Tech Insights

【CVE-2025-1905】SourceCodester Employee Management System 1.0にXSS脆弱性、従業員情報の改ざんリスクが浮上

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

【CVE-2025-1891】shishuocms 1.1でCSRF脆弱性を発見、リモート攻撃のリスクで対策が急務に

【CVE-2025-1891】shishuocms 1.1でCSRF脆弱性を発見、リモート攻撃...

コンテンツ管理システムshishuocms 1.1にクロスサイトリクエストフォージェリの脆弱性が発見された。CVE-2025-1891として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1891】shishuocms 1.1でCSRF脆弱性を発見、リモート攻撃...

コンテンツ管理システムshishuocms 1.1にクロスサイトリクエストフォージェリの脆弱性が発見された。CVE-2025-1891として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱性、リモートからの攻撃に注意

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱...

CMSプラットフォームshishuocms 1.1のディレクトリ削除機能に深刻な脆弱性が発見された。CVE-2025-1892として登録されたこの脆弱性は、folderName引数の操作によりクロスサイトスクリプティング攻撃が可能となる。CVSSスコア4.8で評価され、既に公開されているため早急な対応が必要。特権アカウントを狙った攻撃の可能性が指摘されている。

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱...

CMSプラットフォームshishuocms 1.1のディレクトリ削除機能に深刻な脆弱性が発見された。CVE-2025-1892として登録されたこの脆弱性は、folderName引数の操作によりクロスサイトスクリプティング攻撃が可能となる。CVSSスコア4.8で評価され、既に公開されているため早急な対応が必要。特権アカウントを狙った攻撃の可能性が指摘されている。

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザーによるプラグイン無効化の危険性が発覚

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザ...

資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン0.72から10.0.18未満に重大な脆弱性が発見された。この脆弱性により、匿名ユーザーが管理者権限なしで全てのアクティブなプラグインを無効化できる状態となっている。CVSSスコアは6.9(MEDIUM)と評価されており、早急なバージョン10.0.18へのアップデートが推奨されている。

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザ...

資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン0.72から10.0.18未満に重大な脆弱性が発見された。この脆弱性により、匿名ユーザーが管理者権限なしで全てのアクティブなプラグインを無効化できる状態となっている。CVSSスコアは6.9(MEDIUM)と評価されており、早急なバージョン10.0.18へのアップデートが推奨されている。

【CVE-2024-58048】HarmonyOS 5.0.0にマルチスレッド関連の脆弱性、パッケージ管理モジュールの可用性に影響のおそれ

【CVE-2024-58048】HarmonyOS 5.0.0にマルチスレッド関連の脆弱性、パ...

Huawei TechnologiesがHarmonyOS 5.0.0のパッケージ管理モジュールにおいて、マルチスレッドに関連する脆弱性を発見した。CVE-2024-58048として特定されたこの脆弱性は、共有リソースの同期処理の不備による競合状態の問題で、CVSS v3.1で深刻度6.7(MEDIUM)と評価されている。攻撃者がローカルから高権限アクセスにより悪用した場合、システムの可用性に影響を与える可能性がある。

【CVE-2024-58048】HarmonyOS 5.0.0にマルチスレッド関連の脆弱性、パ...

Huawei TechnologiesがHarmonyOS 5.0.0のパッケージ管理モジュールにおいて、マルチスレッドに関連する脆弱性を発見した。CVE-2024-58048として特定されたこの脆弱性は、共有リソースの同期処理の不備による競合状態の問題で、CVSS v3.1で深刻度6.7(MEDIUM)と評価されている。攻撃者がローカルから高権限アクセスにより悪用した場合、システムの可用性に影響を与える可能性がある。

【CVE-2025-27219】RubyのCGI gemにDoS脆弱性が発見、リソース制限の欠如により可用性低下のリスクが浮上

【CVE-2025-27219】RubyのCGI gemにDoS脆弱性が発見、リソース制限の欠...

RubyのCGI gemにおいて、Cookie処理時のリソース制限が実装されていない重大な脆弱性が発見された。CVE-2025-27219として識別されるこの脆弱性は、バージョン0.4.2未満に影響を与え、攻撃者が巨大なCookieを送信することでサーバーのリソースを枯渇させ、サービスの可用性を低下させる可能性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2025-27219】RubyのCGI gemにDoS脆弱性が発見、リソース制限の欠...

RubyのCGI gemにおいて、Cookie処理時のリソース制限が実装されていない重大な脆弱性が発見された。CVE-2025-27219として識別されるこの脆弱性は、バージョン0.4.2未満に影響を与え、攻撃者が巨大なCookieを送信することでサーバーのリソースを枯渇させ、サービスの可用性を低下させる可能性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が推奨される。

GoogleがChrome 134の安定版アップデートを公開、V8エンジンの重大な脆弱性に対処

GoogleがChrome 134の安定版アップデートを公開、V8エンジンの重大な脆弱性に対処

GoogleはChrome 134の安定版アップデートを公開し、Windows、Mac、Linux向けに新バージョンを展開。V8エンジンのOut of bounds読み取りなど14件のセキュリティ脆弱性を修正。最も深刻な脆弱性の発見者には7000ドルの報奨金を支払い、DevToolsやプロファイル機能など様々なコンポーネントの改善も実施された。

GoogleがChrome 134の安定版アップデートを公開、V8エンジンの重大な脆弱性に対処

GoogleはChrome 134の安定版アップデートを公開し、Windows、Mac、Linux向けに新バージョンを展開。V8エンジンのOut of bounds読み取りなど14件のセキュリティ脆弱性を修正。最も深刻な脆弱性の発見者には7000ドルの報奨金を支払い、DevToolsやプロファイル機能など様々なコンポーネントの改善も実施された。

【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプティングの脆弱性が発見、中程度の深刻度で対応が必要に

【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプ...

セキュリティ研究機関VulDBは、FastCMSのバージョン0.1.5以前に存在するクロスサイトスクリプティング脆弱性を公開した。Template Menuコンポーネントに影響を与えるこの脆弱性は、リモートからの攻撃が可能でCVSSスコア4.8を記録。高い特権レベルと利用者の操作を必要とするものの、情報の整合性への影響が懸念される。影響を受けるバージョンは0.1.0から0.1.5まで。

【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプ...

セキュリティ研究機関VulDBは、FastCMSのバージョン0.1.5以前に存在するクロスサイトスクリプティング脆弱性を公開した。Template Menuコンポーネントに影響を与えるこの脆弱性は、リモートからの攻撃が可能でCVSSスコア4.8を記録。高い特権レベルと利用者の操作を必要とするものの、情報の整合性への影響が懸念される。影響を受けるバージョンは0.1.0から0.1.5まで。

【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーによる任意のクエリ実行が可能に

【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーに...

GitHubがWeGIAのdelete_documento.phpエンドポイントにおけるSQLインジェクションの脆弱性を公開した。CVSS 4.0で9.4(Critical)を記録する深刻な脆弱性で、認証済みユーザーによる任意のSQLクエリ実行が可能。開発元のLabRedesCefetRJはバージョン3.2.14で修正対応を実施しており、影響を受けるバージョンのユーザーには早急なアップグレードが推奨される。

【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーに...

GitHubがWeGIAのdelete_documento.phpエンドポイントにおけるSQLインジェクションの脆弱性を公開した。CVSS 4.0で9.4(Critical)を記録する深刻な脆弱性で、認証済みユーザーによる任意のSQLクエリ実行が可能。開発元のLabRedesCefetRJはバージョン3.2.14で修正対応を実施しており、影響を受けるバージョンのユーザーには早急なアップグレードが推奨される。

【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2.13で修正完了

【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2....

オープンソースWeb管理システムWeGIAのinformacao_adicional.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSSスコア10.0の重大な脆弱性で、任意のSQLクエリ実行による機密情報への不正アクセスが可能となる。開発元は既にバージョン3.2.13で修正を完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2....

オープンソースWeb管理システムWeGIAのinformacao_adicional.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSSスコア10.0の重大な脆弱性で、任意のSQLクエリ実行による機密情報への不正アクセスが可能となる。開発元は既にバージョン3.2.13で修正を完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

Thunderbird v136.0が月次アップデートに移行、新機能の迅速な提供体制を強化

Thunderbird v136.0が月次アップデートに移行、新機能の迅速な提供体制を強化

オープンソースのメールソフト「Thunderbird」v136.0が2025年3月4日にリリースされ、既定のリリースチャネルがESRからReleaseへと変更された。月次アップデートにより新機能の提供が迅速化され、ダークモード対応の強化やAppearance設定UIの追加など、ユーザビリティの向上が図られている。セキュリティ面では11件の修正が実施され、より安全な利用環境が整備された。

Thunderbird v136.0が月次アップデートに移行、新機能の迅速な提供体制を強化

オープンソースのメールソフト「Thunderbird」v136.0が2025年3月4日にリリースされ、既定のリリースチャネルがESRからReleaseへと変更された。月次アップデートにより新機能の提供が迅速化され、ダークモード対応の強化やAppearance設定UIの追加など、ユーザビリティの向上が図られている。セキュリティ面では11件の修正が実施され、より安全な利用環境が整備された。

【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリスクで即時アップデートを推奨

【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリス...

ポルトガル語圏向け医療機関管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性が発見された。historico_paciente.phpエンドポイントに存在するこの脆弱性は、CVSSスコア10.0を記録する深刻な問題で、攻撃者による患者情報への不正アクセスを許す可能性がある。開発元は対策版となるバージョン3.2.14をリリースし、全ユーザーに対して早急なアップグレードを推奨している。

【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリス...

ポルトガル語圏向け医療機関管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性が発見された。historico_paciente.phpエンドポイントに存在するこの脆弱性は、CVSSスコア10.0を記録する深刻な問題で、攻撃者による患者情報への不正アクセスを許す可能性がある。開発元は対策版となるバージョン3.2.14をリリースし、全ユーザーに対して早急なアップグレードを推奨している。

【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグレードで対策必要

【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグ...

GitHubは2025年2月18日、ポルトガル語圏向けのオープンソースWeb管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性を公開した。CVSSスコア9.4のクリティカルな評価を受けたこの脆弱性は、認証済み攻撃者による任意のSQLクエリ実行を許可してしまう。影響を受けるバージョン3.2.13未満のユーザーは、早急な最新版へのアップグレードが推奨される。

【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグ...

GitHubは2025年2月18日、ポルトガル語圏向けのオープンソースWeb管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性を公開した。CVSSスコア9.4のクリティカルな評価を受けたこの脆弱性は、認証済み攻撃者による任意のSQLクエリ実行を許可してしまう。影響を受けるバージョン3.2.13未満のユーザーは、早急な最新版へのアップグレードが推奨される。

【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、設定ファイルなど重要情報漏洩の危険性

【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、...

サイバー実験とシミュレーション向けフレームワークGHOSTSにおいて、深刻なパストラバーサル脆弱性が発見された。version 8.0.0.0から8.2.7.90未満のバージョンで、NPCプロファイル写真取得エンドポイントのファイルパス検証が不適切であり、任意のファイルへのアクセスが可能となっている。CVSSスコア8.7の高リスク脆弱性として、早急なアップデートが推奨される。

【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、...

サイバー実験とシミュレーション向けフレームワークGHOSTSにおいて、深刻なパストラバーサル脆弱性が発見された。version 8.0.0.0から8.2.7.90未満のバージョンで、NPCプロファイル写真取得エンドポイントのファイルパス検証が不適切であり、任意のファイルへのアクセスが可能となっている。CVSSスコア8.7の高リスク脆弱性として、早急なアップデートが推奨される。

【CVE-2025-1581】PHPGurukul Online Nurse Hiring Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-1581】PHPGurukul Online Nurse Hiring S...

PHPGurukul Online Nurse Hiring System 1.0のbook-nurse.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価されており、リモートからの攻撃が可能な状態。脆弱性はcontactname引数の操作により発生し、攻撃手法も公開済み。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、早急な対応が必要とされている。

【CVE-2025-1581】PHPGurukul Online Nurse Hiring S...

PHPGurukul Online Nurse Hiring System 1.0のbook-nurse.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価されており、リモートからの攻撃が可能な状態。脆弱性はcontactname引数の操作により発生し、攻撃手法も公開済み。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、早急な対応が必要とされている。

【CVE-2025-1579】code-projects Blood Bank System 1.0にXSS脆弱性、医療データ保護の観点から対応急務に

【CVE-2025-1579】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のadmin/user.phpファイルにおいて、emailパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア4.8のMedium評価とされており、高い権限レベルは必要であるものの攻撃条件の複雑さは低く、既に一般に公開されている。医療情報を扱うシステムであることから、早急な対応が求められている。

【CVE-2025-1579】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のadmin/user.phpファイルにおいて、emailパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア4.8のMedium評価とされており、高い権限レベルは必要であるものの攻撃条件の複雑さは低く、既に一般に公開されている。医療情報を扱うシステムであることから、早急な対応が求められている。

【CVE-2025-1592】SourceCodester Best Employee Management System 1.0にXSS脆弱性、管理者画面での特権昇格のリスクに警戒

【CVE-2025-1592】SourceCodester Best Employee Man...

VulDBが2025年2月23日、SourceCodester Best Employee Management System 1.0の管理者画面Role.phpにクロスサイトスクリプティング脆弱性を発見したと報告。assign_name/descriptionパラメータの不適切な処理により、リモートからの攻撃が可能。CVSSスコア4.8のMedium評価だが、管理者権限での操作を必要とする特権昇格の可能性があり、早急な対応が求められる。

【CVE-2025-1592】SourceCodester Best Employee Man...

VulDBが2025年2月23日、SourceCodester Best Employee Management System 1.0の管理者画面Role.phpにクロスサイトスクリプティング脆弱性を発見したと報告。assign_name/descriptionパラメータの不適切な処理により、リモートからの攻撃が可能。CVSSスコア4.8のMedium評価だが、管理者権限での操作を必要とする特権昇格の可能性があり、早急な対応が求められる。

【CVE-2025-1596】SourceCodester Best Church Management Software 1.0にSQL injection脆弱性、深刻な情報漏洩のリスクが発生

【CVE-2025-1596】SourceCodester Best Church Manag...

VulDBが2025年2月23日、SourceCodester Best Church Management Software 1.0のfpassword.phpファイルに重大なSQL injection脆弱性を発見したことを公表した。この脆弱性はCVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特別な権限も必要としない。既に一般公開されており、早急な対策が求められている。ベンダーからの応答が得られていない状況も相まって、深刻な事態となっている。

【CVE-2025-1596】SourceCodester Best Church Manag...

VulDBが2025年2月23日、SourceCodester Best Church Management Software 1.0のfpassword.phpファイルに重大なSQL injection脆弱性を発見したことを公表した。この脆弱性はCVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特別な権限も必要としない。既に一般公開されており、早急な対策が求められている。ベンダーからの応答が得られていない状況も相まって、深刻な事態となっている。

【CVE-2025-23046】GLPIのOauthIMAP認証に深刻な脆弱性、バージョン10.0.18で修正完了

【CVE-2025-23046】GLPIのOauthIMAP認証に深刻な脆弱性、バージョン10...

資産およびIT管理ソフトウェアGLPIにおいて、OauthIMAPプラグインを使用したメールサーバー認証に重大な脆弱性が発見された。バージョン9.5.0から10.0.18未満が影響を受け、既存のOauth認証情報を不正利用した接続が可能となる問題が確認されている。開発チームは迅速な対応を行い、バージョン10.0.18でパッチを提供。CVSSスコア6.3の中程度の深刻度だが、認証に関わる重要な脆弱性として早急な対応が推奨される。

【CVE-2025-23046】GLPIのOauthIMAP認証に深刻な脆弱性、バージョン10...

資産およびIT管理ソフトウェアGLPIにおいて、OauthIMAPプラグインを使用したメールサーバー認証に重大な脆弱性が発見された。バージョン9.5.0から10.0.18未満が影響を受け、既存のOauth認証情報を不正利用した接続が可能となる問題が確認されている。開発チームは迅速な対応を行い、バージョン10.0.18でパッチを提供。CVSSスコア6.3の中程度の深刻度だが、認証に関わる重要な脆弱性として早急な対応が推奨される。

【CVE-2025-24301】OpenHarmony v5.0.2にUAF脆弱性が発見、プリインストールアプリに影響

【CVE-2025-24301】OpenHarmony v5.0.2にUAF脆弱性が発見、プリ...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Use After Free(UAF)の脆弱性が発見された。この脆弱性はCVE-2025-24301として識別され、v4.1.0からv5.0.2までのバージョンに影響を与える。プリインストールアプリケーションでの任意コード実行のリスクがあるものの、CVSSスコアは3.8(Low)で、特権が必要な制限されたシナリオでのみ悪用可能とされている。

【CVE-2025-24301】OpenHarmony v5.0.2にUAF脆弱性が発見、プリ...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Use After Free(UAF)の脆弱性が発見された。この脆弱性はCVE-2025-24301として識別され、v4.1.0からv5.0.2までのバージョンに影響を与える。プリインストールアプリケーションでの任意コード実行のリスクがあるものの、CVSSスコアは3.8(Low)で、特権が必要な制限されたシナリオでのみ悪用可能とされている。

【CVE-2025-23418】OpenHarmony v5.0.2でOut-of-bounds読み取りの脆弱性が発見、DoS攻撃のリスクに対応急ぐ

【CVE-2025-23418】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Out-of-bounds読み取りの脆弱性(CVE-2025-23418)が発見された。この脆弱性は、ローカル攻撃者によるDoS攻撃を可能にする恐れがあり、v4.1.0からv5.0.2までのバージョンが影響を受ける。CVSSスコアは3.3(Low)と評価されているが、システムの可用性に直接的な影響を与える可能性があるため、早急な対応が推奨される。

【CVE-2025-23418】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Out-of-bounds読み取りの脆弱性(CVE-2025-23418)が発見された。この脆弱性は、ローカル攻撃者によるDoS攻撃を可能にする恐れがあり、v4.1.0からv5.0.2までのバージョンが影響を受ける。CVSSスコアは3.3(Low)と評価されているが、システムの可用性に直接的な影響を与える可能性があるため、早急な対応が推奨される。

【CVE-2025-22837】OpenHarmony v5.0.2にNULLポインタ参照の脆弱性、サービス拒否攻撃のリスクに警鐘

【CVE-2025-22837】OpenHarmony v5.0.2にNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeにNULLポインタ参照の脆弱性が存在することを公開した。CVE-2025-22837として識別されたこの脆弱性は、CVSSスコア3.3(LOW)と評価され、ローカル攻撃者によるサービス拒否攻撃のリスクが指摘されている。特にv4.1.0からv5.0.2までの広範なバージョンに影響を及ぼすことが判明している。

【CVE-2025-22837】OpenHarmony v5.0.2にNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeにNULLポインタ参照の脆弱性が存在することを公開した。CVE-2025-22837として識別されたこの脆弱性は、CVSSスコア3.3(LOW)と評価され、ローカル攻撃者によるサービス拒否攻撃のリスクが指摘されている。特にv4.1.0からv5.0.2までの広範なバージョンに影響を及ぼすことが判明している。

【CVE-2025-1583】PHPGurukul Online Nurse Hiring Systemにおける重大な脆弱性、管理者機能に深刻な影響

【CVE-2025-1583】PHPGurukul Online Nurse Hiring S...

医療従事者の採用管理システムPHPGurukul Online Nurse Hiring System 1.0において、管理者用ファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1583として識別されるこの脆弱性は、CVSS 3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能であることから、早急な対応が求められている。脆弱性は一般に公開されており、攻撃コードも利用可能な状態となっている。

【CVE-2025-1583】PHPGurukul Online Nurse Hiring S...

医療従事者の採用管理システムPHPGurukul Online Nurse Hiring System 1.0において、管理者用ファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1583として識別されるこの脆弱性は、CVSS 3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能であることから、早急な対応が求められている。脆弱性は一般に公開されており、攻撃コードも利用可能な状態となっている。

【CVE-2025-26803】Phusion Passenger 6.0.21-6.0.25にDoS脆弱性、HTTPパーサーの不具合で正常動作に影響

【CVE-2025-26803】Phusion Passenger 6.0.21-6.0.25...

Phusion PassengerのHTTPパーサーに深刻な脆弱性が発見された。CVE-2025-26803として報告されたこの問題は、無効なHTTPメソッドを含むリクエストの解析時にサービス拒否状態を引き起こす可能性がある。CVSSスコア5.3(MEDIUM)と評価され、バージョン6.0.21から6.0.25が影響を受ける。Phusion社は対策版となるバージョン6.0.26を公開し、脆弱性に対応している。

【CVE-2025-26803】Phusion Passenger 6.0.21-6.0.25...

Phusion PassengerのHTTPパーサーに深刻な脆弱性が発見された。CVE-2025-26803として報告されたこの問題は、無効なHTTPメソッドを含むリクエストの解析時にサービス拒否状態を引き起こす可能性がある。CVSSスコア5.3(MEDIUM)と評価され、バージョン6.0.21から6.0.25が影響を受ける。Phusion社は対策版となるバージョン6.0.26を公開し、脆弱性に対応している。

【CVE-2025-27140】WeGIAにOSコマンドインジェクションの脆弱性、慈善団体向けWebマネージャーのセキュリティに警鐘

【CVE-2025-27140】WeGIAにOSコマンドインジェクションの脆弱性、慈善団体向け...

慈善団体向けWebマネージャーWeGIAのバージョン3.2.15未満において、importar_dump.phpエンドポイントにOSコマンドインジェクションの脆弱性が発見された。CVSSスコア10.0の最も深刻なレベルに分類され、リモートでの任意コード実行やWebシェルのアップロードが可能となっている。特別な権限やユーザー操作が不要であり、早急な対応が求められる。

【CVE-2025-27140】WeGIAにOSコマンドインジェクションの脆弱性、慈善団体向け...

慈善団体向けWebマネージャーWeGIAのバージョン3.2.15未満において、importar_dump.phpエンドポイントにOSコマンドインジェクションの脆弱性が発見された。CVSSスコア10.0の最も深刻なレベルに分類され、リモートでの任意コード実行やWebシェルのアップロードが可能となっている。特別な権限やユーザー操作が不要であり、早急な対応が求められる。

【CVE-2025-1606】Best Employee Management Systemに情報漏洩の脆弱性、対応の遅れで懸念拡大

【CVE-2025-1606】Best Employee Management Systemに...

SourceCodester社のBest Employee Management System 1.0において、バックアップ機能に情報漏洩の脆弱性が発見された。/admin/backup/backups.phpファイルの実装に問題があり、リモートからの攻撃により機密情報が漏洩する可能性がある。CVSSスコアは中程度だが、既に脆弱性の詳細が公開されており、早急な対応が求められている。

【CVE-2025-1606】Best Employee Management Systemに...

SourceCodester社のBest Employee Management System 1.0において、バックアップ機能に情報漏洩の脆弱性が発見された。/admin/backup/backups.phpファイルの実装に問題があり、リモートからの攻撃により機密情報が漏洩する可能性がある。CVSSスコアは中程度だが、既に脆弱性の詳細が公開されており、早急な対応が求められている。

【CVE-2025-27146】matrix-appservice-irc 3.0.3にIRCコマンドインジェクションの脆弱性、3.0.4で修正完了

【CVE-2025-27146】matrix-appservice-irc 3.0.3にIRC...

GitHubは2025年2月25日、Node.js向けIRCブリッジソフトウェアのmatrix-appservice-ircにおいて、バージョン3.0.3以前に深刻な脆弱性が存在することを公表した。この脆弱性により、攻撃者は操作対象のIRCユーザーとして任意のコマンドを実行可能。CVSSスコアは2.7(LOW)と評価されており、matrix-org社は既にバージョン3.0.4でパッチを適用済みだ。

【CVE-2025-27146】matrix-appservice-irc 3.0.3にIRC...

GitHubは2025年2月25日、Node.js向けIRCブリッジソフトウェアのmatrix-appservice-ircにおいて、バージョン3.0.3以前に深刻な脆弱性が存在することを公表した。この脆弱性により、攻撃者は操作対象のIRCユーザーとして任意のコマンドを実行可能。CVSSスコアは2.7(LOW)と評価されており、matrix-org社は既にバージョン3.0.4でパッチを適用済みだ。

【CVE-2025-1674】ZephyrプロジェクトがDNSパケット処理の脆弱性を公開、境界外読み取りのリスクに注意

【CVE-2025-1674】ZephyrプロジェクトがDNSパケット処理の脆弱性を公開、境界...

ZephyrプロジェクトがCVE-2025-1674として、DNSパケット処理における境界外読み取りの脆弱性を公開した。CVSSスコア8.2の高リスク脆弱性で、Zephyr 4.0までのバージョンが影響を受ける。悪意のあるパケットや不正な形式のパケットにより、情報漏洩やシステムクラッシュのリスクが指摘されている。組み込みシステムのセキュリティ対策として早急な対応が求められる。

【CVE-2025-1674】ZephyrプロジェクトがDNSパケット処理の脆弱性を公開、境界...

ZephyrプロジェクトがCVE-2025-1674として、DNSパケット処理における境界外読み取りの脆弱性を公開した。CVSSスコア8.2の高リスク脆弱性で、Zephyr 4.0までのバージョンが影響を受ける。悪意のあるパケットや不正な形式のパケットにより、情報漏洩やシステムクラッシュのリスクが指摘されている。組み込みシステムのセキュリティ対策として早急な対応が求められる。

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Runtimeに境界外読み取りの脆弱性、v4.1.0からv5.0.2まで影響

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおいて境界外読み取りの脆弱性を公開した。CVE-2025-20021として識別されるこの脆弱性は、バージョンv4.1.0からv5.0.2まで影響を与え、ローカル環境でのDoS攻撃のリスクが存在する。CVSS v3.1で3.3(LOW)と評価されており、早急な対応が推奨される。

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおいて境界外読み取りの脆弱性を公開した。CVE-2025-20021として識別されるこの脆弱性は、バージョンv4.1.0からv5.0.2まで影響を与え、ローカル環境でのDoS攻撃のリスクが存在する。CVSS v3.1で3.3(LOW)と評価されており、早急な対応が推奨される。

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見、Dsoftbusモジュールでメモリ管理に問題

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...

OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...

OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。