Tech Insights

ZTE GoldenDBデータベース製品の脆弱性CVE-2025-46574が公開、入力検証の不備による情報漏洩リスク

ZTE GoldenDBデータベース製品の脆弱性CVE-2025-46574が公開、入力検証の...

ZTE Corporationは、GoldenDBデータベース製品における入力検証の脆弱性CVE-2025-46574を発表した。エラーメッセージが悪用され、システムの機密情報が漏洩する可能性がある。6.1.03~6.1.03.10、7.2.01.01、Lite7.2.01.01が影響を受ける。ユーザーは速やかにパッチを適用する必要がある。

ZTE GoldenDBデータベース製品の脆弱性CVE-2025-46574が公開、入力検証の...

ZTE Corporationは、GoldenDBデータベース製品における入力検証の脆弱性CVE-2025-46574を発表した。エラーメッセージが悪用され、システムの機密情報が漏洩する可能性がある。6.1.03~6.1.03.10、7.2.01.01、Lite7.2.01.01が影響を受ける。ユーザーは速やかにパッチを適用する必要がある。

ZTE GoldenDBデータベース製品の権限昇格脆弱性CVE-2025-46576が公開、速やかなアップデートが必要

ZTE GoldenDBデータベース製品の権限昇格脆弱性CVE-2025-46576が公開、速...

ZTE Corporationは、GoldenDBデータベース製品における権限昇格の脆弱性CVE-2025-46576を発表した。バージョン6.1.03.09~6.1.03.10、Lite7.2.01.01が影響を受ける。攻撃者は権限制限を回避し、コンテンツを削除できる。CVSSスコアは5.4で、深刻度はMEDIUM。ZTEは修正プログラムをリリース済みで、ユーザーは速やかにアップデートする必要がある。

ZTE GoldenDBデータベース製品の権限昇格脆弱性CVE-2025-46576が公開、速...

ZTE Corporationは、GoldenDBデータベース製品における権限昇格の脆弱性CVE-2025-46576を発表した。バージョン6.1.03.09~6.1.03.10、Lite7.2.01.01が影響を受ける。攻撃者は権限制限を回避し、コンテンツを削除できる。CVSSスコアは5.4で、深刻度はMEDIUM。ZTEは修正プログラムをリリース済みで、ユーザーは速やかにアップデートする必要がある。

ZTE GoldenDBデータベース製品の脆弱性CVE-2025-46575が公開、情報漏洩リスクに注意

ZTE GoldenDBデータベース製品の脆弱性CVE-2025-46575が公開、情報漏洩リ...

ZTE Corporationは、GoldenDBデータベース製品における情報漏洩の脆弱性CVE-2025-46575を発表した。バージョン6.1.03.09~6.1.03.10、7.2.01.01、Lite7.2.01.01が影響を受ける。エラーメッセージに機密情報が含まれるため、攻撃者はシステムの機密情報を取得できる可能性がある。速やかな対策が必要だ。

ZTE GoldenDBデータベース製品の脆弱性CVE-2025-46575が公開、情報漏洩リ...

ZTE Corporationは、GoldenDBデータベース製品における情報漏洩の脆弱性CVE-2025-46575を発表した。バージョン6.1.03.09~6.1.03.10、7.2.01.01、Lite7.2.01.01が影響を受ける。エラーメッセージに機密情報が含まれるため、攻撃者はシステムの機密情報を取得できる可能性がある。速やかな対策が必要だ。

YesWikiの脆弱性CVE-2025-46348が公開、4.5.4へのアップデートが必須

YesWikiの脆弱性CVE-2025-46348が公開、4.5.4へのアップデートが必須

PHP製のWikiシステムYesWikiにおいて、バージョン4.5.4未満で認証なしにサイトバックアップが作成・ダウンロード可能な脆弱性CVE-2025-46348が発見された。CVSSスコアは10.0で、機密情報漏洩のリスクがあるため、速やかなアップデートが必要だ。GitHubのセキュリティアドバイザリを参照のこと。

YesWikiの脆弱性CVE-2025-46348が公開、4.5.4へのアップデートが必須

PHP製のWikiシステムYesWikiにおいて、バージョン4.5.4未満で認証なしにサイトバックアップが作成・ダウンロード可能な脆弱性CVE-2025-46348が発見された。CVSSスコアは10.0で、機密情報漏洩のリスクがあるため、速やかなアップデートが必要だ。GitHubのセキュリティアドバイザリを参照のこと。

XWikiのSolrスクリプトサービス脆弱性CVE-2025-32971が公開、速やかなアップデートが必要

XWikiのSolrスクリプトサービス脆弱性CVE-2025-32971が公開、速やかなアップ...

2025年4月30日、GitHubはXWikiプラットフォームのSolrスクリプトサービスにおける脆弱性CVE-2025-32971を公開した。XWiki 4.5.1~15.10.12、16.0.0-rc-1~16.4.3、16.5.0-rc-1~16.7.0-rc-1が影響を受ける。スクリプト権限を持つユーザーがシステムに高負荷をかけたり、検索インデックスから一時的にドキュメントを削除できる可能性があった。15.10.13、16.4.4、16.8.0-rc-1で修正済み。速やかなアップデートが必要だ。

XWikiのSolrスクリプトサービス脆弱性CVE-2025-32971が公開、速やかなアップ...

2025年4月30日、GitHubはXWikiプラットフォームのSolrスクリプトサービスにおける脆弱性CVE-2025-32971を公開した。XWiki 4.5.1~15.10.12、16.0.0-rc-1~16.4.3、16.5.0-rc-1~16.7.0-rc-1が影響を受ける。スクリプト権限を持つユーザーがシステムに高負荷をかけたり、検索インデックスから一時的にドキュメントを削除できる可能性があった。15.10.13、16.4.4、16.8.0-rc-1で修正済み。速やかなアップデートが必要だ。

WordPressプラグインInstantioの脆弱性CVE-2025-47550、任意ファイルアップロードの危険性

WordPressプラグインInstantioの脆弱性CVE-2025-47550、任意ファイ...

WordPressプラグインInstantioバージョン3.3.16以前において、任意ファイルアップロードを許容する深刻な脆弱性CVE-2025-47550が発見された。ウェブシェルアップロードによるサーバー乗っ取りの可能性があり、速やかなバージョンアップが求められる。CVSSスコアは6.6(MEDIUM)で、発見者はRyan Kozak(Patchstack Alliance)だ。

WordPressプラグインInstantioの脆弱性CVE-2025-47550、任意ファイ...

WordPressプラグインInstantioバージョン3.3.16以前において、任意ファイルアップロードを許容する深刻な脆弱性CVE-2025-47550が発見された。ウェブシェルアップロードによるサーバー乗っ取りの可能性があり、速やかなバージョンアップが求められる。CVSSスコアは6.6(MEDIUM)で、発見者はRyan Kozak(Patchstack Alliance)だ。

ScriptAndTools eCommerce-website-in-PHP 3.0の情報漏洩脆弱性CVE-2025-3975が公開され、迅速な対策が求められる

ScriptAndTools eCommerce-website-in-PHP 3.0の情報漏...

2025年4月27日、ScriptAndTools eCommerce-website-in-PHP 3.0に情報漏洩の脆弱性CVE-2025-3975が発見された。/admin/subscriber-csv.phpファイルの処理に問題があり、リモートから情報漏洩が発生する可能性がある。CVSSスコアは6.9(MEDIUM)と評価され、深刻な脆弱性である。迅速な対応と対策が求められる。

ScriptAndTools eCommerce-website-in-PHP 3.0の情報漏...

2025年4月27日、ScriptAndTools eCommerce-website-in-PHP 3.0に情報漏洩の脆弱性CVE-2025-3975が発見された。/admin/subscriber-csv.phpファイルの処理に問題があり、リモートから情報漏洩が発生する可能性がある。CVSSスコアは6.9(MEDIUM)と評価され、深刻な脆弱性である。迅速な対応と対策が求められる。

Samsung Mobile、Androidデバイスのセキュリティ脆弱性CVE-2025-20937を公開、境界外書き込みに対応

Samsung Mobile、Androidデバイスのセキュリティ脆弱性CVE-2025-20...

Samsung Mobileは、Keymaster trustletにおける境界外書き込みの脆弱性CVE-2025-20937を発表した。Android 13、14、15のSMR May-2025 Release以前のバージョンが影響を受ける。ローカル特権攻撃者が境界外メモリに書き込むことが可能となり、システムのクラッシュやデータ改ざん、情報漏洩などのリスクがある。Samsung Mobileは修正版のリリースを推奨している。

Samsung Mobile、Androidデバイスのセキュリティ脆弱性CVE-2025-20...

Samsung Mobileは、Keymaster trustletにおける境界外書き込みの脆弱性CVE-2025-20937を発表した。Android 13、14、15のSMR May-2025 Release以前のバージョンが影響を受ける。ローカル特権攻撃者が境界外メモリに書き込むことが可能となり、システムのクラッシュやデータ改ざん、情報漏洩などのリスクがある。Samsung Mobileは修正版のリリースを推奨している。

RT-Labs P-Net 1.0.1以前のヒープベースバッファオーバーフロー脆弱性CVE-2025-32400が公開

RT-Labs P-Net 1.0.1以前のヒープベースバッファオーバーフロー脆弱性CVE-2...

Nozomi Networksは2025年5月7日、RT-Labs P-Netバージョン1.0.1以前における深刻な脆弱性CVE-2025-32400を発表した。ヒープベースのバッファオーバーフローにより、悪意のあるRPCパケットでIOデバイスのクラッシュを引き起こす可能性がある。CVSSスコアは7.5(高リスク)で、迅速なアップデートが求められる。バージョン2.0.3では修正済みだ。

RT-Labs P-Net 1.0.1以前のヒープベースバッファオーバーフロー脆弱性CVE-2...

Nozomi Networksは2025年5月7日、RT-Labs P-Netバージョン1.0.1以前における深刻な脆弱性CVE-2025-32400を発表した。ヒープベースのバッファオーバーフローにより、悪意のあるRPCパケットでIOデバイスのクラッシュを引き起こす可能性がある。CVSSスコアは7.5(高リスク)で、迅速なアップデートが求められる。バージョン2.0.3では修正済みだ。

WordPressプラグインDoFollow Case by Caseの脆弱性CVE-2025-47625が公開、XSS脆弱性への対策を

WordPressプラグインDoFollow Case by Caseの脆弱性CVE-2025...

Patchstack OUは2025年5月7日、WordPressプラグインDoFollow Case by Caseのバージョン3.5.1以前におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-47625を公開した。この脆弱性は、悪意のあるスクリプト実行によるウェブサイト改ざん、情報漏洩などのリスクを伴う。早急なアップデートが推奨される。

WordPressプラグインDoFollow Case by Caseの脆弱性CVE-2025...

Patchstack OUは2025年5月7日、WordPressプラグインDoFollow Case by Caseのバージョン3.5.1以前におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-47625を公開した。この脆弱性は、悪意のあるスクリプト実行によるウェブサイト改ざん、情報漏洩などのリスクを伴う。早急なアップデートが推奨される。

Snowflake Connector for C/C++の脆弱性CVE-2025-46329が公開、バージョン2.2.0で修正済み

Snowflake Connector for C/C++の脆弱性CVE-2025-46329...

Snowflake Connector for C/C++(libsnowflakeclient)のバージョン0.5.0から2.1.9において、クライアントサイド暗号化マスターキーがローカルログに記録される脆弱性CVE-2025-46329が発見された。この脆弱性は2.2.0で修正済みだが、影響を受けるバージョンを使用しているユーザーは速やかなアップデートが必要だ。追加のアクセス権限がない限りデータへのアクセスはできないものの、ローカルログへの記録はセキュリティリスクとなる。

Snowflake Connector for C/C++の脆弱性CVE-2025-46329...

Snowflake Connector for C/C++(libsnowflakeclient)のバージョン0.5.0から2.1.9において、クライアントサイド暗号化マスターキーがローカルログに記録される脆弱性CVE-2025-46329が発見された。この脆弱性は2.2.0で修正済みだが、影響を受けるバージョンを使用しているユーザーは速やかなアップデートが必要だ。追加のアクセス権限がない限りデータへのアクセスはできないものの、ローカルログへの記録はセキュリティリスクとなる。

PHPGurukul Park Ticketing Management System v2.0のXSS脆弱性CVE-2025-45015が公開、迅速な対策が必要

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-45015を公開した。`foreigner-bwdates-reports-details.php`ファイルの`fromdate`と`todate`パラメータが原因で、リモート攻撃者は任意のJavaScriptコードを注入可能。CVSSスコアは6.1(MEDIUM)で、バージョン2.0.3で修正済み。迅速な対策が必要だ。

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-45015を公開した。`foreigner-bwdates-reports-details.php`ファイルの`fromdate`と`todate`パラメータが原因で、リモート攻撃者は任意のJavaScriptコードを注入可能。CVSSスコアは6.1(MEDIUM)で、バージョン2.0.3で修正済み。迅速な対策が必要だ。

PHPGurukul Park Ticketing Management System v2.0の深刻なSQLインジェクション脆弱性CVE-2025-45017が公開

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0における深刻なSQLインジェクション脆弱性CVE-2025-45017を公開した。CVSSスコア9.8と評価され、リモート攻撃者が任意のコードを実行できる。迅速なパッチ適用が強く推奨される。CISA-ADPによる2025年5月6日の更新情報も参照のこと。

PHPGurukul Park Ticketing Management System v2....

MITRE Corporationは2025年4月30日、PHPGurukul Park Ticketing Management System v2.0における深刻なSQLインジェクション脆弱性CVE-2025-45017を公開した。CVSSスコア9.8と評価され、リモート攻撃者が任意のコードを実行できる。迅速なパッチ適用が強く推奨される。CISA-ADPによる2025年5月6日の更新情報も参照のこと。

Notionがビジネス向けAIワークスペースNotion AI for Workを発表、業務効率化に貢献

Notionがビジネス向けAIワークスペースNotion AI for Workを発表、業務効...

Notion Labs Inc.は2025年5月13日、ビジネス向けAIワークスペース「Notion AI for Work」を発表した。エンタープライズサーチ、AIミーティングノート、リサーチモードなど、最新のAIモデル(ChatGPT、Claudeなど)を活用した新機能を搭載。情報検索、会議効率化、プロジェクト進行を大幅に改善する。ビジネスプランとエンタープライズプランでは、これらの高度なAI機能を無制限で利用可能。

Notionがビジネス向けAIワークスペースNotion AI for Workを発表、業務効...

Notion Labs Inc.は2025年5月13日、ビジネス向けAIワークスペース「Notion AI for Work」を発表した。エンタープライズサーチ、AIミーティングノート、リサーチモードなど、最新のAIモデル(ChatGPT、Claudeなど)を活用した新機能を搭載。情報検索、会議効率化、プロジェクト進行を大幅に改善する。ビジネスプランとエンタープライズプランでは、これらの高度なAI機能を無制限で利用可能。

JCBとAdyen、オンライン決済セキュリティ強化のためCOFトークナイゼーション提供開始

JCBとAdyen、オンライン決済セキュリティ強化のためCOFトークナイゼーション提供開始

JCBとAdyenは2025年5月13日、オンライン加盟店向けに「JCB COFトークン」の提供を開始した。クレジットカード情報のトークン化により不正利用被害を防止し、決済承認率向上に貢献する。近年増加するオンライン決済におけるセキュリティ強化に大きく貢献するだろう。

JCBとAdyen、オンライン決済セキュリティ強化のためCOFトークナイゼーション提供開始

JCBとAdyenは2025年5月13日、オンライン加盟店向けに「JCB COFトークン」の提供を開始した。クレジットカード情報のトークン化により不正利用被害を防止し、決済承認率向上に貢献する。近年増加するオンライン決済におけるセキュリティ強化に大きく貢献するだろう。

HENNGE OneがLayerXのバクラクとSSO連携、バックオフィス業務の効率化とセキュリティ強化を実現

HENNGE OneがLayerXのバクラクとSSO連携、バックオフィス業務の効率化とセキュリ...

HENNGE株式会社は2025年5月14日、クラウドセキュリティサービス「HENNGE One」と株式会社LayerXのバックオフィス業務効率化AIサービス「バクラク」のシングルサインオン(SSO)連携を発表した。これにより、HENNGE OneユーザーはバクラクにSSOでアクセス可能となり、セキュリティ強化と業務効率化が実現する。多要素認証、IP制限、デバイス証明書による高度なアクセス制御も可能だ。HENNGEは今後もHENNGE Oneと連携するSaaSを増やし、企業のSaaS導入を支援していく。

HENNGE OneがLayerXのバクラクとSSO連携、バックオフィス業務の効率化とセキュリ...

HENNGE株式会社は2025年5月14日、クラウドセキュリティサービス「HENNGE One」と株式会社LayerXのバックオフィス業務効率化AIサービス「バクラク」のシングルサインオン(SSO)連携を発表した。これにより、HENNGE OneユーザーはバクラクにSSOでアクセス可能となり、セキュリティ強化と業務効率化が実現する。多要素認証、IP制限、デバイス証明書による高度なアクセス制御も可能だ。HENNGEは今後もHENNGE Oneと連携するSaaSを増やし、企業のSaaS導入を支援していく。

GFI MailEssentials 21.8未満のバージョンにXXE脆弱性CVE-2025-34490、システムファイルへのアクセスリスク

GFI MailEssentials 21.8未満のバージョンにXXE脆弱性CVE-2025-...

2025年4月28日、VulnCheckはGFI MailEssentialsバージョン21.8以前における深刻なXXE脆弱性CVE-2025-34490を公開した。認証済みリモート攻撃者は、細工されたHTTPリクエストで任意のシステムファイルを読み取れる。速やかなバージョン21.8へのアップデートが強く推奨される。

GFI MailEssentials 21.8未満のバージョンにXXE脆弱性CVE-2025-...

2025年4月28日、VulnCheckはGFI MailEssentialsバージョン21.8以前における深刻なXXE脆弱性CVE-2025-34490を公開した。認証済みリモート攻撃者は、細工されたHTTPリクエストで任意のシステムファイルを読み取れる。速やかなバージョン21.8へのアップデートが強く推奨される。

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8.0へのアップデートを推奨

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8...

Fortra社は2025年4月28日、GoAnywhereバージョン7.8.0以前における脆弱性CVE-2025-0049を公開した。エラーメッセージに絶対サーバーパスが含まれる脆弱性で、深刻度はLOWだが、迅速なアップデートが推奨される。本脆弱性により、アプリケーションマッピングのためのファジング攻撃が可能となる可能性があるため、注意が必要だ。

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8...

Fortra社は2025年4月28日、GoAnywhereバージョン7.8.0以前における脆弱性CVE-2025-0049を公開した。エラーメッセージに絶対サーバーパスが含まれる脆弱性で、深刻度はLOWだが、迅速なアップデートが推奨される。本脆弱性により、アプリケーションマッピングのためのファジング攻撃が可能となる可能性があるため、注意が必要だ。

Dell PowerProtect Data Manager Reportingの脆弱性CVE-2025-23376が公開、情報漏洩リスク

Dell PowerProtect Data Manager Reportingの脆弱性CVE...

Dell EMCは2025年4月28日、Dell PowerProtect Data Manager Reporting バージョン19.16、19.17、19.18における脆弱性CVE-2025-23376を公開した。ローカルアクセスを持つ高権限の攻撃者による情報漏洩の可能性があり、Dellはセキュリティアップデートを提供している。CVSSスコアは2.3だが、影響を受けるユーザーは速やかにアップデートを実施すべきだ。

Dell PowerProtect Data Manager Reportingの脆弱性CVE...

Dell EMCは2025年4月28日、Dell PowerProtect Data Manager Reporting バージョン19.16、19.17、19.18における脆弱性CVE-2025-23376を公開した。ローカルアクセスを持つ高権限の攻撃者による情報漏洩の可能性があり、Dellはセキュリティアップデートを提供している。CVSSスコアは2.3だが、影響を受けるユーザーは速やかにアップデートを実施すべきだ。

Classiのtetoru、野洲市全小中学校に導入 教育現場のDX推進

Classiのtetoru、野洲市全小中学校に導入 教育現場のDX推進

Classi株式会社の学校向け連絡サービスtetoruが、滋賀県野洲市全小中学校に導入された。自治体連絡機能を活用し、給食費通知の郵送廃止によるコスト削減(約36万円)や教育相談件数の増加(前年比2倍)など、業務効率化と情報伝達改善に貢献している。紙媒体からのデジタルシフトによる教育現場のDX推進事例として注目される。

Classiのtetoru、野洲市全小中学校に導入 教育現場のDX推進

Classi株式会社の学校向け連絡サービスtetoruが、滋賀県野洲市全小中学校に導入された。自治体連絡機能を活用し、給食費通知の郵送廃止によるコスト削減(約36万円)や教育相談件数の増加(前年比2倍)など、業務効率化と情報伝達改善に貢献している。紙媒体からのデジタルシフトによる教育現場のDX推進事例として注目される。

シーズ・リンク、riclinkにグループ権限管理機能追加 社内情報共有のセキュリティ強化と利便性向上

シーズ・リンク、riclinkにグループ権限管理機能追加 社内情報共有のセキュリティ強化と利便性向上

株式会社シーズ・リンクは、コンテンツプラットフォームriclinkに新機能「グループ権限管理機能」を追加したと発表した。この機能により、部署や役職、プロジェクトといった組織単位で、コンテンツの閲覧、編集、ダウンロード権限を細かく設定できるようになる。これにより、社内情報共有のセキュリティ強化と利便性向上が期待できる。既存のパスワード認証、riclinkアカウント認証、IPアドレス制限に加え、より厳密なアクセス制御が可能になる。

シーズ・リンク、riclinkにグループ権限管理機能追加 社内情報共有のセキュリティ強化と利便性向上

株式会社シーズ・リンクは、コンテンツプラットフォームriclinkに新機能「グループ権限管理機能」を追加したと発表した。この機能により、部署や役職、プロジェクトといった組織単位で、コンテンツの閲覧、編集、ダウンロード権限を細かく設定できるようになる。これにより、社内情報共有のセキュリティ強化と利便性向上が期待できる。既存のパスワード認証、riclinkアカウント認証、IPアドレス制限に加え、より厳密なアクセス制御が可能になる。

ココペリ、地域金融機関向けビジネスマッチング管理サービス「BMポータル」リリース、京都銀行が初導入

ココペリ、地域金融機関向けビジネスマッチング管理サービス「BMポータル」リリース、京都銀行が初導入

株式会社ココペリは2025年5月13日、地域金融機関向けビジネスマッチング管理サービス「BMポータル」をリリースしたと発表した。京都銀行が初導入し、オンラインでの案件管理、同意書・請求書作成のDX化を実現、業務効率化と成約率向上を目指す。案件情報の検索、提携先企業との連絡、進捗状況管理などが効率化される。

ココペリ、地域金融機関向けビジネスマッチング管理サービス「BMポータル」リリース、京都銀行が初導入

株式会社ココペリは2025年5月13日、地域金融機関向けビジネスマッチング管理サービス「BMポータル」をリリースしたと発表した。京都銀行が初導入し、オンラインでの案件管理、同意書・請求書作成のDX化を実現、業務効率化と成約率向上を目指す。案件情報の検索、提携先企業との連絡、進捗状況管理などが効率化される。

WP Maps 4.7.2未満の脆弱性CVE-2025-3502公開、Stored XSS攻撃への対策を

WP Maps 4.7.2未満の脆弱性CVE-2025-3502公開、Stored XSS攻撃...

WordPressプラグインWP Mapsのバージョン4.7.2未満に、Stored XSS(クロスサイトスクリプティング)の脆弱性CVE-2025-3502が発見された。WPScanによる報告で、管理者権限を持つユーザーが攻撃を実行できる可能性が明らかになった。迅速なアップデートとセキュリティ対策が求められる。

WP Maps 4.7.2未満の脆弱性CVE-2025-3502公開、Stored XSS攻撃...

WordPressプラグインWP Mapsのバージョン4.7.2未満に、Stored XSS(クロスサイトスクリプティング)の脆弱性CVE-2025-3502が発見された。WPScanによる報告で、管理者権限を持つユーザーが攻撃を実行できる可能性が明らかになった。迅速なアップデートとセキュリティ対策が求められる。

WordPressプラグインPost in page for Elementorの脆弱性CVE-2025-46225が公開、1.0.2へのアップデートを推奨

WordPressプラグインPost in page for Elementorの脆弱性CVE...

2025年4月22日、Patchstack OUはWordPressプラグイン「Post in page for Elementor」のバージョン1.0.1以前におけるDOMベースのクロスサイトスクリプティング(XSS)脆弱性CVE-2025-46225を公開した。Gab (Patchstack Alliance)が発見したこの脆弱性は、悪意のあるスクリプトの注入を許し、ユーザーの個人情報漏洩などのリスクがある。1.0.2以降のバージョンでは修正されているため、速やかなアップデートが強く推奨される。

WordPressプラグインPost in page for Elementorの脆弱性CVE...

2025年4月22日、Patchstack OUはWordPressプラグイン「Post in page for Elementor」のバージョン1.0.1以前におけるDOMベースのクロスサイトスクリプティング(XSS)脆弱性CVE-2025-46225を公開した。Gab (Patchstack Alliance)が発見したこの脆弱性は、悪意のあるスクリプトの注入を許し、ユーザーの個人情報漏洩などのリスクがある。1.0.2以降のバージョンでは修正されているため、速やかなアップデートが強く推奨される。

ScriptAndTools Online-Travling-System 1.0の脆弱性CVE-2025-4064が公開、アクセス制御の不備によりリモート攻撃が可能に

ScriptAndTools Online-Travling-System 1.0の脆弱性CV...

2025年4月29日、VulDBはScriptAndTools Online-Travling-System 1.0における深刻な脆弱性CVE-2025-4064を公開した。/admin/viewenquiry.phpファイルのアクセス制御に不備があり、リモートからの不正アクセスが可能となる。CVSS v4スコアは6.9で、迅速な対応が必要だ。VulDBのウェブサイトで詳細を確認できる。

ScriptAndTools Online-Travling-System 1.0の脆弱性CV...

2025年4月29日、VulDBはScriptAndTools Online-Travling-System 1.0における深刻な脆弱性CVE-2025-4064を公開した。/admin/viewenquiry.phpファイルのアクセス制御に不備があり、リモートからの不正アクセスが可能となる。CVSS v4スコアは6.9で、迅速な対応が必要だ。VulDBのウェブサイトで詳細を確認できる。

Scene Live社、アウトバウンドコールシステムlisnaviに新機能追加 情報管理精度向上に貢献

Scene Live社、アウトバウンドコールシステムlisnaviに新機能追加 情報管理精度向...

株式会社Scene Liveは、アウトバウンドコールシステム『lisnavi』に権限設定と管理者プロジェクト割当の新機能を追加したと発表した。これにより、情報管理の精度向上、安全で柔軟な運用を実現する。誤操作防止、情報漏洩リスク低減、担当範囲への集中など、多くのメリットが期待できる。大規模組織にも対応可能な柔軟性も備えている。

Scene Live社、アウトバウンドコールシステムlisnaviに新機能追加 情報管理精度向...

株式会社Scene Liveは、アウトバウンドコールシステム『lisnavi』に権限設定と管理者プロジェクト割当の新機能を追加したと発表した。これにより、情報管理の精度向上、安全で柔軟な運用を実現する。誤操作防止、情報漏洩リスク低減、担当範囲への集中など、多くのメリットが期待できる。大規模組織にも対応可能な柔軟性も備えている。

MozillaがFirefoxとThunderbirdのセキュリティアップデートCVE-2025-4085を公開、脆弱性に対処

MozillaがFirefoxとThunderbirdのセキュリティアップデートCVE-202...

Mozillaは2025年4月29日、FirefoxとThunderbirdのセキュリティアップデートを公開した。CVE-2025-4085として識別される脆弱性に対処するもので、コンテンツプロセスを制御できる攻撃者が特権UITour actorを利用して機密情報を漏洩したり、権限を昇格させたりする可能性があった。Firefox 138未満とThunderbird 138未満のバージョンが影響を受けるため、ユーザーは速やかに最新バージョンへのアップデートを行うべきだ。

MozillaがFirefoxとThunderbirdのセキュリティアップデートCVE-202...

Mozillaは2025年4月29日、FirefoxとThunderbirdのセキュリティアップデートを公開した。CVE-2025-4085として識別される脆弱性に対処するもので、コンテンツプロセスを制御できる攻撃者が特権UITour actorを利用して機密情報を漏洩したり、権限を昇格させたりする可能性があった。Firefox 138未満とThunderbird 138未満のバージョンが影響を受けるため、ユーザーは速やかに最新バージョンへのアップデートを行うべきだ。

Horner Automation Cscape 10.0 (10.0.415.2) SP1の境界外読み取り脆弱性CVE-2025-4098が公開、高リスクと評価

Horner Automation Cscape 10.0 (10.0.415.2) SP1の...

ICS-CERTは2025年5月8日、Horner Automation Cscapeバージョン10.0 (10.0.415.2) SP1における境界外読み取り脆弱性CVE-2025-4098を公開した。CVSSスコア8.4の高リスクと評価され、情報漏洩や任意コード実行の可能性がある。CISAアドバイザリも参照のこと。迅速なパッチ適用が強く推奨される。

Horner Automation Cscape 10.0 (10.0.415.2) SP1の...

ICS-CERTは2025年5月8日、Horner Automation Cscapeバージョン10.0 (10.0.415.2) SP1における境界外読み取り脆弱性CVE-2025-4098を公開した。CVSSスコア8.4の高リスクと評価され、情報漏洩や任意コード実行の可能性がある。CISAアドバイザリも参照のこと。迅速なパッチ適用が強く推奨される。

CTCがGPIF向けインデックス情報分析クラウド基盤を更改、運用高度化を支援

CTCがGPIF向けインデックス情報分析クラウド基盤を更改、運用高度化を支援

伊藤忠テクノソリューションズ株式会社(CTC)は、年金積立金管理運用独立行政法人(GPIF)向けインデックス情報収集・分析クラウド基盤を更改したと発表した。Snowflakeを活用し、データ分析の効率化とセキュリティ強化を実現。GPIFの資産運用高度化に貢献する。

CTCがGPIF向けインデックス情報分析クラウド基盤を更改、運用高度化を支援

伊藤忠テクノソリューションズ株式会社(CTC)は、年金積立金管理運用独立行政法人(GPIF)向けインデックス情報収集・分析クラウド基盤を更改したと発表した。Snowflakeを活用し、データ分析の効率化とセキュリティ強化を実現。GPIFの資産運用高度化に貢献する。

HPCシステムズとneoAI、オンプレミスAIチャット導入ソリューション「neoAI Chat for オンプレミス」提供開始

HPCシステムズとneoAI、オンプレミスAIチャット導入ソリューション「neoAI Chat...

HPCシステムズとneoAIは、2025年5月9日、最新NVIDIA Blackwellアーキテクチャ対応の静音AIサーバと高精度生成AIシステム「neoAI Chat」を組み合わせたオンプレミスAIチャット導入ソリューション「neoAI Chat for オンプレミス」の提供を開始した。機密データの安全な活用とDX推進を支援する、専門知識不要で導入しやすいソリューションだ。LLMとRAG技術により、高精度なチャットボットや業務支援ツールを構築可能。静音性、高性能、セキュリティを兼ね備え、企業のデジタルトランスフォーメーションを加速させる。

HPCシステムズとneoAI、オンプレミスAIチャット導入ソリューション「neoAI Chat...

HPCシステムズとneoAIは、2025年5月9日、最新NVIDIA Blackwellアーキテクチャ対応の静音AIサーバと高精度生成AIシステム「neoAI Chat」を組み合わせたオンプレミスAIチャット導入ソリューション「neoAI Chat for オンプレミス」の提供を開始した。機密データの安全な活用とDX推進を支援する、専門知識不要で導入しやすいソリューションだ。LLMとRAG技術により、高精度なチャットボットや業務支援ツールを構築可能。静音性、高性能、セキュリティを兼ね備え、企業のデジタルトランスフォーメーションを加速させる。