Tech Insights
【CVE-2025-0453】MLflow 2.17.2のGraphQLエンドポイントにDoS...
Protect AIはMLflowバージョン2.17.2のGraphQLエンドポイントに深刻な脆弱性が存在することを公開した。CVE-2025-0453として識別されるこの脆弱性は、攻撃者が大規模なクエリバッチを作成することでMLflowのワーカーを占有し、サービス妨害攻撃を引き起こす可能性がある。CVSSスコア5.9のミディアムレベルと評価され、特権やユーザー関与を必要としない危険な脆弱性となっている。
【CVE-2025-0453】MLflow 2.17.2のGraphQLエンドポイントにDoS...
Protect AIはMLflowバージョン2.17.2のGraphQLエンドポイントに深刻な脆弱性が存在することを公開した。CVE-2025-0453として識別されるこの脆弱性は、攻撃者が大規模なクエリバッチを作成することでMLflowのワーカーを占有し、サービス妨害攻撃を引き起こす可能性がある。CVSSスコア5.9のミディアムレベルと評価され、特権やユーザー関与を必要としない危険な脆弱性となっている。
【CVE-2025-0315】Ollama 0.3.14に深刻な脆弱性、無制限メモリ割り当てに...
Protect AIはOllama/Ollamaのバージョン0.3.14以前に存在する深刻な脆弱性を公開した。CVSSスコア7.5のこの脆弱性により、悪意のあるユーザーが特別に細工したGGUFモデルファイルを使用してサーバーのメモリを無制限に割り当て、サービス拒否攻撃を実行することが可能となる。CWE-770に分類されるこの問題は、AIモデルデプロイメントにおけるセキュリティ設計の重要性を示している。
【CVE-2025-0315】Ollama 0.3.14に深刻な脆弱性、無制限メモリ割り当てに...
Protect AIはOllama/Ollamaのバージョン0.3.14以前に存在する深刻な脆弱性を公開した。CVSSスコア7.5のこの脆弱性により、悪意のあるユーザーが特別に細工したGGUFモデルファイルを使用してサーバーのメモリを無制限に割り当て、サービス拒否攻撃を実行することが可能となる。CWE-770に分類されるこの問題は、AIモデルデプロイメントにおけるセキュリティ設計の重要性を示している。
【CVE-2025-0313】Ollama 0.3.14にDoS攻撃の脆弱性、GGUFモデル処...
セキュリティ企業Protect AIは、Ollamaバージョン0.3.14以前に深刻な脆弱性が存在することを報告した。この脆弱性はGGUFモデル処理における配列インデックスの不適切な検証に起因しており、リモートネットワーク経由でDoS攻撃を引き起こす可能性がある。CVSS 3.0で7.5(High)と評価され、攻撃の自動化も可能とされていることから、早急な対応が求められている。
【CVE-2025-0313】Ollama 0.3.14にDoS攻撃の脆弱性、GGUFモデル処...
セキュリティ企業Protect AIは、Ollamaバージョン0.3.14以前に深刻な脆弱性が存在することを報告した。この脆弱性はGGUFモデル処理における配列インデックスの不適切な検証に起因しており、リモートネットワーク経由でDoS攻撃を引き起こす可能性がある。CVSS 3.0で7.5(High)と評価され、攻撃の自動化も可能とされていることから、早急な対応が求められている。
【CVE-2025-2627】PHPGurukulのArt Gallery Managemen...
PHPGurukulのArt Gallery Management System 1.0において、/admin/contactus.phpファイルのpagetitleパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3のMedium評価で、リモートからの攻撃が可能な状態となっている。既に脆弱性情報が公開されており、早急な対策が求められる。機密性、完全性、可用性への影響はいずれもLowレベルとされている。
【CVE-2025-2627】PHPGurukulのArt Gallery Managemen...
PHPGurukulのArt Gallery Management System 1.0において、/admin/contactus.phpファイルのpagetitleパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3のMedium評価で、リモートからの攻撃が可能な状態となっている。既に脆弱性情報が公開されており、早急な対策が求められる。機密性、完全性、可用性への影響はいずれもLowレベルとされている。
【CVE-2025-2638】JIZHICMSに認可の脆弱性が発見、バージョン1.7.0以前の...
コンテンツ管理システムJIZHICMSのバージョン1.7.0以前に重大な認可の脆弱性が発見された。CVE-2025-2638として追跡されるこの脆弱性は、記事ハンドラーコンポーネントの/user/release.htmlファイルに影響を与え、ishot引数の操作により不適切な認可が発生する可能性がある。CVSSスコアは5.3(中程度)と評価され、リモートからの攻撃が可能であることが確認されている。
【CVE-2025-2638】JIZHICMSに認可の脆弱性が発見、バージョン1.7.0以前の...
コンテンツ管理システムJIZHICMSのバージョン1.7.0以前に重大な認可の脆弱性が発見された。CVE-2025-2638として追跡されるこの脆弱性は、記事ハンドラーコンポーネントの/user/release.htmlファイルに影響を与え、ishot引数の操作により不適切な認可が発生する可能性がある。CVSSスコアは5.3(中程度)と評価され、リモートからの攻撃が可能であることが確認されている。
【CVE-2025-25372】NASA cFS Aquilaにセグメンテーション違反の脆弱性...
NASA cFS(Core Flight System)のAquilaバージョンにおいて、Memory Management Moduleへの不正なテレコマンドによってセグメンテーション違反が発生する脆弱性が発見された。CVSSスコア7.5のHigh評価で、認証なしでネットワーク経由の攻撃が可能。CWE-787として分類され、バッファオーバーフローによるシステムへの重大な影響が懸念される。
【CVE-2025-25372】NASA cFS Aquilaにセグメンテーション違反の脆弱性...
NASA cFS(Core Flight System)のAquilaバージョンにおいて、Memory Management Moduleへの不正なテレコマンドによってセグメンテーション違反が発生する脆弱性が発見された。CVSSスコア7.5のHigh評価で、認証なしでネットワーク経由の攻撃が可能。CWE-787として分類され、バッファオーバーフローによるシステムへの重大な影響が懸念される。
MIRAIt Service DesignがSynXへ社名変更、ITソリューション事業の進化と...
株式会社MIRAIt Service Designは2025年5月1日付で社名を株式会社SynXへ変更することを発表した。この変更はITソリューション事業の統合と体制強化を受けたもので、新社名には「統合」「共鳴」「次のステージ」の意味を込め、テクノロジーと人の力で新しい未来を共創するビジョンを表現している。新ロゴは「心」をモチーフに、共に進む姿勢を象徴的に描いている。
MIRAIt Service DesignがSynXへ社名変更、ITソリューション事業の進化と...
株式会社MIRAIt Service Designは2025年5月1日付で社名を株式会社SynXへ変更することを発表した。この変更はITソリューション事業の統合と体制強化を受けたもので、新社名には「統合」「共鳴」「次のステージ」の意味を込め、テクノロジーと人の力で新しい未来を共創するビジョンを表現している。新ロゴは「心」をモチーフに、共に進む姿勢を象徴的に描いている。
ベルシステム24が気象と健康のオンラインサロン「Zutool Lab」を開設、気象病対策の学習...
ベルシステム24は気圧予報アプリ「頭痛ーる」において、気象と健康をテーマにしたオンラインサロン「Zutool Lab」を2025年3月17日に開設した。医療や気象の専門家によるセミナーや対談動画の配信、会員同士の交流の場を提供し、気象病に関する正しい知識の習得を支援する。個人会員は月額550円から利用可能で、今後はリアルイベントの開催や商品開発も検討している。
ベルシステム24が気象と健康のオンラインサロン「Zutool Lab」を開設、気象病対策の学習...
ベルシステム24は気圧予報アプリ「頭痛ーる」において、気象と健康をテーマにしたオンラインサロン「Zutool Lab」を2025年3月17日に開設した。医療や気象の専門家によるセミナーや対談動画の配信、会員同士の交流の場を提供し、気象病に関する正しい知識の習得を支援する。個人会員は月額550円から利用可能で、今後はリアルイベントの開催や商品開発も検討している。
HACARUSのエッジAI搭載自律走行ロボットが東京エレクトロンに導入、労災防止の安全監視を強化
HACARUSが開発したエッジAIとカメラを活用した現場安全監視システムを、東京エレクトロン テクノロジーソリューションズが導入。自律走行ロボットに搭載されたシステムは、保護具の未装着を検知して即時アラートを発報し、状況を動画で記録。クリーンルームでの労災防止と安全意識の向上に貢献している。今後はロボット台数を増やし、現場全体の監視体制を構築予定。
HACARUSのエッジAI搭載自律走行ロボットが東京エレクトロンに導入、労災防止の安全監視を強化
HACARUSが開発したエッジAIとカメラを活用した現場安全監視システムを、東京エレクトロン テクノロジーソリューションズが導入。自律走行ロボットに搭載されたシステムは、保護具の未装着を検知して即時アラートを発報し、状況を動画で記録。クリーンルームでの労災防止と安全意識の向上に貢献している。今後はロボット台数を増やし、現場全体の監視体制を構築予定。
MSIが第14世代Core i7搭載デスクトップPCを発売、3画面出力とWi-Fi 6E対応で...
MSIは2025年4月10日より、第14世代インテルCore i7-14700と32GBメモリを搭載したビジネス向けデスクトップPC「PRO DP180 14A-806JP」を発売する。8基のPコアと12基のEコアによる高性能と省電力性の両立、最大3画面出力、2.5G/1G LANデュアル対応、Wi-Fi 6E搭載により、ビジネス環境における高い生産性を実現する。Windows 11 Proプリインストール済みで、Copilot呼び出しキー搭載キーボードも付属。
MSIが第14世代Core i7搭載デスクトップPCを発売、3画面出力とWi-Fi 6E対応で...
MSIは2025年4月10日より、第14世代インテルCore i7-14700と32GBメモリを搭載したビジネス向けデスクトップPC「PRO DP180 14A-806JP」を発売する。8基のPコアと12基のEコアによる高性能と省電力性の両立、最大3画面出力、2.5G/1G LANデュアル対応、Wi-Fi 6E搭載により、ビジネス環境における高い生産性を実現する。Windows 11 Proプリインストール済みで、Copilot呼び出しキー搭載キーボードも付属。
VivaldiとProton VPNがデスクトップブラウザで機能統合、プライバシー保護とカスタ...
ノルウェーのVivaldi TechnologiesとスイスProton Technologiesが、デスクトップ版Vivaldiブラウザへの「Proton VPN」統合を発表。117か国11,500以上のサーバーを持つProton VPNの無料版が帯域制限なしで利用可能となり、必要に応じて有料版へのアップグレードも提供。トラッカー/広告ブロッカーと組み合わせて、プライバシー保護とカスタマイズ性を強化。
VivaldiとProton VPNがデスクトップブラウザで機能統合、プライバシー保護とカスタ...
ノルウェーのVivaldi TechnologiesとスイスProton Technologiesが、デスクトップ版Vivaldiブラウザへの「Proton VPN」統合を発表。117か国11,500以上のサーバーを持つProton VPNの無料版が帯域制限なしで利用可能となり、必要に応じて有料版へのアップグレードも提供。トラッカー/広告ブロッカーと組み合わせて、プライバシー保護とカスタマイズ性を強化。
NECプラットフォームズがUNIVERGE BLUEのフルクラウドBYOTモデルを発表、初期導...
NECプラットフォームズはオフィスコミュニケーションクラウドサービス「UNIVERGE BLUE」において、フルクラウド構成のBYOTモデルを2025年4月25日から提供開始する。SBCを用いて顧客選択の通信キャリア回線でサービスを利用可能となり、オンプレミス型PBXやキーテレフォンの初期導入コストを抑制する。また、Microsoft Teamsとのユーザーインターフェース統合機能も2025年4月18日から提供を開始する。
NECプラットフォームズがUNIVERGE BLUEのフルクラウドBYOTモデルを発表、初期導...
NECプラットフォームズはオフィスコミュニケーションクラウドサービス「UNIVERGE BLUE」において、フルクラウド構成のBYOTモデルを2025年4月25日から提供開始する。SBCを用いて顧客選択の通信キャリア回線でサービスを利用可能となり、オンプレミス型PBXやキーテレフォンの初期導入コストを抑制する。また、Microsoft Teamsとのユーザーインターフェース統合機能も2025年4月18日から提供を開始する。
カナミックネットワーク子会社のTWMがGROW with SAP認定を取得、シンガポールでのE...
カナミックネットワークの子会社The World Management Pte. Ltd.が、シンガポールでのGROW with SAP取り扱いパートナーに認定された。1980年の創業以来45年間ERPに特化してきた実績が評価され、SAP S/4HANA Cloud Public Editionを中核としたクラウド型ERPソリューションの提供が可能となる。既存のSAP Business Oneと併せて、より幅広い企業へのソリューション提供を目指す。
カナミックネットワーク子会社のTWMがGROW with SAP認定を取得、シンガポールでのE...
カナミックネットワークの子会社The World Management Pte. Ltd.が、シンガポールでのGROW with SAP取り扱いパートナーに認定された。1980年の創業以来45年間ERPに特化してきた実績が評価され、SAP S/4HANA Cloud Public Editionを中核としたクラウド型ERPソリューションの提供が可能となる。既存のSAP Business Oneと併せて、より幅広い企業へのソリューション提供を目指す。
GET WalletがCardanoとEthereumに対応した次世代Web3ウォレットを正式...
GET Entertainment Inc.が次世代Web3ウォレット「GET Wallet」を2025年4月1日に正式リリース。CardanoとEthereumのマルチチェーンに対応し、NFTやトークンの一元管理を実現。Web2とWeb3の統合による直感的な操作性と高い安全性を備え、エンターテイメント業界における新たな経済圏の創出を目指す。今後はモバイルアプリの開発も予定されており、さらなる利便性の向上が期待される。
GET WalletがCardanoとEthereumに対応した次世代Web3ウォレットを正式...
GET Entertainment Inc.が次世代Web3ウォレット「GET Wallet」を2025年4月1日に正式リリース。CardanoとEthereumのマルチチェーンに対応し、NFTやトークンの一元管理を実現。Web2とWeb3の統合による直感的な操作性と高い安全性を備え、エンターテイメント業界における新たな経済圏の創出を目指す。今後はモバイルアプリの開発も予定されており、さらなる利便性の向上が期待される。
マジセミ社がセキュリティ対策ウェビナーを開催、アタックサーフェス管理による先手の防御策を提案
マジセミ株式会社が2025年4月2日に中堅・中小企業向けセキュリティウェビナーを開催する。増え続けるアタックサーフェスに対し、WithSecure Elements Exposure Managementを活用したエクスポージャー管理の実践方法を解説する。経済産業省が2023年5月に公表したASM導入ガイダンスを踏まえ、外部公開IT資産のリスク管理手法や保険会社のユースケースを紹介する。
マジセミ社がセキュリティ対策ウェビナーを開催、アタックサーフェス管理による先手の防御策を提案
マジセミ株式会社が2025年4月2日に中堅・中小企業向けセキュリティウェビナーを開催する。増え続けるアタックサーフェスに対し、WithSecure Elements Exposure Managementを活用したエクスポージャー管理の実践方法を解説する。経済産業省が2023年5月に公表したASM導入ガイダンスを踏まえ、外部公開IT資産のリスク管理手法や保険会社のユースケースを紹介する。
追手門学院大学がOIDAIアプリに電子学生証機能を実装、キャンパスライフのデジタル化を加速
追手門学院大学は2025年4月から、大学公式アプリ「OIDAIアプリ」の学生QR機能を電子学生証として拡張する。このアプリは在学生の98%が利用しており、新機能により出席登録やプリンタ利用、図書館の入館や図書の貸出などがスマートフォンで可能になる。学生の体験価値向上を目指したDXプロジェクトの一環として、キャンパスライフのデジタル化を推進している。
追手門学院大学がOIDAIアプリに電子学生証機能を実装、キャンパスライフのデジタル化を加速
追手門学院大学は2025年4月から、大学公式アプリ「OIDAIアプリ」の学生QR機能を電子学生証として拡張する。このアプリは在学生の98%が利用しており、新機能により出席登録やプリンタ利用、図書館の入館や図書の貸出などがスマートフォンで可能になる。学生の体験価値向上を目指したDXプロジェクトの一環として、キャンパスライフのデジタル化を推進している。
ニューラルポートがUPDATE EARTHのNIPPON INNOVATION AWARDにノ...
株式会社ニューラルポートが、デロイト トーマツ ベンチャーサポートの推薦によりUPDATE EARTH「NIPPON INNOVATION AWARD」にノミネートされた。ストレスチェックシステムZEN EYE ProやZONEトレーニングポットZONE-Zの研究開発を行う同社は、アスリートを中心としたハイパフォーマー向けの革新的な技術開発が評価され、有望なベンチャー企業として認められた。
ニューラルポートがUPDATE EARTHのNIPPON INNOVATION AWARDにノ...
株式会社ニューラルポートが、デロイト トーマツ ベンチャーサポートの推薦によりUPDATE EARTH「NIPPON INNOVATION AWARD」にノミネートされた。ストレスチェックシステムZEN EYE ProやZONEトレーニングポットZONE-Zの研究開発を行う同社は、アスリートを中心としたハイパフォーマー向けの革新的な技術開発が評価され、有望なベンチャー企業として認められた。
ABphoneが顔認証受付システムKITAYOを発表、オフィスセキュリティの強化と業務効率化を実現へ
ABphone株式会社が新たな顔認証受付システム「KITAYO」を発表。来訪者の顔写真即時通知機能により不審者の侵入を防止し、オフィスや工場のセキュリティを強化。CSV出力対応の来訪者履歴管理や、オプションの顔認証・音声認証による自動ドア解錠機能も提供し、より高度な無人受付システムの実現を目指す。
ABphoneが顔認証受付システムKITAYOを発表、オフィスセキュリティの強化と業務効率化を実現へ
ABphone株式会社が新たな顔認証受付システム「KITAYO」を発表。来訪者の顔写真即時通知機能により不審者の侵入を防止し、オフィスや工場のセキュリティを強化。CSV出力対応の来訪者履歴管理や、オプションの顔認証・音声認証による自動ドア解錠機能も提供し、より高度な無人受付システムの実現を目指す。
gC LabsとTISが合弁会社Hinode Technologiesを設立、30億円規模のブ...
gumiの連結子会社gC LabsとTIS株式会社が合弁会社Hinode Technologiesを設立。両社から約30億円規模の資産を活用し、ブロックチェーンのノード運営事業と暗号資産会計管理システムの販売事業を展開。TISの15,000社を超える顧客基盤とgC Labsのweb3領域における専門知識を融合させ、分散型社会の実現に向けた新たな価値創造を目指す。
gC LabsとTISが合弁会社Hinode Technologiesを設立、30億円規模のブ...
gumiの連結子会社gC LabsとTIS株式会社が合弁会社Hinode Technologiesを設立。両社から約30億円規模の資産を活用し、ブロックチェーンのノード運営事業と暗号資産会計管理システムの販売事業を展開。TISの15,000社を超える顧客基盤とgC Labsのweb3領域における専門知識を融合させ、分散型社会の実現に向けた新たな価値創造を目指す。
トランスエヌがハードウェア一体型AIプラットフォームN-Cubeをリリース、AIネイティブ組織...
トランスエヌ株式会社は2025年4月2日、ハードウェアと一体化したAIプラットフォーム「N-Cube」を正式リリースした。大規模言語モデルのインメモリ推論と企業データを用いた追加学習に対応し、AI議事録「N-Note」、AIチャットボット「N-Chat」、AI翻訳「N-Translate」を搭載。企業独自の情報を学習し成長する「デジタル社員」として、AIネイティブ組織への変革を支援する。
トランスエヌがハードウェア一体型AIプラットフォームN-Cubeをリリース、AIネイティブ組織...
トランスエヌ株式会社は2025年4月2日、ハードウェアと一体化したAIプラットフォーム「N-Cube」を正式リリースした。大規模言語モデルのインメモリ推論と企業データを用いた追加学習に対応し、AI議事録「N-Note」、AIチャットボット「N-Chat」、AI翻訳「N-Translate」を搭載。企業独自の情報を学習し成長する「デジタル社員」として、AIネイティブ組織への変革を支援する。
Rox3GamingがVTeacher如月永遠を採用、オンラインゲーム活用型英会話で新たな学習...
プロゲーミングチームRox3Gamingは、オンラインゲーム活用型英会話スクール「アソビで英会話」にVTeacher如月永遠を採用。2025年4月から新年度コースで授業を担当する。Live2Dを活用したVTuberによる英会話講師として、子どもたちに親しみやすい学習環境を提供。さらにひとり親家庭や非課税世帯向けに無償提供も実施し、教育機会の拡大を目指す。
Rox3GamingがVTeacher如月永遠を採用、オンラインゲーム活用型英会話で新たな学習...
プロゲーミングチームRox3Gamingは、オンラインゲーム活用型英会話スクール「アソビで英会話」にVTeacher如月永遠を採用。2025年4月から新年度コースで授業を担当する。Live2Dを活用したVTuberによる英会話講師として、子どもたちに親しみやすい学習環境を提供。さらにひとり親家庭や非課税世帯向けに無償提供も実施し、教育機会の拡大を目指す。
バッファローがiPhone 16e対応製品を発表、Wi-Fiルーターからストレージまで16製品...
株式会社バッファローが2025年4月2日、iPhone 16e対応製品の詳細情報を公開した。Wi-Fiルーター「WXR18000BE10P」やWi-Fi中継機「WEX-3000AX4EA」をはじめ、ストレージ機器、周辺機器、電源関連製品など、合計16製品の互換性が確認されている。特にポータブルHDD「HD-PGAC-Aシリーズ」については使用前の対応フォーマット形式への変更が必要となる。バッファローは今後も継続的に動作確認を実施し、対応情報を更新していく方針だ。
バッファローがiPhone 16e対応製品を発表、Wi-Fiルーターからストレージまで16製品...
株式会社バッファローが2025年4月2日、iPhone 16e対応製品の詳細情報を公開した。Wi-Fiルーター「WXR18000BE10P」やWi-Fi中継機「WEX-3000AX4EA」をはじめ、ストレージ機器、周辺機器、電源関連製品など、合計16製品の互換性が確認されている。特にポータブルHDD「HD-PGAC-Aシリーズ」については使用前の対応フォーマット形式への変更が必要となる。バッファローは今後も継続的に動作確認を実施し、対応情報を更新していく方針だ。
スクエアワン司法書士法人とアグノス司法書士事務所が経営統合、横浜・神奈川エリアの法務サービス体...
スクエアワン司法書士法人がアグノス司法書士事務所との経営統合を発表。2025年4月1日より「スクエアワン司法書士事務所 横浜オフィス」として新体制での運営を開始する。資本関係を持たない形での統合により、両事務所の独立性を保ちながら相互のノウハウや知見を活用し、複雑化する法務ニーズへの対応力強化を目指す。グループ全体として対応エリアを拡充し、ワンストップでの課題解決を提供していく方針。
スクエアワン司法書士法人とアグノス司法書士事務所が経営統合、横浜・神奈川エリアの法務サービス体...
スクエアワン司法書士法人がアグノス司法書士事務所との経営統合を発表。2025年4月1日より「スクエアワン司法書士事務所 横浜オフィス」として新体制での運営を開始する。資本関係を持たない形での統合により、両事務所の独立性を保ちながら相互のノウハウや知見を活用し、複雑化する法務ニーズへの対応力強化を目指す。グループ全体として対応エリアを拡充し、ワンストップでの課題解決を提供していく方針。
アドバンがアプリのメディエーション運用サポート事業を開始、広告運用の効率化と収益最大化を実現へ
株式会社アドバンは2025年4月2日より、アプリのメディエーション運用サポート事業を開始した。GoogleやMetaなどの広告ネットワークを一元管理し、広告表示の最適化や収益向上を支援する。専任チームによる包括的なサポートで、クライアント企業の運用負担を軽減しながら、効果的な広告運用の実現を目指す。海外ネットワーク対応やSDK管理など、技術的な課題解決も含めたワンストップサービスを提供する。
アドバンがアプリのメディエーション運用サポート事業を開始、広告運用の効率化と収益最大化を実現へ
株式会社アドバンは2025年4月2日より、アプリのメディエーション運用サポート事業を開始した。GoogleやMetaなどの広告ネットワークを一元管理し、広告表示の最適化や収益向上を支援する。専任チームによる包括的なサポートで、クライアント企業の運用負担を軽減しながら、効果的な広告運用の実現を目指す。海外ネットワーク対応やSDK管理など、技術的な課題解決も含めたワンストップサービスを提供する。
【CVE-2025-1941】Firefoxの認証バイパス脆弱性が発覚、バージョン136未満に...
Mozilla Corporationは2025年3月4日、Firefoxブラウザの認証設定に関する重大な脆弱性を公開した。Firefox 136未満のバージョンで認証要求設定がバイパスされる可能性があり、CVSSスコア9.1のCritical評価となっている。特別な権限を必要とせずネットワーク経由での攻撃が可能なため、ユーザーには速やかなアップデートが推奨される。
【CVE-2025-1941】Firefoxの認証バイパス脆弱性が発覚、バージョン136未満に...
Mozilla Corporationは2025年3月4日、Firefoxブラウザの認証設定に関する重大な脆弱性を公開した。Firefox 136未満のバージョンで認証要求設定がバイパスされる可能性があり、CVSSスコア9.1のCritical評価となっている。特別な権限を必要とせずネットワーク経由での攻撃が可能なため、ユーザーには速やかなアップデートが推奨される。
【CVE-2025-1942】FirefoxとThunderbirdに未初期化メモリ混入の脆弱...
MozillaはFirefoxとThunderbirdに影響を与える重大な脆弱性CVE-2025-1942を公開した。String.toUpperCase()メソッドで文字列が長くなった際に未初期化メモリが混入する可能性があり、Firefox 136未満とThunderbird 136未満が影響を受ける。CVSSスコア9.8のクリティカルな脆弱性として評価され、攻撃の自動化も可能とされているため、早急な対応が必要だ。
【CVE-2025-1942】FirefoxとThunderbirdに未初期化メモリ混入の脆弱...
MozillaはFirefoxとThunderbirdに影響を与える重大な脆弱性CVE-2025-1942を公開した。String.toUpperCase()メソッドで文字列が長くなった際に未初期化メモリが混入する可能性があり、Firefox 136未満とThunderbird 136未満が影響を受ける。CVSSスコア9.8のクリティカルな脆弱性として評価され、攻撃の自動化も可能とされているため、早急な対応が必要だ。
【CVE-2025-2003】Devolutions Server 2024.3.12にPAM...
Devolutions Serverの2024.3.12以前のバージョンにおいて、PAMボルトの認証システムに重大な脆弱性が発見された。CVSSスコア7.1(High)と評価されており、認証済みユーザーがroot権限を不正に取得できる可能性がある。この脆弱性はCWE-863に分類され、現時点で自動化された攻撃は確認されていないものの、システムに部分的な影響を及ぼす可能性があるため、早急な対策が推奨されている。
【CVE-2025-2003】Devolutions Server 2024.3.12にPAM...
Devolutions Serverの2024.3.12以前のバージョンにおいて、PAMボルトの認証システムに重大な脆弱性が発見された。CVSSスコア7.1(High)と評価されており、認証済みユーザーがroot権限を不正に取得できる可能性がある。この脆弱性はCWE-863に分類され、現時点で自動化された攻撃は確認されていないものの、システムに部分的な影響を及ぼす可能性があるため、早急な対策が推奨されている。
【CVE-2025-1636】Devolutions Remote Desktop Manag...
Devolutions社のRemote Desktop Manager 2024.3.29以前のWindows版において、My Personal Credentialsパスワード履歴コンポーネントに認証情報が漏洩する脆弱性が発見された。共有ボルト内での履歴クリア機能使用時にビジネスロジックの不備により個人認証情報が意図せず漏洩する可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。
【CVE-2025-1636】Devolutions Remote Desktop Manag...
Devolutions社のRemote Desktop Manager 2024.3.29以前のWindows版において、My Personal Credentialsパスワード履歴コンポーネントに認証情報が漏洩する脆弱性が発見された。共有ボルト内での履歴クリア機能使用時にビジネスロジックの不備により個人認証情報が意図せず漏洩する可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。
【CVE-2025-2280】Devolutions Server 2024.3.4.0にアク...
Devolutions社は2025年3月13日、Devolutions Server 2024.3.4.0以前のバージョンにおいて認証済みユーザーがブラウザ拡張機能の制限をバイパスできる脆弱性を公開した。CVE-2025-2280として識別されるこの脆弱性は、CVSSスコア8.1のハイリスクと評価されており、機密性と完全性への影響が高いとされている。早急な対策が求められる事態となっている。
【CVE-2025-2280】Devolutions Server 2024.3.4.0にアク...
Devolutions社は2025年3月13日、Devolutions Server 2024.3.4.0以前のバージョンにおいて認証済みユーザーがブラウザ拡張機能の制限をバイパスできる脆弱性を公開した。CVE-2025-2280として識別されるこの脆弱性は、CVSSスコア8.1のハイリスクと評価されており、機密性と完全性への影響が高いとされている。早急な対策が求められる事態となっている。
【CVE-2024-2278】Devolutions Server 2024.3.13に不適切...
Devolutions社のDevolutions Server 2024.3.13以前のバージョンにおいて、不適切なアクセス制御の脆弱性が発見された。この脆弱性により、認証済みユーザーが一時アクセス要求やチェックアウト要求のエンドポイントで既知の要求IDを使用して情報にアクセスできる状態となっている。CVSSスコアは6.5(MEDIUM)で、情報の機密性への影響が高いとされている。
【CVE-2024-2278】Devolutions Server 2024.3.13に不適切...
Devolutions社のDevolutions Server 2024.3.13以前のバージョンにおいて、不適切なアクセス制御の脆弱性が発見された。この脆弱性により、認証済みユーザーが一時アクセス要求やチェックアウト要求のエンドポイントで既知の要求IDを使用して情報にアクセスできる状態となっている。CVSSスコアは6.5(MEDIUM)で、情報の機密性への影響が高いとされている。