆弱性が発見された。この脆弱性は管理者権限を持つ攻撃者が機密データを読み取ることを可能にするもので、CVSSスコア6.0のミディアムリスクと評価されている。Connect Secureのバージョン22.7R2.6未満とPolicy Secureのバージョン22.7R1.3未満が影響を受け、Ivantiは最新バージョンで修正パッチを提供している。

【CVE-2024-13843】Ivanti製品で機密データの平文保存の脆弱性、管理者権限で機...

IvantiのConnect SecureとPolicy Secureに機密データの平文保存に関する脆弱性が発見された。この脆弱性は管理者権限を持つ攻撃者が機密データを読み取ることを可能にするもので、CVSSスコア6.0のミディアムリスクと評価されている。Connect Secureのバージョン22.7R2.6未満とPolicy Secureのバージョン22.7R1.3未満が影響を受け、Ivantiは最新バージョンで修正パッチを提供している。

【CVE-2025-1187】Police FIR Record Management System 1.0に重大な脆弱性、スタックベースのバッファオーバーフローによるメモリ破損のリスク

【CVE-2025-1187】Police FIR Record Management Sys...

code-projects社のPolice FIR Record Management System 1.0のDelete Record機能において、スタックベースのバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大で5.3(MEDIUM)を記録し、ローカルでの特権を持つ攻撃者により悪用される可能性がある。既に攻撃コードが公開されており、システム管理者には早急な対応が求められる状況だ。

【CVE-2025-1187】Police FIR Record Management Sys...

code-projects社のPolice FIR Record Management System 1.0のDelete Record機能において、スタックベースのバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大で5.3(MEDIUM)を記録し、ローカルでの特権を持つ攻撃者により悪用される可能性がある。既に攻撃コードが公開されており、システム管理者には早急な対応が求められる状況だ。

【CVE-2025-1210】code-projects Wazifa System 1.0にSQLインジェクションの脆弱性、リモートからの攻撃が可能に

【CVE-2025-1210】code-projects Wazifa System 1.0に...

セキュリティ研究者がcode-projects Wazifa System 1.0の/controllers/control.phpファイルにSQLインジェクションの脆弱性を発見した。CVE-2025-1210として識別されるこの脆弱性は、CVSS 3.1で6.3(中)と評価され、リモートからの攻撃が可能。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1210】code-projects Wazifa System 1.0に...

セキュリティ研究者がcode-projects Wazifa System 1.0の/controllers/control.phpファイルにSQLインジェクションの脆弱性を発見した。CVE-2025-1210として識別されるこの脆弱性は、CVSS 3.1で6.3(中)と評価され、リモートからの攻撃が可能。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1189】1000 Projects Attendance Tracking Management System 1.0にSQLインジェクションの脆弱性、遠隔攻撃のリスクが判明

【CVE-2025-1189】1000 Projects Attendance Trackin...

2025年2月12日、1000 Projects社のAttendance Tracking Management System 1.0において深刻な脆弱性が発見された。管理者向けページのchart1.phpファイル内でcourse_idパラメータを操作することでSQLインジェクション攻撃が可能となり、CVSSスコアは最大6.3を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1189】1000 Projects Attendance Trackin...

2025年2月12日、1000 Projects社のAttendance Tracking Management System 1.0において深刻な脆弱性が発見された。管理者向けページのchart1.phpファイル内でcourse_idパラメータを操作することでSQLインジェクション攻撃が可能となり、CVSSスコアは最大6.3を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。

MozillaがFirefox 135.0.1をリリース、複数の不具合修正とメモリ安全性の向上に対応

MozillaがFirefox 135.0.1をリリース、複数の不具合修正とメモリ安全性の向上に対応

Mozillaは2月18日、デスクトップ向けFirefox 135.0.1を公開した。特定のマウスムーブイベントに依存するサイトでのドロップダウンメニューの問題、アンカータグのスクロール位置の不具合、履歴メニューからの復元機能の問題、カスタム検索エンジンの互換性問題を修正。また、深刻度「High」のメモリ安全性の脆弱性(CVE-2025-1414)にも対処している。

MozillaがFirefox 135.0.1をリリース、複数の不具合修正とメモリ安全性の向上に対応

Mozillaは2月18日、デスクトップ向けFirefox 135.0.1を公開した。特定のマウスムーブイベントに依存するサイトでのドロップダウンメニューの問題、アンカータグのスクロール位置の不具合、履歴メニューからの復元機能の問題、カスタム検索エンジンの互換性問題を修正。また、深刻度「High」のメモリ安全性の脆弱性(CVE-2025-1414)にも対処している。

ラネクシーがMylogStarに内部不正リスクレポート機能を追加、企業の情報漏洩対策が強化へ

ラネクシーがMylogStarに内部不正リスクレポート機能を追加、企業の情報漏洩対策が強化へ

株式会社ラネクシーは2025年2月19日、PC操作ログ管理製品MylogStarの新オプションサービスとして内部不正リスクレポートの提供を開始する。企業内で収集したログを分析し、データ持ち出しなど9項目のリスク調査が1回10万円から利用可能。8600社以上の導入実績を持つMylogStarの機能を活用し、内部不正の早期発見と効果的な対策を支援する。

ラネクシーがMylogStarに内部不正リスクレポート機能を追加、企業の情報漏洩対策が強化へ

株式会社ラネクシーは2025年2月19日、PC操作ログ管理製品MylogStarの新オプションサービスとして内部不正リスクレポートの提供を開始する。企業内で収集したログを分析し、データ持ち出しなど9項目のリスク調査が1回10万円から利用可能。8600社以上の導入実績を持つMylogStarの機能を活用し、内部不正の早期発見と効果的な対策を支援する。