Tech Insights

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れが深刻な事態に

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。

Blender Foundationが最新版Blender 4.4を公開、既存機能の改善と新機能追加で制作効率が向上

Blender Foundationが最新版Blender 4.4を公開、既存機能の改善と新機...

蘭Blender Foundationが3月18日に公開したBlender 4.4では、新しいPlaneブラシやジオメトリノードの追加に加え、700件以上の不具合修正が実施された。特にAction Slotsの導入により複数のアニメーション要素を一元管理できるようになり、制作ワークフローの効率化が図られている。さらにH.265コーデックや10/12ビット動画への対応など、ビデオ編集機能も大幅に強化された。

Blender Foundationが最新版Blender 4.4を公開、既存機能の改善と新機...

蘭Blender Foundationが3月18日に公開したBlender 4.4では、新しいPlaneブラシやジオメトリノードの追加に加え、700件以上の不具合修正が実施された。特にAction Slotsの導入により複数のアニメーション要素を一元管理できるようになり、制作ワークフローの効率化が図られている。さらにH.265コーデックや10/12ビット動画への対応など、ビデオ編集機能も大幅に強化された。

Thunderbird v136.0.1がリリース、検索機能とニュースメッセージ送信の安定性が向上

Thunderbird v136.0.1がリリース、検索機能とニュースメッセージ送信の安定性が向上

オープンソースのメールソフト「Thunderbird」がv136.0.1へアップデート。検索処理中のシャットダウン時におけるクラッシュ問題とニュースメッセージ送信失敗時のウィンドウ挙動を修正。Windows 10以降、macOS 10.15以降、GTK+ 3.14以上のLinuxで利用可能。セキュリティ問題は含まれておらず、安定性向上に焦点を当てた改善が実施された。

Thunderbird v136.0.1がリリース、検索機能とニュースメッセージ送信の安定性が向上

オープンソースのメールソフト「Thunderbird」がv136.0.1へアップデート。検索処理中のシャットダウン時におけるクラッシュ問題とニュースメッセージ送信失敗時のウィンドウ挙動を修正。Windows 10以降、macOS 10.15以降、GTK+ 3.14以上のLinuxで利用可能。セキュリティ問題は含まれておらず、安定性向上に焦点を当てた改善が実施された。

NVIDIAがAI Data Platformを発表、主要ストレージプロバイダーとの連携でAIインフラを強化

NVIDIAがAI Data Platformを発表、主要ストレージプロバイダーとの連携でAI...

NVIDIAは2025年3月18日、AIワークロード向けの新しいインフラ基盤としてNVIDIA AI Data Platformを発表した。BlackwellやBlueField DPU、Spectrum-Xネットワーキングなどの最新技術を組み合わせることで、AIクエリエージェントの性能を最大1.6倍に向上。DDN、Dell Technologies、IBM、NetAppなど主要ストレージプロバイダーとの連携により、企業データを活用した高度なAI推論を実現する。

NVIDIAがAI Data Platformを発表、主要ストレージプロバイダーとの連携でAI...

NVIDIAは2025年3月18日、AIワークロード向けの新しいインフラ基盤としてNVIDIA AI Data Platformを発表した。BlackwellやBlueField DPU、Spectrum-Xネットワーキングなどの最新技術を組み合わせることで、AIクエリエージェントの性能を最大1.6倍に向上。DDN、Dell Technologies、IBM、NetAppなど主要ストレージプロバイダーとの連携により、企業データを活用した高度なAI推論を実現する。

NetAppがNVIDIA AI Data Platformと提携、ONTAPへのデータエージェント実装でAI推論を高速化

NetAppがNVIDIA AI Data Platformと提携、ONTAPへのデータエージ...

ネットアップ合同会社がNVIDIA AI Data Platformのリファレンスデザインとの提携を発表。NetAppのONTAPにNVIDIAのデータエージェントを実装し、AI推論の高速化を実現。グローバルメタデータネームスペースやAIデータパイプライン統合など、AIパイプライン加速に必要な機能を提供することで、企業のデータ活用とAI導入を促進する。

NetAppがNVIDIA AI Data Platformと提携、ONTAPへのデータエージ...

ネットアップ合同会社がNVIDIA AI Data Platformのリファレンスデザインとの提携を発表。NetAppのONTAPにNVIDIAのデータエージェントを実装し、AI推論の高速化を実現。グローバルメタデータネームスペースやAIデータパイプライン統合など、AIパイプライン加速に必要な機能を提供することで、企業のデータ活用とAI導入を促進する。

ティアフォーが新型ロボットタクシープロトタイプを開発、自動運転システムの設計公開で市場参入を促進

ティアフォーが新型ロボットタクシープロトタイプを開発、自動運転システムの設計公開で市場参入を促進

自動運転の民主化を目指すティアフォーが、ハンドルとペダル操作不要の新型ロボットタクシープロトタイプを開発。既存の電気自動車プラットフォームを基に、独自の外装・内装設計とAutowareの最適利用を実現。大規模言語モデルを活用した対話エージェントも搭載し、2025年3月22日から開催されるイベントで展示予定。自動運転システムの設計公開により、日本発の標準モデル構築を促進する。

ティアフォーが新型ロボットタクシープロトタイプを開発、自動運転システムの設計公開で市場参入を促進

自動運転の民主化を目指すティアフォーが、ハンドルとペダル操作不要の新型ロボットタクシープロトタイプを開発。既存の電気自動車プラットフォームを基に、独自の外装・内装設計とAutowareの最適利用を実現。大規模言語モデルを活用した対話エージェントも搭載し、2025年3月22日から開催されるイベントで展示予定。自動運転システムの設計公開により、日本発の標準モデル構築を促進する。

【CVE-2025-1944】picklescan 0.0.23未満のZIPアーカイブ操作脆弱性が発覚、PyTorchモデルの不正検知回避の可能性

【CVE-2025-1944】picklescan 0.0.23未満のZIPアーカイブ操作脆弱...

Sonatype社がpicklescanの重要な脆弱性を公開。バージョン0.0.23未満において、ZIPヘッダーの改変によりBadZipFileエラーを引き起こし、PyTorchモデルの不正な読み込みを可能にする脆弱性が発見された。CVSS v4.0で中程度(5.3)と評価され、特権は不要だが利用者の関与が必要。セキュリティツールとフレームワークの実装差異が攻撃ベクトルとなる新たな脅威として注目される。

【CVE-2025-1944】picklescan 0.0.23未満のZIPアーカイブ操作脆弱...

Sonatype社がpicklescanの重要な脆弱性を公開。バージョン0.0.23未満において、ZIPヘッダーの改変によりBadZipFileエラーを引き起こし、PyTorchモデルの不正な読み込みを可能にする脆弱性が発見された。CVSS v4.0で中程度(5.3)と評価され、特権は不要だが利用者の関与が必要。セキュリティツールとフレームワークの実装差異が攻撃ベクトルとなる新たな脅威として注目される。

NVIDIAがBlackwell Ultra AIプラットフォームを発表、AIリーズニング時代の新たな基盤を確立

NVIDIAがBlackwell Ultra AIプラットフォームを発表、AIリーズニング時代...

NVIDIAが次世代AIプラットフォームBlackwell Ultraを発表した。GB300 NVL72とHGX B300 NVL16を搭載し、従来比1.5倍のAIパフォーマンスと50倍の収益機会を実現。AIリーズニングやエージェント型AI、フィジカルAIなど最先端のワークロードに対応し、Amazon Web ServicesやGoogle Cloudなど主要クラウドプロバイダーが順次サービスを提供予定。

NVIDIAがBlackwell Ultra AIプラットフォームを発表、AIリーズニング時代...

NVIDIAが次世代AIプラットフォームBlackwell Ultraを発表した。GB300 NVL72とHGX B300 NVL16を搭載し、従来比1.5倍のAIパフォーマンスと50倍の収益機会を実現。AIリーズニングやエージェント型AI、フィジカルAIなど最先端のワークロードに対応し、Amazon Web ServicesやGoogle Cloudなど主要クラウドプロバイダーが順次サービスを提供予定。

GIMPが7年ぶりの大規模アップデートでGIMP 3.0をリリース、非破壊フィルターとGTK 3対応で操作性が向上

GIMPが7年ぶりの大規模アップデートでGIMP 3.0をリリース、非破壊フィルターとGTK ...

GIMPの開発チームが画像編集ソフト「GIMP 3.0」を正式リリースした。2018年4月のGIMP 2.10以来となる約7年ぶりの大規模アップデートで、非破壊フィルター機能の導入やGTK 3への移行によるUI改善、PSDファイルの互換性向上など、プロフェッショナルな編集作業をサポートする多数の新機能が追加された。

GIMPが7年ぶりの大規模アップデートでGIMP 3.0をリリース、非破壊フィルターとGTK ...

GIMPの開発チームが画像編集ソフト「GIMP 3.0」を正式リリースした。2018年4月のGIMP 2.10以来となる約7年ぶりの大規模アップデートで、非破壊フィルター機能の導入やGTK 3への移行によるUI改善、PSDファイルの互換性向上など、プロフェッショナルな編集作業をサポートする多数の新機能が追加された。

RobloxがAIモデル「Cube 3D」を発表、テキストから3Dオブジェクトを生成する基盤技術をオープンソースで公開

RobloxがAIモデル「Cube 3D」を発表、テキストから3Dオブジェクトを生成する基盤技...

米Robloxが3月17日、テキストプロンプトから3Dオブジェクトを生成するAIモデル「Cube 3D」を発表しオープンソースとして公開した。ネイティブな3Dデータでトレーニングされたこのモデルは、3Dオブジェクトをトークン化して処理する独自の技術を採用しており、生成されたオブジェクトはゲームエンジンと完全な互換性を持つ。ベータ版メッシュ生成機能は今週中にRoblox StudioとLua APIで利用可能となる予定だ。

RobloxがAIモデル「Cube 3D」を発表、テキストから3Dオブジェクトを生成する基盤技...

米Robloxが3月17日、テキストプロンプトから3Dオブジェクトを生成するAIモデル「Cube 3D」を発表しオープンソースとして公開した。ネイティブな3Dデータでトレーニングされたこのモデルは、3Dオブジェクトをトークン化して処理する独自の技術を採用しており、生成されたオブジェクトはゲームエンジンと完全な互換性を持つ。ベータ版メッシュ生成機能は今週中にRoblox StudioとLua APIで利用可能となる予定だ。

NTTデータグループがKVMベースの仮想化基盤Prossione Virtualizationを発表、システム主権確保と長期安定運用の実現へ

NTTデータグループがKVMベースの仮想化基盤Prossione Virtualization...

NTTデータグループは2025年7月より、オープンソースのKVMをベースとした仮想化基盤のマネージドサービス「Prossione Virtualization」の提供を開始する。高スキルエンジニアのノウハウを活かし、従来は専門スキルが必要だった仮想化基盤の管理・運用を簡易化。システム主権の確保と長期的な安定運用の両立を目指す。

NTTデータグループがKVMベースの仮想化基盤Prossione Virtualization...

NTTデータグループは2025年7月より、オープンソースのKVMをベースとした仮想化基盤のマネージドサービス「Prossione Virtualization」の提供を開始する。高スキルエンジニアのノウハウを活かし、従来は専門スキルが必要だった仮想化基盤の管理・運用を簡易化。システム主権の確保と長期的な安定運用の両立を目指す。

OpenInfra FoundationがLinux Foundationへの参画を表明、オープンソースエコシステムの強化へ前進

OpenInfra FoundationがLinux Foundationへの参画を表明、オー...

OpenInfra Foundationは2025年3月12日、Linux Foundationへのメンバーファウンデーションとしての参画を表明した。両理事会による全会一致の承認を経て、OpenStack、Kata Containers、StarlingXなどのプロジェクトを維持しながら、AIやデータセンターインフラの革新を加速させる体制が整う。187カ国11万人以上のコミュニティを持つOpenInfraの参画により、オープンソースエコシステムのさらなる発展が期待される。

OpenInfra FoundationがLinux Foundationへの参画を表明、オー...

OpenInfra Foundationは2025年3月12日、Linux Foundationへのメンバーファウンデーションとしての参画を表明した。両理事会による全会一致の承認を経て、OpenStack、Kata Containers、StarlingXなどのプロジェクトを維持しながら、AIやデータセンターインフラの革新を加速させる体制が整う。187カ国11万人以上のコミュニティを持つOpenInfraの参画により、オープンソースエコシステムのさらなる発展が期待される。

【CVE-2025-21844】Linuxカーネルのsmbクライアントに重大な脆弱性、null pointer dereferenceの危険性が判明

【CVE-2025-21844】Linuxカーネルのsmbクライアントに重大な脆弱性、null...

kernel.orgは2025年3月12日、Linuxカーネルのsmbクライアントにおいて重大な脆弱性【CVE-2025-21844】を公開した。receive_encrypted_standard()関数でnext_bufferのチェックが不十分であり、null pointer dereferenceが発生する可能性がある。Linux 6.7以降の特定バージョンが影響を受け、複数の修正パッチが提供されている。

【CVE-2025-21844】Linuxカーネルのsmbクライアントに重大な脆弱性、null...

kernel.orgは2025年3月12日、Linuxカーネルのsmbクライアントにおいて重大な脆弱性【CVE-2025-21844】を公開した。receive_encrypted_standard()関数でnext_bufferのチェックが不十分であり、null pointer dereferenceが発生する可能性がある。Linux 6.7以降の特定バージョンが影響を受け、複数の修正パッチが提供されている。

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング脆弱性、UIの誤動作によるセキュリティリスクが発生

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング...

Microsoftは2025年3月7日、Microsoft Edge(Chromiumベース)においてスプーフィング脆弱性を公開した。CVSSスコア5.4の中程度の深刻度で、認証されていない攻撃者がネットワーク経由でスプーフィング攻撃を実行できる可能性がある。影響を受けるバージョンは1.0.0から134.0.3124.51未満で、UIの誤動作により機密性と完全性に限定的な影響が及ぶ可能性がある。

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング...

Microsoftは2025年3月7日、Microsoft Edge(Chromiumベース)においてスプーフィング脆弱性を公開した。CVSSスコア5.4の中程度の深刻度で、認証されていない攻撃者がネットワーク経由でスプーフィング攻撃を実行できる可能性がある。影響を受けるバージョンは1.0.0から134.0.3124.51未満で、UIの誤動作により機密性と完全性に限定的な影響が及ぶ可能性がある。

ペガシスがTMPGEnc Video Mastering Works 8を発表、16K出力とAV1フォーマット対応で映像編集の可能性が拡大

ペガシスがTMPGEnc Video Mastering Works 8を発表、16K出力とA...

ペガシスは、6年ぶりのメジャーアップデートとなるTMPGEnc Video Mastering Works 8を2025年3月21日より発売する。最大16K出力や高圧縮なAV1フォーマットに対応し、HDR色空間編集やRAW編集機能が強化された。新機能としてSmart Cut Mode、字幕の自動文字起こし、マルチカム映像の音声同期機能を搭載。ダウンロード版は12,200円(税抜)で、パッケージ版は6月頃に発売予定。

ペガシスがTMPGEnc Video Mastering Works 8を発表、16K出力とA...

ペガシスは、6年ぶりのメジャーアップデートとなるTMPGEnc Video Mastering Works 8を2025年3月21日より発売する。最大16K出力や高圧縮なAV1フォーマットに対応し、HDR色空間編集やRAW編集機能が強化された。新機能としてSmart Cut Mode、字幕の自動文字起こし、マルチカム映像の音声同期機能を搭載。ダウンロード版は12,200円(税抜)で、パッケージ版は6月頃に発売予定。

欧州でRISC-V採用の次世代スパコン開発プロジェクトDAREが始動、38パートナーが参画し完全欧州製を目指す

欧州でRISC-V採用の次世代スパコン開発プロジェクトDAREが始動、38パートナーが参画し完...

EuroHPC Joint Undertakingが主導する次世代スーパーコンピュータ開発プロジェクト「DARE」が発表された。Barcelona Supercomputing Centerを中心とした38のパートナーが参加し、RISC-Vエコシステムとチップレット技術を活用して真の欧州製スパコンの開発を目指す。第1段階となる3年間で2億4,000万ユーロを投じ、3種類のチップレット開発に取り組む。

欧州でRISC-V採用の次世代スパコン開発プロジェクトDAREが始動、38パートナーが参画し完...

EuroHPC Joint Undertakingが主導する次世代スーパーコンピュータ開発プロジェクト「DARE」が発表された。Barcelona Supercomputing Centerを中心とした38のパートナーが参加し、RISC-Vエコシステムとチップレット技術を活用して真の欧州製スパコンの開発を目指す。第1段階となる3年間で2億4,000万ユーロを投じ、3種類のチップレット開発に取り組む。

OpenAIがResponses APIとエージェント構築ツールを発表、AIエージェント開発の効率化が進展

OpenAIがResponses APIとエージェント構築ツールを発表、AIエージェント開発の...

OpenAIは2025年3月11日、開発者や企業向けに信頼性の高いエージェントを構築するためのResponses APIを発表した。Web検索やファイル検索などの組み込みツール、エージェントワークフロー管理用のAgents SDKも提供開始。これにより開発者は複数のAPIや外部ベンダーを統合する複雑さなしに、実用的なAIエージェントを効率的に構築できるようになる。

OpenAIがResponses APIとエージェント構築ツールを発表、AIエージェント開発の...

OpenAIは2025年3月11日、開発者や企業向けに信頼性の高いエージェントを構築するためのResponses APIを発表した。Web検索やファイル検索などの組み込みツール、エージェントワークフロー管理用のAgents SDKも提供開始。これにより開発者は複数のAPIや外部ベンダーを統合する複雑さなしに、実用的なAIエージェントを効率的に構築できるようになる。

AppleがiOS 18.3.2で重大なセキュリティ修正を実施、WebKitの脆弱性に対処し高度な攻撃から保護を強化

AppleがiOS 18.3.2で重大なセキュリティ修正を実施、WebKitの脆弱性に対処し高...

Appleは米国時間3月11日にiOS 18.3.2をリリースし、WebKitのサンドボックス脱出を可能にする重大な脆弱性に対処した。この更新はiOS 17.2で既にブロックされた攻撃への補完的な修正であり、特定の標的に対する極めて高度な攻撃で実際に悪用された可能性が報告されている。4月のiOS 18.4リリースを控えながらも、ユーザー保護を優先した緊急の対応となった。

AppleがiOS 18.3.2で重大なセキュリティ修正を実施、WebKitの脆弱性に対処し高...

Appleは米国時間3月11日にiOS 18.3.2をリリースし、WebKitのサンドボックス脱出を可能にする重大な脆弱性に対処した。この更新はiOS 17.2で既にブロックされた攻撃への補完的な修正であり、特定の標的に対する極めて高度な攻撃で実際に悪用された可能性が報告されている。4月のiOS 18.4リリースを控えながらも、ユーザー保護を優先した緊急の対応となった。

MicrosoftがTypeScriptコンパイラのGo言語移植を発表、処理速度が約10倍に向上へ

MicrosoftがTypeScriptコンパイラのGo言語移植を発表、処理速度が約10倍に向上へ

MicrosoftのテクニカルフェローでTypeScriptのリードアーキテクトのAnders Hejlsberg氏が、TypeScriptコンパイラをGo言語に移植するProject Corsaを発表した。コンパイラの処理速度が約10倍向上し、エディタの起動時間も8倍高速化される見込みだ。2025年中旬にコマンドライン版、年末に完全版のリリースを予定している。

MicrosoftがTypeScriptコンパイラのGo言語移植を発表、処理速度が約10倍に向上へ

MicrosoftのテクニカルフェローでTypeScriptのリードアーキテクトのAnders Hejlsberg氏が、TypeScriptコンパイラをGo言語に移植するProject Corsaを発表した。コンパイラの処理速度が約10倍向上し、エディタの起動時間も8倍高速化される見込みだ。2025年中旬にコマンドライン版、年末に完全版のリリースを予定している。

【CVE-2025-1510】WordPress用プラグインCustom Post Type Date Archivesに認証回避の脆弱性、任意のショートコード実行が可能に

【CVE-2025-1510】WordPress用プラグインCustom Post Type ...

WordfenceはWordPress用プラグインCustom Post Type Date Archivesのバージョン2.7.1以前に、認証なしで任意のショートコードが実行可能な脆弱性を発見した。CVSSスコア7.3のHigh評価で、攻撃者は認証不要でネットワークから攻撃可能。機密性や完全性、可用性への影響が懸念され、早急な対応が必要とされている。

【CVE-2025-1510】WordPress用プラグインCustom Post Type ...

WordfenceはWordPress用プラグインCustom Post Type Date Archivesのバージョン2.7.1以前に、認証なしで任意のショートコードが実行可能な脆弱性を発見した。CVSSスコア7.3のHigh評価で、攻撃者は認証不要でネットワークから攻撃可能。機密性や完全性、可用性への影響が懸念され、早急な対応が必要とされている。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による再帰的クローリングが可能に

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパラメータに深刻な影響

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパ...

Spanish National Cybersecurity Instituteは101newsバージョン1.0において、管理画面のcontactus.phpファイル内のpagetitleとpagedescriptionパラメータにSQLインジェクション脆弱性が存在することを発表した。CVSSスコア9.3のクリティカルな脆弱性として評価されており、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパ...

Spanish National Cybersecurity Instituteは101newsバージョン1.0において、管理画面のcontactus.phpファイル内のpagetitleとpagedescriptionパラメータにSQLインジェクション脆弱性が存在することを発表した。CVSSスコア9.3のクリティカルな脆弱性として評価されており、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、セキュアブート保護のバイパスの可能性

【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、...

Red Hat社が2025年3月3日、grub2のsquash4ファイルシステムモジュールに整数オーバーフローの脆弱性(CVE-2025-0678)を発見したことを公開した。バージョン0から2.12までが影響を受け、悪意のあるファイルシステムによってヒープベースのバッファオーバーフローが発生する可能性がある。この問題はgrubの重要な内部データの破壊やセキュアブート保護のバイパスにつながる危険性がある。

【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、...

Red Hat社が2025年3月3日、grub2のsquash4ファイルシステムモジュールに整数オーバーフローの脆弱性(CVE-2025-0678)を発見したことを公開した。バージョン0から2.12までが影響を受け、悪意のあるファイルシステムによってヒープベースのバッファオーバーフローが発生する可能性がある。この問題はgrubの重要な内部データの破壊やセキュアブート保護のバイパスにつながる危険性がある。

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカルな評価でセキュリティ対策が急務に

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカル...

Spanish National Cybersecurity Instituteは101newsのバージョン1.0にSQLインジェクション脆弱性を発見し公開した。CVSSスコア9.3のクリティカルな評価を受けたこの脆弱性は、search.phpのsearchtitleパラメータを介して攻撃が可能となっており、認証なしでリモートからの攻撃が可能。機密性、完全性、可用性のすべてに重大な影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカル...

Spanish National Cybersecurity Instituteは101newsのバージョン1.0にSQLインジェクション脆弱性を発見し公開した。CVSSスコア9.3のクリティカルな評価を受けたこの脆弱性は、search.phpのsearchtitleパラメータを介して攻撃が可能となっており、認証なしでリモートからの攻撃が可能。機密性、完全性、可用性のすべてに重大な影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完了しアップデート推奨

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-1900】PHPGurukul Restaurant Table Booking System 1.0にSQL injection脆弱性が発見、遠隔攻撃のリスクが深刻化

【CVE-2025-1900】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadd-table.phpファイルにSQL injection脆弱性が発見された。tableno引数の操作により遠隔からの攻撃が可能で、すでにエクスプロイトが公開されている。CVSS 4.0では6.9(MEDIUM)、CVSS 3.1および3.0では7.3(HIGH)と評価されており、早急な対応が必要とされている。影響を受けるバージョンは1.0で、VulDBユーザーのchenziによって報告されている。

【CVE-2025-1900】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadd-table.phpファイルにSQL injection脆弱性が発見された。tableno引数の操作により遠隔からの攻撃が可能で、すでにエクスプロイトが公開されている。CVSS 4.0では6.9(MEDIUM)、CVSS 3.1および3.0では7.3(HIGH)と評価されており、早急な対応が必要とされている。影響を受けるバージョンは1.0で、VulDBユーザーのchenziによって報告されている。

【CVE-2025-1894】PHPGurukul Restaurant Table Booking System 1.0にSQLインジェクションの脆弱性、情報漏洩のリスクに警戒

【CVE-2025-1894】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のsearch-result.phpファイルにSQLインジェクションの脆弱性が発見された。searchdataパラメータの不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSS 3.1で7.3(High)と評価されており、既に攻撃コードが公開されている可能性があるため、システム管理者による早急な対応が必要だ。

【CVE-2025-1894】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のsearch-result.phpファイルにSQLインジェクションの脆弱性が発見された。searchdataパラメータの不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSS 3.1で7.3(High)と評価されており、既に攻撃コードが公開されている可能性があるため、システム管理者による早急な対応が必要だ。

【CVE-2025-2132】ftcms 2.1のSearchコンポーネントにSQLインジェクションの脆弱性、ベンダー未対応で攻撃リスク増大

【CVE-2025-2132】ftcms 2.1のSearchコンポーネントにSQLインジェク...

ftcms 2.1のSearchコンポーネントにおいて、/admin/index.php/web/ajax_all_listsファイル内の未特定の機能でSQLインジェクションの脆弱性が発見された。CVSS 4.0でスコア5.1(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーは報告に対して未対応のため、早急なセキュリティパッチの提供が望まれる。

【CVE-2025-2132】ftcms 2.1のSearchコンポーネントにSQLインジェク...

ftcms 2.1のSearchコンポーネントにおいて、/admin/index.php/web/ajax_all_listsファイル内の未特定の機能でSQLインジェクションの脆弱性が発見された。CVSS 4.0でスコア5.1(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーは報告に対して未対応のため、早急なセキュリティパッチの提供が望まれる。

TOKAIコミュニケーションズがProxmoxVE採用の新プライベートクラウドサービスPracla(PVE)を提供開始、高コストパフォーマンスと高可用性を実現

TOKAIコミュニケーションズがProxmoxVE採用の新プライベートクラウドサービスPrac...

TOKAIコミュニケーションズは、InfiniCloud社のIaaS技術提供を受け、ProxmoxVEを採用した新プライベートクラウドサービス「Pracla(PVE)」の提供を開始した。オープンソースベースでベンダーロックインを排除した構成により高い費用対効果を実現し、HCIモデルのサーバ3台によるHA機能で高可用性を確保。データセンター内での運用により高い安全性と信頼性も担保している。

TOKAIコミュニケーションズがProxmoxVE採用の新プライベートクラウドサービスPrac...

TOKAIコミュニケーションズは、InfiniCloud社のIaaS技術提供を受け、ProxmoxVEを採用した新プライベートクラウドサービス「Pracla(PVE)」の提供を開始した。オープンソースベースでベンダーロックインを排除した構成により高い費用対効果を実現し、HCIモデルのサーバ3台によるHA機能で高可用性を確保。データセンター内での運用により高い安全性と信頼性も担保している。

【CVE-2025-1589】SourceCodester E-Learning System 1.0にXSS脆弱性、リモート攻撃のリスクが明らかに

【CVE-2025-1589】SourceCodester E-Learning System...

SourceCodester E-Learning System 1.0のregister.phpファイルにおいて、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり特別な権限も必要としない。この脆弱性はCWE-79およびCWE-94に分類され、情報の整合性に影響を与える可能性がある。早急な対策が求められている。

【CVE-2025-1589】SourceCodester E-Learning System...

SourceCodester E-Learning System 1.0のregister.phpファイルにおいて、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり特別な権限も必要としない。この脆弱性はCWE-79およびCWE-94に分類され、情報の整合性に影響を与える可能性がある。早急な対策が求められている。