Tech Insights

The Document FoundationがLibreOffice 25.2.2と24.8.6の2つの新バージョンを公開、クロスプラットフォーム対応を強化

The Document FoundationがLibreOffice 25.2.2と24.8...

The Document Foundationは3月27日、LibreOffice 25.2.2とLibreOffice 24.8.6の2つの新バージョンを公開した。Windows、macOS、Linuxに対応し、パワーユーザー向けと安定性重視のユーザー向けの2つのバージョンを提供。ODFとMicrosoft OOXMLの両方のISO標準をサポートし、ビッグテックのロックイン戦略から独立したオフィススイートとして進化を続けている。

The Document FoundationがLibreOffice 25.2.2と24.8...

The Document Foundationは3月27日、LibreOffice 25.2.2とLibreOffice 24.8.6の2つの新バージョンを公開した。Windows、macOS、Linuxに対応し、パワーユーザー向けと安定性重視のユーザー向けの2つのバージョンを提供。ODFとMicrosoft OOXMLの両方のISO標準をサポートし、ビッグテックのロックイン戦略から独立したオフィススイートとして進化を続けている。

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、LinkedInキーの漏洩リスクが発覚

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、L...

WordPressテーマ「Civi - Job Board & Freelance Marketplace WordPress Theme」のバージョン2.1.4以前に深刻な情報漏洩の脆弱性が発見された。ハードコードされた認証情報により、未認証の攻撃者がLinkedInのクライアントキーとシークレットキーにアクセス可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、早急な対策が求められている。

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、L...

WordPressテーマ「Civi - Job Board & Freelance Marketplace WordPress Theme」のバージョン2.1.4以前に深刻な情報漏洩の脆弱性が発見された。ハードコードされた認証情報により、未認証の攻撃者がLinkedInのクライアントキーとシークレットキーにアクセス可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、早急な対策が求められている。

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの脆弱性、管理者権限奪取の危険性

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの...

WordFenceが2025年3月14日、Job Board & Freelance Marketplace用WordPressテーマCiviにおいて、深刻な認証バイパスの脆弱性を発見したことを公開した。バージョン2.1.4以前のすべてのバージョンが影響を受け、CVSSスコアは9.8と極めて高い。パスワード更新機能におけるユーザー検証の欠如により、攻撃者は管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの...

WordFenceが2025年3月14日、Job Board & Freelance Marketplace用WordPressテーマCiviにおいて、深刻な認証バイパスの脆弱性を発見したことを公開した。バージョン2.1.4以前のすべてのバージョンが影響を受け、CVSSスコアは9.8と極めて高い。パスワード更新機能におけるユーザー検証の欠如により、攻撃者は管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパスが可能に

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...

westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...

westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。

【CVE-2025-2648】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-2648】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。

【CVE-2025-2648】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。

【CVE-2025-2647】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、緊急対応が必要に

【CVE-2025-2647】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-2647】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性、バージョン2.10.0未満のユーザーに影響

【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...

Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。

【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...

Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバージョンにXSS脆弱性が発見、ベンダーの対応待ち状態が継続

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0.4未満で保護機能のバイパスが可能に

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....

Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....

Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。

【CVE-2025-2673】code-projects Payroll Management Systemに深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクが発覚

【CVE-2025-2673】code-projects Payroll Management...

code-projects社のPayroll Management System 1.0において、home_employee.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。リモートからの攻撃が可能で、既に技術的詳細が公開されているため早急な対応が必要とされている。CVSSスコアは5.1(MEDIUM)と評価され、特権レベルは不要だがユーザーの操作が必要となる特徴がある。

【CVE-2025-2673】code-projects Payroll Management...

code-projects社のPayroll Management System 1.0において、home_employee.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。リモートからの攻撃が可能で、既に技術的詳細が公開されているため早急な対応が必要とされている。CVSSスコアは5.1(MEDIUM)と評価され、特権レベルは不要だがユーザーの操作が必要となる特徴がある。

【CVE-2025-2652】SourceCodester Gate Pass Logging Systemに情報漏洩の脆弱性、設定変更による対応が必要に

【CVE-2025-2652】SourceCodester Gate Pass Logging...

VulDBは2025年3月23日、SourceCodester社のEmployee and Visitor Gate Pass Logging System 1.0においてディレクトリリスティングによる情報漏洩の脆弱性を発見。CVE-2025-2652として識別されたこの脆弱性は、CVSS v4.0で深刻度6.9(ミディアム)と評価された。リモートからの攻撃が可能で認証も不要なため、早急な設定変更による対応が推奨されている。

【CVE-2025-2652】SourceCodester Gate Pass Logging...

VulDBは2025年3月23日、SourceCodester社のEmployee and Visitor Gate Pass Logging System 1.0においてディレクトリリスティングによる情報漏洩の脆弱性を発見。CVE-2025-2652として識別されたこの脆弱性は、CVSS v4.0で深刻度6.9(ミディアム)と評価された。リモートからの攻撃が可能で認証も不要なため、早急な設定変更による対応が推奨されている。

【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクで緊急対応が必要に

【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リ...

westboy社のCicadasCMS 1.0において、/system/cms/content/page機能にSQLインジェクションの脆弱性が発見された。orderFieldとorderDirectionの引数操作によってリモートからの攻撃が可能となっており、exploitも公開されている。CVSSスコアは5.3で中程度だが、攻撃コードが入手可能な状態であることから、早急な対策が求められている。

【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リ...

westboy社のCicadasCMS 1.0において、/system/cms/content/page機能にSQLインジェクションの脆弱性が発見された。orderFieldとorderDirectionの引数操作によってリモートからの攻撃が可能となっており、exploitも公開されている。CVSSスコアは5.3で中程度だが、攻撃コードが入手可能な状態であることから、早急な対策が求められている。

【CVE-2025-2622】aizuda snail-job 1.4.0にデシリアライゼーションの脆弱性、リモート攻撃のリスクが明らかに

【CVE-2025-2622】aizuda snail-job 1.4.0にデシリアライゼーシ...

aizuda snail-job 1.4.0のWorkflow-Task Management Moduleに重大な脆弱性が発見された。この脆弱性はgetRuntime関数のnodeExpressionパラメータの処理に関連し、デシリアライゼーションの問題を引き起こす。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態であり、既に公開されているため早急な対応が必要とされている。

【CVE-2025-2622】aizuda snail-job 1.4.0にデシリアライゼーシ...

aizuda snail-job 1.4.0のWorkflow-Task Management Moduleに重大な脆弱性が発見された。この脆弱性はgetRuntime関数のnodeExpressionパラメータの処理に関連し、デシリアライゼーションの問題を引き起こす。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態であり、既に公開されているため早急な対応が必要とされている。

【CVE-2025-1497】PlotAIにリモートコード実行の脆弱性、LLM出力の検証不足で任意のPythonコード実行が可能に

【CVE-2025-1497】PlotAIにリモートコード実行の脆弱性、LLM出力の検証不足で...

MLJARが開発するPlotAIにリモートコード実行の脆弱性が発見された。LLM生成出力の検証が不十分なため、攻撃者が任意のPythonコードを実行可能な状態となっている。CVSS v4.0で9.3(CRITICAL)と評価される深刻な脆弱性だが、ベンダーは修正パッチのリリースを予定していない。影響を受けるのはバージョン0.0.6以前のすべてのバージョンとなる。

【CVE-2025-1497】PlotAIにリモートコード実行の脆弱性、LLM出力の検証不足で...

MLJARが開発するPlotAIにリモートコード実行の脆弱性が発見された。LLM生成出力の検証が不十分なため、攻撃者が任意のPythonコードを実行可能な状態となっている。CVSS v4.0で9.3(CRITICAL)と評価される深刻な脆弱性だが、ベンダーは修正パッチのリリースを予定していない。影響を受けるのはバージョン0.0.6以前のすべてのバージョンとなる。

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン2.19.0で修正完了

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン...

MLflowバージョン2.18において、管理者が新規ユーザーアカウントをパスワードなしで作成できる重大な脆弱性が発見された。この問題はCVE-2025-1474として識別され、CVSSスコア3.8(Low)と評価されている。MLflow開発チームは迅速に対応し、バージョン2.19.0で修正を完了。セキュアなユーザーアカウント管理の重要性が再認識される結果となった。

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン...

MLflowバージョン2.18において、管理者が新規ユーザーアカウントをパスワードなしで作成できる重大な脆弱性が発見された。この問題はCVE-2025-1474として識別され、CVSSスコア3.8(Low)と評価されている。MLflow開発チームは迅速に対応し、バージョン2.19.0で修正を完了。セキュアなユーザーアカウント管理の重要性が再認識される結果となった。

【CVE-2025-2217】zzskzy Warehouse Refinement Management System 1.3にSQLインジェクションの脆弱性、リモート攻撃のリスクで早急な対応が必要

【CVE-2025-2217】zzskzy Warehouse Refinement Mana...

VulDBは2025年3月12日、zzskzy Warehouse Refinement Management System 1.3のgetAdyData.ashxファイルのProcessRequest機能に重大な脆弱性を報告した。showid引数の操作によるSQLインジェクションが可能で、リモートからの攻撃実行のリスクがある。既にエクスプロイトコードが公開されており、CVSS 4.0で5.3、CVSS 3.1と3.0で6.3のミディアムレベルと評価されている。

【CVE-2025-2217】zzskzy Warehouse Refinement Mana...

VulDBは2025年3月12日、zzskzy Warehouse Refinement Management System 1.3のgetAdyData.ashxファイルのProcessRequest機能に重大な脆弱性を報告した。showid引数の操作によるSQLインジェクションが可能で、リモートからの攻撃実行のリスクがある。既にエクスプロイトコードが公開されており、CVSS 4.0で5.3、CVSS 3.1と3.0で6.3のミディアムレベルと評価されている。

【CVE-2025-2220】Odyssey CMS 10.34以下のreCAPTCHA機能に脆弱性、開発元の対応の遅れが課題に

【CVE-2025-2220】Odyssey CMS 10.34以下のreCAPTCHA機能に...

Odyssey CMS 10.34以下のバージョンにおいて、reCAPTCHA機能に関連する重大な脆弱性が発見された。この脆弱性はキー管理エラーに分類され、ローカルアクセスを通じた攻撃が可能な状態となっている。CVSS v4.0で中程度の4.8と評価されており、特に認証システムのセキュリティに影響を与える可能性がある。開発元のOdysseyは早期に通知を受けていたにも関わらず、現時点で対応を行っていない状況が続いている。

【CVE-2025-2220】Odyssey CMS 10.34以下のreCAPTCHA機能に...

Odyssey CMS 10.34以下のバージョンにおいて、reCAPTCHA機能に関連する重大な脆弱性が発見された。この脆弱性はキー管理エラーに分類され、ローカルアクセスを通じた攻撃が可能な状態となっている。CVSS v4.0で中程度の4.8と評価されており、特に認証システムのセキュリティに影響を与える可能性がある。開発元のOdysseyは早期に通知を受けていたにも関わらず、現時点で対応を行っていない状況が続いている。

【CVE-2025-2386】PHPGurukul Local Services Search Engine Management Systemに深刻な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

InfiniCloudがVates VMSの日本初Tier2パートナーに認定、オープンソース仮想化スタックの普及加速へ

InfiniCloudがVates VMSの日本初Tier2パートナーに認定、オープンソース仮...

InfiniCloud株式会社がVates社の仮想化管理ソフトウェアVates VMSの日本初のTier2パートナーとして認定された。Vates VMSはXCP-ngハイパーバイザーとXenOrchestra管理インターフェースを組み込んだオープンソースの仮想化スタックで、VMwareからの移行先として注目を集めている。InfiniCloudは同技術を活用したサブスクリプション販売やプライベートクラウドサービスを展開し、エンタープライズ向けシステム構築を支援する。

InfiniCloudがVates VMSの日本初Tier2パートナーに認定、オープンソース仮...

InfiniCloud株式会社がVates社の仮想化管理ソフトウェアVates VMSの日本初のTier2パートナーとして認定された。Vates VMSはXCP-ngハイパーバイザーとXenOrchestra管理インターフェースを組み込んだオープンソースの仮想化スタックで、VMwareからの移行先として注目を集めている。InfiniCloudは同技術を活用したサブスクリプション販売やプライベートクラウドサービスを展開し、エンタープライズ向けシステム構築を支援する。

【CVE-2025-27598】ImageSharpに深刻な脆弱性、GIFデコーダーの範囲外書き込みでサービス拒否攻撃の可能性

【CVE-2025-27598】ImageSharpに深刻な脆弱性、GIFデコーダーの範囲外書...

2025年3月6日、GitHubはImageSharpのGIFデコーダーに存在する範囲外書き込みの脆弱性(CVE-2025-27598)を公開した。CVSS 3.1で7.5の高リスクと評価されたこの脆弱性は、特別に細工されたGIFファイルによってクラッシュを引き起こし、サービス拒否攻撃につながる可能性がある。SixLabors社は既にパッチを公開しており、影響を受けるバージョンのユーザーはv3.1.7またはv2.1.10への更新が推奨される。

【CVE-2025-27598】ImageSharpに深刻な脆弱性、GIFデコーダーの範囲外書...

2025年3月6日、GitHubはImageSharpのGIFデコーダーに存在する範囲外書き込みの脆弱性(CVE-2025-27598)を公開した。CVSS 3.1で7.5の高リスクと評価されたこの脆弱性は、特別に細工されたGIFファイルによってクラッシュを引き起こし、サービス拒否攻撃につながる可能性がある。SixLabors社は既にパッチを公開しており、影響を受けるバージョンのユーザーはv3.1.7またはv2.1.10への更新が推奨される。

【CVE-2025-2681】PHPGurukul Bank Locker Management Systemに深刻な脆弱性、遠隔からの攻撃が可能に

【CVE-2025-2681】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2681として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価を受けており、認証なしで遠隔から攻撃が可能。既に公開されており早急な対策が必要とされている。

【CVE-2025-2681】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2681として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価を受けており、認証なしで遠隔から攻撃が可能。既に公開されており早急な対策が必要とされている。

【CVE-2025-2682】PHPGurukul Bank Locker Management System 1.0にSQLインジェクションの脆弱性、金融システムのセキュリティに警鐘

【CVE-2025-2682】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-subadmin.phpファイルにSQLインジェクションの脆弱性が発見された。CVSS 3.1で7.3の高リスク評価を受けており、認証なしでネットワーク経由での攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。特に金融関連システムであることから、セキュリティ面での慎重な対応が求められる。

【CVE-2025-2682】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-subadmin.phpファイルにSQLインジェクションの脆弱性が発見された。CVSS 3.1で7.3の高リスク評価を受けており、認証なしでネットワーク経由での攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。特に金融関連システムであることから、セキュリティ面での慎重な対応が求められる。

富士通が量子コンピュータの基本ソフトウェアをGitHubでオープンソース化、クラウドサービス提供の簡便化を実現

富士通が量子コンピュータの基本ソフトウェアをGitHubでオープンソース化、クラウドサービス提...

富士通株式会社は大阪大学、株式会社セック、TIS株式会社とともに、量子コンピュータの基本ソフトウェア「Open Quantum Toolchain for Operators and Users」を開発しGitHubで公開した。環境構築から運用までを網羅する世界最大規模のオープンソース化により、量子コンピュータのクラウド公開の障壁を低減。大阪大学の量子コンピュータ・クラウドサービスで運用を開始している。

富士通が量子コンピュータの基本ソフトウェアをGitHubでオープンソース化、クラウドサービス提...

富士通株式会社は大阪大学、株式会社セック、TIS株式会社とともに、量子コンピュータの基本ソフトウェア「Open Quantum Toolchain for Operators and Users」を開発しGitHubで公開した。環境構築から運用までを網羅する世界最大規模のオープンソース化により、量子コンピュータのクラウド公開の障壁を低減。大阪大学の量子コンピュータ・クラウドサービスで運用を開始している。

ローデ・シュワルツとNVIDIAが次世代無線通信技術を発表、AI駆動型ニューラル・レシーバのテスト環境が進化

ローデ・シュワルツとNVIDIAが次世代無線通信技術を発表、AI駆動型ニューラル・レシーバのテ...

ローデ・シュワルツとNVIDIA社が、デジタル・ツイン技術と高忠実度レイトレーシングを活用した5G-Advancedおよび6G向けのニューラル・レシーバテストシステムを発表した。NVIDIA Sionnaを用いたGPUアクセラレーションにより、現実的なRF伝搬条件の生成が可能になり、次世代通信技術の開発が大きく前進する。MWC 2025でのデモンストレーションを通じて、最新の概念実証が紹介される。

ローデ・シュワルツとNVIDIAが次世代無線通信技術を発表、AI駆動型ニューラル・レシーバのテ...

ローデ・シュワルツとNVIDIA社が、デジタル・ツイン技術と高忠実度レイトレーシングを活用した5G-Advancedおよび6G向けのニューラル・レシーバテストシステムを発表した。NVIDIA Sionnaを用いたGPUアクセラレーションにより、現実的なRF伝搬条件の生成が可能になり、次世代通信技術の開発が大きく前進する。MWC 2025でのデモンストレーションを通じて、最新の概念実証が紹介される。

【CVE-2025-25185】GPT Academic 3.91に重大な脆弱性、サーバー上の全ファイル読み取りが可能に

【CVE-2025-25185】GPT Academic 3.91に重大な脆弱性、サーバー上の...

大規模言語モデル向けの対話型インターフェースを提供するGPT Academicのバージョン3.91以前に、ソフトリンクを悪用した任意のファイル読み取りを可能にする重大な脆弱性が発見された。CVE-2025-25185として識別されるこの脆弱性は、CVSS v3.1で7.5(High)と評価され、特別な権限を必要とせずにネットワーク経由での攻撃が可能となっている。

【CVE-2025-25185】GPT Academic 3.91に重大な脆弱性、サーバー上の...

大規模言語モデル向けの対話型インターフェースを提供するGPT Academicのバージョン3.91以前に、ソフトリンクを悪用した任意のファイル読み取りを可能にする重大な脆弱性が発見された。CVE-2025-25185として識別されるこの脆弱性は、CVSS v3.1で7.5(High)と評価され、特別な権限を必要とせずにネットワーク経由での攻撃が可能となっている。

【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に深刻な脆弱性、音声文字起こしデータの削除が可能に

【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に...

WordPressプラグインPodlove Podcast Publisherにおいて、バージョン4.2.2以前に重大な脆弱性が発見された。ajax_transcript_delete関数のnonce検証の不備により、Cross-Site Request Forgery(CSRF)が可能となり、攻撃者は管理者権限を持つユーザーを騙して音声文字起こしデータを削除できる状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に...

WordPressプラグインPodlove Podcast Publisherにおいて、バージョン4.2.2以前に重大な脆弱性が発見された。ajax_transcript_delete関数のnonce検証の不備により、Cross-Site Request Forgery(CSRF)が可能となり、攻撃者は管理者権限を持つユーザーを騙して音声文字起こしデータを削除できる状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻撃の可能性が指摘される

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sale機能での危険性が判明

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アクセスのリスクに対応急ぐ

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。