Tech Insights

【CVE-2025-34028】Commvault Command Center Innovation Release 11.38に認証バイパスの深刻な脆弱性、リモートコード実行が可能に

【CVE-2025-34028】Commvault Command Center Innova...

Commvault Command Center Innovation Release 11.38において、認証機能をバイパスしてZIPファイルをアップロードし、パストラバーサル攻撃を介してリモートコード実行が可能になる深刻な脆弱性が発見された。CVSS v3.1で最高レベルの「CRITICAL」評価を受け、CISAもKEVに追加。早急な対策が必要とされている。

【CVE-2025-34028】Commvault Command Center Innova...

Commvault Command Center Innovation Release 11.38において、認証機能をバイパスしてZIPファイルをアップロードし、パストラバーサル攻撃を介してリモートコード実行が可能になる深刻な脆弱性が発見された。CVSS v3.1で最高レベルの「CRITICAL」評価を受け、CISAもKEVに追加。早急な対策が必要とされている。

【CVE-2025-20667】MediaTekモデムに情報漏洩の脆弱性、不正基地局経由での攻撃に注意

【CVE-2025-20667】MediaTekモデムに情報漏洩の脆弱性、不正基地局経由での攻...

MediaTek社のモデム製品に重大な脆弱性が発見された。この脆弱性はCVE-2025-20667として識別され、MT2735からMT8797までの広範な製品に影響を与える。攻撃者が制御する不正な基地局に端末が接続した場合、追加の実行権限やユーザーの操作なしで情報漏洩が発生する可能性がある。パッチIDはMOLY01513293として準備されている。

【CVE-2025-20667】MediaTekモデムに情報漏洩の脆弱性、不正基地局経由での攻...

MediaTek社のモデム製品に重大な脆弱性が発見された。この脆弱性はCVE-2025-20667として識別され、MT2735からMT8797までの広範な製品に影響を与える。攻撃者が制御する不正な基地局に端末が接続した場合、追加の実行権限やユーザーの操作なしで情報漏洩が発生する可能性がある。パッチIDはMOLY01513293として準備されている。

【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な脆弱性、Contributor権限でリモートコード実行が可能に

【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な...

WordPressプラグインのXpro Elementor Addons - Proにおいて、バージョン1.4.9以前の全バージョンでリモートコード実行の脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性で、Contributor以上の権限を持つユーザーがサーバー上で任意のコードを実行可能。クライアントサイドのみの制御が原因で、機密性・完全性・可用性すべてに高レベルの影響を及ぼす可能性がある。

【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な...

WordPressプラグインのXpro Elementor Addons - Proにおいて、バージョン1.4.9以前の全バージョンでリモートコード実行の脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性で、Contributor以上の権限を持つユーザーがサーバー上で任意のコードを実行可能。クライアントサイドのみの制御が原因で、機密性・完全性・可用性すべてに高レベルの影響を及ぼす可能性がある。

【CVE-2025-3925】BrightSign OSに特権昇格の脆弱性、series 4とseries 5の両バージョンで発見

【CVE-2025-3925】BrightSign OSに特権昇格の脆弱性、series 4と...

BrightSignのデジタルサイネージプレーヤー向けOS、BrightSign OSのseries 4およびseries 5に特権昇格の脆弱性が発見された。CVSSスコアは最大8.5のHigh評価で、影響を受けるバージョンはseries 4のv8.5.53.1未満とseries 5のv9.0.166未満。Sandia National LaboratoriesのAdam Merrillによって発見され、CISAに報告された。早急なアップデートが推奨される。

【CVE-2025-3925】BrightSign OSに特権昇格の脆弱性、series 4と...

BrightSignのデジタルサイネージプレーヤー向けOS、BrightSign OSのseries 4およびseries 5に特権昇格の脆弱性が発見された。CVSSスコアは最大8.5のHigh評価で、影響を受けるバージョンはseries 4のv8.5.53.1未満とseries 5のv9.0.166未満。Sandia National LaboratoriesのAdam Merrillによって発見され、CISAに報告された。早急なアップデートが推奨される。

【CVE-2025-20665】MediaTek SoCに情報漏洩の脆弱性、Android 13.0から15.0のデバイスが影響を受ける事態に

【CVE-2025-20665】MediaTek SoCに情報漏洩の脆弱性、Android 1...

MediaTekは2025年5月5日、同社のSoC製品群にデバイス識別子の情報漏洩につながる脆弱性が存在することを公開した。SELinuxポリシーの不備に起因するこの問題は、特別な実行権限やユーザーの操作なしで攻撃が可能となる深刻な脆弱性である。MT6580からMT8893までの広範なSoCシリーズが影響を受け、Android 13.0から15.0を搭載した端末が対象となっている。

【CVE-2025-20665】MediaTek SoCに情報漏洩の脆弱性、Android 1...

MediaTekは2025年5月5日、同社のSoC製品群にデバイス識別子の情報漏洩につながる脆弱性が存在することを公開した。SELinuxポリシーの不備に起因するこの問題は、特別な実行権限やユーザーの操作なしで攻撃が可能となる深刻な脆弱性である。MT6580からMT8893までの広範なSoCシリーズが影響を受け、Android 13.0から15.0を搭載した端末が対象となっている。

【CVE-2025-20670】MediaTekモデムに証明書検証の脆弱性、多数のチップセットで情報漏洩のリスク

【CVE-2025-20670】MediaTekモデムに証明書検証の脆弱性、多数のチップセット...

MediaTekは2025年5月5日、同社のモデムにおける重要な脆弱性【CVE-2025-20670】を公開した。不適切な証明書検証により、攻撃者が制御する不正な基地局を介して情報漏洩が発生する可能性がある。MT6813やMT6835など多数のチップセットが影響を受け、Modem NR16、NR17、NR17Rのバージョンで脆弱性が確認された。パッチMOLY01334347による修正が提供されている。

【CVE-2025-20670】MediaTekモデムに証明書検証の脆弱性、多数のチップセット...

MediaTekは2025年5月5日、同社のモデムにおける重要な脆弱性【CVE-2025-20670】を公開した。不適切な証明書検証により、攻撃者が制御する不正な基地局を介して情報漏洩が発生する可能性がある。MT6813やMT6835など多数のチップセットが影響を受け、Modem NR16、NR17、NR17Rのバージョンで脆弱性が確認された。パッチMOLY01334347による修正が提供されている。

【CVE-2025-28025】TOTOLINKルーター4機種にバッファオーバーフロー脆弱性、早急な対応が必要に

【CVE-2025-28025】TOTOLINKルーター4機種にバッファオーバーフロー脆弱性、...

MITREは2025年4月23日、TOTOLINKのA830R、A950RG、A3000RU、A3100Rの4機種にバッファオーバーフロー脆弱性が存在することを公開した。CVSSスコア7.3のHIGHレベルで、downloadFile.cgiのv14パラメータに問題があることが判明。攻撃の自動化が可能で、システムへの部分的な影響が懸念される状況となっている。

【CVE-2025-28025】TOTOLINKルーター4機種にバッファオーバーフロー脆弱性、...

MITREは2025年4月23日、TOTOLINKのA830R、A950RG、A3000RU、A3100Rの4機種にバッファオーバーフロー脆弱性が存在することを公開した。CVSSスコア7.3のHIGHレベルで、downloadFile.cgiのv14パラメータに問題があることが判明。攻撃の自動化が可能で、システムへの部分的な影響が懸念される状況となっている。

【CVE-2025-28020】TOTOLINK A800R V4.1.2に深刻なバッファオーバーフロー脆弱性、早急な対応が必要に

【CVE-2025-28020】TOTOLINK A800R V4.1.2に深刻なバッファオー...

MITRE CorporationがTOTOLINK A800R V4.1.2cu.5137_B20200730に存在するバッファオーバーフロー脆弱性を公開した。downloadFile.cgiのv25パラメータに関連する【CVE-2025-28020】は、CVSSスコア7.3と高く評価され、リモートからの攻撃が可能でシステムに部分的な影響を与える可能性がある。攻撃の自動化も可能であり、特別な権限や条件が不要なことから、早急な対応が必要とされている。

【CVE-2025-28020】TOTOLINK A800R V4.1.2に深刻なバッファオー...

MITRE CorporationがTOTOLINK A800R V4.1.2cu.5137_B20200730に存在するバッファオーバーフロー脆弱性を公開した。downloadFile.cgiのv25パラメータに関連する【CVE-2025-28020】は、CVSSスコア7.3と高く評価され、リモートからの攻撃が可能でシステムに部分的な影響を与える可能性がある。攻撃の自動化も可能であり、特別な権限や条件が不要なことから、早急な対応が必要とされている。

【CVE-2025-27193】Adobe Bridgeに深刻な脆弱性、任意のコード実行の危険性が浮上

【CVE-2025-27193】Adobe Bridgeに深刻な脆弱性、任意のコード実行の危険...

Adobe社が画像管理ソフトウェアBridgeにおいて重大な脆弱性を発見し公開。バージョン14.1.5および15.0.2以前が影響を受け、CVSSスコア7.8の高リスク評価。ヒープベースのバッファオーバーフローにより、悪意のあるファイルを開くことで任意のコード実行が可能となる脆弱性。CISAも評価を実施し、技術的影響は「total」と評価。

【CVE-2025-27193】Adobe Bridgeに深刻な脆弱性、任意のコード実行の危険...

Adobe社が画像管理ソフトウェアBridgeにおいて重大な脆弱性を発見し公開。バージョン14.1.5および15.0.2以前が影響を受け、CVSSスコア7.8の高リスク評価。ヒープベースのバッファオーバーフローにより、悪意のあるファイルを開くことで任意のコード実行が可能となる脆弱性。CISAも評価を実施し、技術的影響は「total」と評価。

【CVE-2025-30698】Oracle Java SEの2D機能に脆弱性、データアクセスと可用性に影響

【CVE-2025-30698】Oracle Java SEの2D機能に脆弱性、データアクセス...

Oracle社が2025年4月15日、Java SEやGraalVM製品群の2D機能における重要な脆弱性を公開した。この脆弱性はCVE-2025-30698として識別され、未認証の攻撃者がネットワーク経由で製品を危殆化させ、データの不正アクセスやサービスの部分的な停止を引き起こす可能性がある。CVSS 3.1で基本スコア5.6と評価され、特にJavaサンドボックスセキュリティに依存する環境での影響が懸念される。

【CVE-2025-30698】Oracle Java SEの2D機能に脆弱性、データアクセス...

Oracle社が2025年4月15日、Java SEやGraalVM製品群の2D機能における重要な脆弱性を公開した。この脆弱性はCVE-2025-30698として識別され、未認証の攻撃者がネットワーク経由で製品を危殆化させ、データの不正アクセスやサービスの部分的な停止を引き起こす可能性がある。CVSS 3.1で基本スコア5.6と評価され、特にJavaサンドボックスセキュリティに依存する環境での影響が懸念される。

【CVE-2025-4025】itsourcecode Placement Management System 1.0にSQL injection脆弱性が発見、早急な対策が必要に

【CVE-2025-4025】itsourcecode Placement Managemen...

itsourcecode Placement Management System 1.0のregistration.phpファイルにSQL injectionの脆弱性が発見された。この脆弱性はName引数の操作によって引き起こされ、リモートからの攻撃が可能であることが判明。CVSS 3.1での評価では深刻度「HIGH」とされ、スコア7.3を記録。機密性・完全性・可用性への影響が懸念される事態となっている。

【CVE-2025-4025】itsourcecode Placement Managemen...

itsourcecode Placement Management System 1.0のregistration.phpファイルにSQL injectionの脆弱性が発見された。この脆弱性はName引数の操作によって引き起こされ、リモートからの攻撃が可能であることが判明。CVSS 3.1での評価では深刻度「HIGH」とされ、スコア7.3を記録。機密性・完全性・可用性への影響が懸念される事態となっている。

【CVE-2025-3968】codeprojects News Publishing Site Dashboardに重大な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-3968】codeprojects News Publishing Sit...

codeprojects News Publishing Site Dashboard 1.0のapi.phpファイルにおいて、cat_idパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3でMedium評価とされ、リモートからの攻撃が可能。既に攻撃コードが公開されており、早急な対策が必要となっている。VulDBユーザーのzzzxbyにより報告され、GitHubでも詳細な分析結果が共有されている。

【CVE-2025-3968】codeprojects News Publishing Sit...

codeprojects News Publishing Site Dashboard 1.0のapi.phpファイルにおいて、cat_idパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3でMedium評価とされ、リモートからの攻撃が可能。既に攻撃コードが公開されており、早急な対策が必要となっている。VulDBユーザーのzzzxbyにより報告され、GitHubでも詳細な分析結果が共有されている。

【CVE-2025-46251】VikRestaurants 1.3.3にCSRF脆弱性が発見、即急なアップデートが必要に

【CVE-2025-46251】VikRestaurants 1.3.3にCSRF脆弱性が発見...

WordPressプラグインVikRestaurants Table Reservations and Take-Awayにおいて、クロスサイトリクエストフォージェリ(CSRF)からストアドXSSに繋がる重大な脆弱性が発見された。CVSSスコア7.1のHigh評価となっており、バージョン1.3.3以前のすべてのバージョンが影響を受ける。対策としてバージョン1.4へのアップデートが推奨されている。

【CVE-2025-46251】VikRestaurants 1.3.3にCSRF脆弱性が発見...

WordPressプラグインVikRestaurants Table Reservations and Take-Awayにおいて、クロスサイトリクエストフォージェリ(CSRF)からストアドXSSに繋がる重大な脆弱性が発見された。CVSSスコア7.1のHigh評価となっており、バージョン1.3.3以前のすべてのバージョンが影響を受ける。対策としてバージョン1.4へのアップデートが推奨されている。

【CVE-2025-46232】WordPressプラグインDownload Alt Text AI 1.9.93に認証の脆弱性、アクセス制御の不備で権限バイパスの恐れ

【CVE-2025-46232】WordPressプラグインDownload Alt Text...

WordPress用プラグイン「Download Alt Text AI」のバージョン1.9.93以前に認証に関する脆弱性が発見された。Patchstack OÜが2025年4月22日に公開したこの脆弱性は、不適切なアクセス制御設定に起因しており、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。バージョン1.9.94で修正済みのため、影響を受けるバージョンを使用しているユーザーは最新版への更新が推奨される。

【CVE-2025-46232】WordPressプラグインDownload Alt Text...

WordPress用プラグイン「Download Alt Text AI」のバージョン1.9.93以前に認証に関する脆弱性が発見された。Patchstack OÜが2025年4月22日に公開したこの脆弱性は、不適切なアクセス制御設定に起因しており、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。バージョン1.9.94で修正済みのため、影響を受けるバージョンを使用しているユーザーは最新版への更新が推奨される。

CTCがC-NOAHにAIガバナンス機能を追加、Dynamo Guardでハルシネーション抑制を実現

CTCがC-NOAHにAIガバナンス機能を追加、Dynamo Guardでハルシネーション抑制を実現

伊藤忠テクノソリューションズが金融機関向けクラウドサービスC-NOAHに、AIガバナンスを強化する機能を追加。Dynamo AIのAI監査ツールDynamo Guardを活用し、AIチャットボットのハルシネーションを抑制。プロンプトとコンプライアンスポリシーの整合性をリアルタイムで検証し、回答の正確性を数値化して評価する仕組みを実装している。

CTCがC-NOAHにAIガバナンス機能を追加、Dynamo Guardでハルシネーション抑制を実現

伊藤忠テクノソリューションズが金融機関向けクラウドサービスC-NOAHに、AIガバナンスを強化する機能を追加。Dynamo AIのAI監査ツールDynamo Guardを活用し、AIチャットボットのハルシネーションを抑制。プロンプトとコンプライアンスポリシーの整合性をリアルタイムで検証し、回答の正確性を数値化して評価する仕組みを実装している。

CICの信用情報開示サービスでなりすまし被害、22名分の情報流出の可能性で一時停止に

CICの信用情報開示サービスでなりすまし被害、22名分の情報流出の可能性で一時停止に

信用情報機関のシー・アイ・シー(CIC)がインターネットによる信用情報開示サービスで第三者による不正アクセスの可能性を発表した。22名分の信用情報が流出した可能性があり、サービスを一時停止。経済産業省や金融庁への報告を行い、警察への相談も予定している。被害拡大防止に向け、加盟会員会社との連携を強化する方針だ。

CICの信用情報開示サービスでなりすまし被害、22名分の情報流出の可能性で一時停止に

信用情報機関のシー・アイ・シー(CIC)がインターネットによる信用情報開示サービスで第三者による不正アクセスの可能性を発表した。22名分の信用情報が流出した可能性があり、サービスを一時停止。経済産業省や金融庁への報告を行い、警察への相談も予定している。被害拡大防止に向け、加盟会員会社との連携を強化する方針だ。

【CVE-2025-2185】ALBEDO Telecom Net.Timeに深刻な脆弱性、パスワードの平文送信のリスクが浮上

【CVE-2025-2185】ALBEDO Telecom Net.Timeに深刻な脆弱性、パ...

ALBEDO TelecomのPTP/NTPクロック製品Net.Time(シリアル番号:NBC0081P)のソフトウェアバージョン1.4.4において、セッション期限切れの不適切な処理に関する脆弱性が発見された。この脆弱性によりパスワードが暗号化されていない状態で送信される可能性があり、CISAは高い深刻度(CVSS 3.1:8.0、CVSS 4.0:8.5)を示すセキュリティアドバイザリーを公開している。

【CVE-2025-2185】ALBEDO Telecom Net.Timeに深刻な脆弱性、パ...

ALBEDO TelecomのPTP/NTPクロック製品Net.Time(シリアル番号:NBC0081P)のソフトウェアバージョン1.4.4において、セッション期限切れの不適切な処理に関する脆弱性が発見された。この脆弱性によりパスワードが暗号化されていない状態で送信される可能性があり、CISAは高い深刻度(CVSS 3.1:8.0、CVSS 4.0:8.5)を示すセキュリティアドバイザリーを公開している。

【CVE-2025-29460】MyBB 1.8.38のAdd Mycode機能に深刻な脆弱性、機密情報漏洩のリスクが浮上

【CVE-2025-29460】MyBB 1.8.38のAdd Mycode機能に深刻な脆弱性...

MyBB 1.8.38のAdd Mycode機能において、リモート攻撃者による機密情報取得が可能な脆弱性が発見された。CVE-2025-29460として識別されるこの脆弱性は、CVSSスコア7.6(High)と評価され、Server-Side Request Forgery(SSRF)に分類される。開発元は既存の対策を理由に異議を唱えているが、CISAは継続的な監視と対策の必要性を呼びかけている。

【CVE-2025-29460】MyBB 1.8.38のAdd Mycode機能に深刻な脆弱性...

MyBB 1.8.38のAdd Mycode機能において、リモート攻撃者による機密情報取得が可能な脆弱性が発見された。CVE-2025-29460として識別されるこの脆弱性は、CVSSスコア7.6(High)と評価され、Server-Side Request Forgery(SSRF)に分類される。開発元は既存の対策を理由に異議を唱えているが、CISAは継続的な監視と対策の必要性を呼びかけている。

【CVE-2025-3684】Xianqi Kindergarten Management System 2.0にSQLインジェクションの脆弱性が発見、園児情報の漏洩リスクに警戒

【CVE-2025-3684】Xianqi Kindergarten Management S...

Xianqi Kindergarten Management System 2.0のChild Managementコンポーネントにおいて、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-3684として報告されたこの脆弱性は、stu_list.phpファイルのsexパラメータに関連しており、リモートからの攻撃が可能。CVSSスコアは中程度だが、教育機関のシステムという性質上、早急な対応が求められている。

【CVE-2025-3684】Xianqi Kindergarten Management S...

Xianqi Kindergarten Management System 2.0のChild Managementコンポーネントにおいて、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-3684として報告されたこの脆弱性は、stu_list.phpファイルのsexパラメータに関連しており、リモートからの攻撃が可能。CVSSスコアは中程度だが、教育機関のシステムという性質上、早急な対応が求められている。

【CVE-2025-3336】codeprojects Online Restaurant Management System 1.0にSQLインジェクションの脆弱性、早急な対策が必要に

【CVE-2025-3336】codeprojects Online Restaurant M...

codeprojects社のOnline Restaurant Management System 1.0において、member_save.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のv4.0で6.9(MEDIUM)を記録し、リモートからの攻撃が可能でエクスプロイトコードも公開されている。特権レベルやユーザーインタラクションが不要なため、早急な対策が求められている。

【CVE-2025-3336】codeprojects Online Restaurant M...

codeprojects社のOnline Restaurant Management System 1.0において、member_save.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のv4.0で6.9(MEDIUM)を記録し、リモートからの攻撃が可能でエクスプロイトコードも公開されている。特権レベルやユーザーインタラクションが不要なため、早急な対策が求められている。

【CVE-2025-3679】PCMan FTP Server 2.0.7にバッファオーバーフローの脆弱性、リモート攻撃のリスクが深刻化

【CVE-2025-3679】PCMan FTP Server 2.0.7にバッファオーバーフ...

PCMan FTP Server 2.0.7においてHOSTコマンドハンドラーに重大な脆弱性が発見された。CVE-2025-3679として特定されたこの脆弱性は、バッファオーバーフローによってリモートからの攻撃が可能となっている。CVSS 3.1で7.3(HIGH)のスコアが付与され、特権不要で攻撃可能なため、早急な対策が求められている。

【CVE-2025-3679】PCMan FTP Server 2.0.7にバッファオーバーフ...

PCMan FTP Server 2.0.7においてHOSTコマンドハンドラーに重大な脆弱性が発見された。CVE-2025-3679として特定されたこの脆弱性は、バッファオーバーフローによってリモートからの攻撃が可能となっている。CVSS 3.1で7.3(HIGH)のスコアが付与され、特権不要で攻撃可能なため、早急な対策が求められている。

【CVE-2025-3606】Vestel AC Charger 3.75.0に認証情報漏洩の脆弱性、デバイスの不正アクセスのリスクが浮上

【CVE-2025-3606】Vestel AC Charger 3.75.0に認証情報漏洩の...

ICS-CERTがVestel AC Charger version 3.75.0において重大な脆弱性を公開した。CVE-2025-3606として特定されたこの脆弱性により、攻撃者は認証情報などの機密情報を含むファイルにアクセス可能となる。CVSSスコア7.5のHigh評価で、特別な権限や利用者の操作を必要とせずにネットワーク経由で攻撃を実行できる危険性がある。早急な対策が求められている。

【CVE-2025-3606】Vestel AC Charger 3.75.0に認証情報漏洩の...

ICS-CERTがVestel AC Charger version 3.75.0において重大な脆弱性を公開した。CVE-2025-3606として特定されたこの脆弱性により、攻撃者は認証情報などの機密情報を含むファイルにアクセス可能となる。CVSSスコア7.5のHigh評価で、特別な権限や利用者の操作を必要とせずにネットワーク経由で攻撃を実行できる危険性がある。早急な対策が求められている。

【CVE-2024-9441】Linear eMerge e3-Seriesに認証回避の重大な脆弱性、パスワードリセット機能に欠陥

【CVE-2024-9441】Linear eMerge e3-Seriesに認証回避の重大な...

Linear社のeMerge e3-Seriesにおいて、バージョン1.00-07以前の全バージョンに影響を与える重大な脆弱性が発見された。この脆弱性により、攻撃者は認証なしでOSコマンドを実行可能となり、システムの完全な制御権限を奪取される危険性がある。CVSSスコアは9.8(Critical)と評価され、早急な対応が必要とされている。

【CVE-2024-9441】Linear eMerge e3-Seriesに認証回避の重大な...

Linear社のeMerge e3-Seriesにおいて、バージョン1.00-07以前の全バージョンに影響を与える重大な脆弱性が発見された。この脆弱性により、攻撃者は認証なしでOSコマンドを実行可能となり、システムの完全な制御権限を奪取される危険性がある。CVSSスコアは9.8(Critical)と評価され、早急な対応が必要とされている。

【CVE-2025-29651】TP-Link M7650にSQLインジェクションの脆弱性、クリティカルレベルの深刻度で対応急務

【CVE-2025-29651】TP-Link M7650にSQLインジェクションの脆弱性、ク...

TP-Link M7650 4G LTE Mobile Wi-Fiルーターのファームウェアバージョン1.0.7に重大な脆弱性が発見された。CVE-2025-29651として識別されるこの脆弱性は、認証されていない攻撃者によるSQLインジェクション攻撃を可能にする。CVSSスコア9.8のクリティカルレベルと評価され、データベースセキュリティへの影響が懸念される。

【CVE-2025-29651】TP-Link M7650にSQLインジェクションの脆弱性、ク...

TP-Link M7650 4G LTE Mobile Wi-Fiルーターのファームウェアバージョン1.0.7に重大な脆弱性が発見された。CVE-2025-29651として識別されるこの脆弱性は、認証されていない攻撃者によるSQLインジェクション攻撃を可能にする。CVSSスコア9.8のクリティカルレベルと評価され、データベースセキュリティへの影響が懸念される。

【CVE-2025-20664】MediaTekのWLAN APドライバーに情報漏洩の脆弱性、複数製品のSDKに影響

【CVE-2025-20664】MediaTekのWLAN APドライバーに情報漏洩の脆弱性、...

MediaTek社のWLAN APドライバーに未捕捉例外による情報漏洩の脆弱性が発見された。MT7915、MT7916、MT7981、MT7986、MT7990、MT7992の各製品のSDKが影響を受け、CVSSスコア7.5と高い深刻度が示されている。特にユーザー介入なしでリモート攻撃が可能な点が懸念され、早急なアップデートが推奨されている。

【CVE-2025-20664】MediaTekのWLAN APドライバーに情報漏洩の脆弱性、...

MediaTek社のWLAN APドライバーに未捕捉例外による情報漏洩の脆弱性が発見された。MT7915、MT7916、MT7981、MT7986、MT7990、MT7992の各製品のSDKが影響を受け、CVSSスコア7.5と高い深刻度が示されている。特にユーザー介入なしでリモート攻撃が可能な点が懸念され、早急なアップデートが推奨されている。

【CVE-2025-29648】TP-Link EAP120ルーターにSQLインジェクション脆弱性、エミュレーター環境での再現性が確認される

【CVE-2025-29648】TP-Link EAP120ルーターにSQLインジェクション脆...

MITREが2025年4月16日に公開したTP-Link EAP120ルーターのSQLインジェクション脆弱性【CVE-2025-29648】は、認証なしでログインフィールドを通じた悪意のあるSQL文の実行を可能にする。CVSS v3.1で7.3(High)と評価されたこの脆弱性は、エミュレーター環境でのみ再現可能だが、ネットワークセキュリティの重要性を再認識させる事例となっている。

【CVE-2025-29648】TP-Link EAP120ルーターにSQLインジェクション脆...

MITREが2025年4月16日に公開したTP-Link EAP120ルーターのSQLインジェクション脆弱性【CVE-2025-29648】は、認証なしでログインフィールドを通じた悪意のあるSQL文の実行を可能にする。CVSS v3.1で7.3(High)と評価されたこの脆弱性は、エミュレーター環境でのみ再現可能だが、ネットワークセキュリティの重要性を再認識させる事例となっている。

【CVE-2025-43928】Infodraw Media Relay Service 7.1.0.0にパストラバーサルの脆弱性、管理者認証情報漏洩のリスク

【CVE-2025-43928】Infodraw Media Relay Service 7....

MITREは2025年4月20日、Infodraw Media Relay Service 7.1.0.0のMRSウェブサーバーにおいてパストラバーサル脆弱性を発見した。この脆弱性により、ユーザー名フィールドを介して任意のファイルの読み取りが可能となり、特にServerParameters.xmlファイルから管理者認証情報が漏洩する危険性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2025-43928】Infodraw Media Relay Service 7....

MITREは2025年4月20日、Infodraw Media Relay Service 7.1.0.0のMRSウェブサーバーにおいてパストラバーサル脆弱性を発見した。この脆弱性により、ユーザー名フィールドを介して任意のファイルの読み取りが可能となり、特にServerParameters.xmlファイルから管理者認証情報が漏洩する危険性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩のリスクが発生

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩...

MyBB 1.8.38のテーマインポート機能において、リモートの攻撃者が機密情報を取得できる脆弱性が発見された。CVE-2025-29457として報告されたこの脆弱性は、CVSSスコア7.6のHIGH評価とされ、Server-Side Request Forgery(SSRF)の危険性が指摘されている。開発元は既存の対策で十分としているが、セキュリティコミュニティからは更なる対策の必要性が示唆されている。

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩...

MyBB 1.8.38のテーマインポート機能において、リモートの攻撃者が機密情報を取得できる脆弱性が発見された。CVE-2025-29457として報告されたこの脆弱性は、CVSSスコア7.6のHIGH評価とされ、Server-Side Request Forgery(SSRF)の危険性が指摘されている。開発元は既存の対策で十分としているが、セキュリティコミュニティからは更なる対策の必要性が示唆されている。

【CVE-2025-29042】D-Link DIR-832x 240802に重大な脆弱性、リモートからのコード実行が可能に

【CVE-2025-29042】D-Link DIR-832x 240802に重大な脆弱性、リ...

D-Link社のネットワーク機器DIR-832x 240802において、macaddrキー値を介して任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性であり、特別な権限や利用者の操作を必要とせずに攻撃が可能。CWE-78(OSコマンドインジェクション)に分類され、SSVCの評価では自動化可能な攻撃手法の存在が確認されている。

【CVE-2025-29042】D-Link DIR-832x 240802に重大な脆弱性、リ...

D-Link社のネットワーク機器DIR-832x 240802において、macaddrキー値を介して任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性であり、特別な権限や利用者の操作を必要とせずに攻撃が可能。CWE-78(OSコマンドインジェクション)に分類され、SSVCの評価では自動化可能な攻撃手法の存在が確認されている。

Google Workspaceが外部ファイル警告機能を一般公開、組織のセキュリティ強化に貢献

Google Workspaceが外部ファイル警告機能を一般公開、組織のセキュリティ強化に貢献

Googleは2025年4月28日、Google Workspaceユーザー向けに外部ファイル警告機能を一般公開した。Google Docs、Sheets、Slidesにおいて外部ドメインが所有または共有しているファイルに警告バッジを表示し、フィッシング詐欺対策を強化。管理者向け設定は即日開始され、エンドユーザーへの展開は5月5日から約1週間かけて実施される。

Google Workspaceが外部ファイル警告機能を一般公開、組織のセキュリティ強化に貢献

Googleは2025年4月28日、Google Workspaceユーザー向けに外部ファイル警告機能を一般公開した。Google Docs、Sheets、Slidesにおいて外部ドメインが所有または共有しているファイルに警告バッジを表示し、フィッシング詐欺対策を強化。管理者向け設定は即日開始され、エンドユーザーへの展開は5月5日から約1週間かけて実施される。