Tech Insights

【CVE-2024-58036】Net::Dropbox::API 1.9に深刻な暗号化の脆弱性、非セキュアな乱数生成処理が問題に

【CVE-2024-58036】Net::Dropbox::API 1.9に深刻な暗号化の脆弱...

CPAN Security Groupが2025年4月5日、Net::Dropbox::API 1.9およびそれ以前のバージョンにおける重要な脆弱性を公開した。暗号化機能に非セキュアなrand()関数が使用されており、CVE-2024-58036として識別される本脆弱性はCVSSスコア5.5のMEDIUMレベルと評価されている。影響範囲はバージョン0から1.9までのすべてのNet::Dropbox::APIに及び、早急な対応が求められる。

【CVE-2024-58036】Net::Dropbox::API 1.9に深刻な暗号化の脆弱...

CPAN Security Groupが2025年4月5日、Net::Dropbox::API 1.9およびそれ以前のバージョンにおける重要な脆弱性を公開した。暗号化機能に非セキュアなrand()関数が使用されており、CVE-2024-58036として識別される本脆弱性はCVSSスコア5.5のMEDIUMレベルと評価されている。影響範囲はバージョン0から1.9までのすべてのNet::Dropbox::APIに及び、早急な対応が求められる。

【CVE-2025-31693】DrupalのAIモジュールにOSコマンドインジェクションの脆弱性、バージョン1.0.5未満に影響

【CVE-2025-31693】DrupalのAIモジュールにOSコマンドインジェクションの脆...

Drupal.orgは2025年3月31日、AIモジュールにOSコマンドインジェクションの脆弱性が存在することを公表した。バージョン0.0.0から1.0.5未満が影響を受け、CVSSスコア6.6のMedium深刻度と評価されている。Drew Webber氏とMarcus Johansson氏により発見・修正され、SA-CONTRIB-2025-022として公開された。影響を受けるユーザーには早急なアップデートが推奨される。

【CVE-2025-31693】DrupalのAIモジュールにOSコマンドインジェクションの脆...

Drupal.orgは2025年3月31日、AIモジュールにOSコマンドインジェクションの脆弱性が存在することを公表した。バージョン0.0.0から1.0.5未満が影響を受け、CVSSスコア6.6のMedium深刻度と評価されている。Drew Webber氏とMarcus Johansson氏により発見・修正され、SA-CONTRIB-2025-022として公開された。影響を受けるユーザーには早急なアップデートが推奨される。

あおぞら銀行とneoAIが金融特化型LLMを開発、行内ベンチマークで応答精度が従来比130%に向上

あおぞら銀行とneoAIが金融特化型LLMを開発、行内ベンチマークで応答精度が従来比130%に向上

あおぞら銀行とneoAIが、行内データで学習した大規模言語モデル「あおぞらLLM」を開発した。オンプレミス環境での次期AI基盤構築プロジェクトの一環として、法人・リテール業務の事務規定管理業務を想定したベンチマークで従来比130%の応答精度を達成。行内固有用語の認識精度向上や融資業務全体の体系的な把握が可能になった。

あおぞら銀行とneoAIが金融特化型LLMを開発、行内ベンチマークで応答精度が従来比130%に向上

あおぞら銀行とneoAIが、行内データで学習した大規模言語モデル「あおぞらLLM」を開発した。オンプレミス環境での次期AI基盤構築プロジェクトの一環として、法人・リテール業務の事務規定管理業務を想定したベンチマークで従来比130%の応答精度を達成。行内固有用語の認識精度向上や融資業務全体の体系的な把握が可能になった。

【CVE-2025-1762】Event Tickets with Ticket Scannerにチケット削除の脆弱性、CSRF対策の不備で管理者権限での不正操作が可能に

【CVE-2025-1762】Event Tickets with Ticket Scanne...

WordPressプラグイン「Event Tickets with Ticket Scanner」にCSRF攻撃による設定変更の脆弱性が発見された。バージョン2.5.4未満が影響を受け、CVSSスコアは4.3(MEDIUM)と評価されている。攻撃者は認証済み管理者に対してCSRF攻撃を実行することで任意のチケット削除が可能となる。この脆弱性は設定更新時のCSRFチェックが実装されていないことに起因している。

【CVE-2025-1762】Event Tickets with Ticket Scanne...

WordPressプラグイン「Event Tickets with Ticket Scanner」にCSRF攻撃による設定変更の脆弱性が発見された。バージョン2.5.4未満が影響を受け、CVSSスコアは4.3(MEDIUM)と評価されている。攻撃者は認証済み管理者に対してCSRF攻撃を実行することで任意のチケット削除が可能となる。この脆弱性は設定更新時のCSRFチェックが実装されていないことに起因している。

【CVE-2025-3337】codeprojects Online Restaurant Management Systemに深刻なSQL injection脆弱性、リモート攻撃のリスクが浮上

【CVE-2025-3337】codeprojects Online Restaurant M...

codeprojects Online Restaurant Management System 1.0のmember_update.phpファイルにSQL injection脆弱性が発見された。CVE-2025-3337として識別されるこの脆弱性は、ID引数の不適切な処理により発生し、リモートからの攻撃が可能。CVSSスコアは最大7.3(HIGH)で、システムの機密性、完全性、可用性に影響を及ぼす可能性がある。すでに一般公開されており、早急な対応が求められる。

【CVE-2025-3337】codeprojects Online Restaurant M...

codeprojects Online Restaurant Management System 1.0のmember_update.phpファイルにSQL injection脆弱性が発見された。CVE-2025-3337として識別されるこの脆弱性は、ID引数の不適切な処理により発生し、リモートからの攻撃が可能。CVSSスコアは最大7.3(HIGH)で、システムの機密性、完全性、可用性に影響を及ぼす可能性がある。すでに一般公開されており、早急な対応が求められる。

シムトップスがi-ReporterのMySQL連携機能をリリース、ノーコードでのシステム間連携が実現へ

シムトップスがi-ReporterのMySQL連携機能をリリース、ノーコードでのシステム間連携...

株式会社シムトップスは2025年4月16日、現場帳票ペーパーレスソリューション「i-Reporter」と外部システムの連携を実現する「i-Repo Link」の新機能としてMySQL連携機能をリリースした。プログラミング不要でMySQLとの連携が可能になり、自動帳票作成や入力結果の登録、データ取得などの機能を実装できる。製造指示情報や出荷指示情報など、様々な業務データの連携に対応している。

シムトップスがi-ReporterのMySQL連携機能をリリース、ノーコードでのシステム間連携...

株式会社シムトップスは2025年4月16日、現場帳票ペーパーレスソリューション「i-Reporter」と外部システムの連携を実現する「i-Repo Link」の新機能としてMySQL連携機能をリリースした。プログラミング不要でMySQLとの連携が可能になり、自動帳票作成や入力結果の登録、データ取得などの機能を実装できる。製造指示情報や出荷指示情報など、様々な業務データの連携に対応している。

【CVE-2025-3195】itsourcecodeのOnline Blood Bank Management System 1.0にSQLインジェクションの脆弱性、医療データ漏洩のリスクに警戒

【CVE-2025-3195】itsourcecodeのOnline Blood Bank M...

itsourcecodeが開発したOnline Blood Bank Management System 1.0のbbms.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3を記録し、リモートからの攻撃が可能で特別な権限も不要とされている。すでに脆弱性は公開されており、医療データの漏洩リスクが指摘されているため、早急な対応が求められる。

【CVE-2025-3195】itsourcecodeのOnline Blood Bank M...

itsourcecodeが開発したOnline Blood Bank Management System 1.0のbbms.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3を記録し、リモートからの攻撃が可能で特別な権限も不要とされている。すでに脆弱性は公開されており、医療データの漏洩リスクが指摘されているため、早急な対応が求められる。

【CVE-2025-3188】PHPGurukul e-Diary Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2025-3188】PHPGurukul e-Diary Management Sy...

PHPGurukulのe-Diary Management System 1.0において、add-notes.phpのCategory引数にSQLインジェクションの脆弱性が発見された。CVE-2025-3188として登録されたこの脆弱性は、CVSSスコアでv4.0で6.9(MEDIUM)、v3.1で7.3(HIGH)と評価されている。リモートから認証なしで攻撃可能であり、既に攻撃手法が公開されているため、早急な対策が求められる状況となっている。

【CVE-2025-3188】PHPGurukul e-Diary Management Sy...

PHPGurukulのe-Diary Management System 1.0において、add-notes.phpのCategory引数にSQLインジェクションの脆弱性が発見された。CVE-2025-3188として登録されたこの脆弱性は、CVSSスコアでv4.0で6.9(MEDIUM)、v3.1で7.3(HIGH)と評価されている。リモートから認証なしで攻撃可能であり、既に攻撃手法が公開されているため、早急な対策が求められる状況となっている。

【CVE-2025-3305】IKUN_Library 1.0に不適切なアクセス制御の脆弱性、リモートからの攻撃が可能に

【CVE-2025-3305】IKUN_Library 1.0に不適切なアクセス制御の脆弱性、...

code-projectsが提供するIKUN_Library 1.0のMvcConfig.javaファイルにおいて、Borrow HandlerコンポーネントのaddInterceptors関数に不適切なアクセス制御の脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている状態。CWE-284とCWE-266に分類される本脆弱性への早急な対応が求められている。

【CVE-2025-3305】IKUN_Library 1.0に不適切なアクセス制御の脆弱性、...

code-projectsが提供するIKUN_Library 1.0のMvcConfig.javaファイルにおいて、Borrow HandlerコンポーネントのaddInterceptors関数に不適切なアクセス制御の脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている状態。CWE-284とCWE-266に分類される本脆弱性への早急な対応が求められている。

【CVE-2025-29482】libheif 1.19.7にバッファオーバーフロー脆弱性、ローカル環境での任意コード実行のリスクが判明

【CVE-2025-29482】libheif 1.19.7にバッファオーバーフロー脆弱性、ロ...

MITREがlibheif 1.19.7においてバッファオーバーフローの脆弱性を発見し公開した。CVE-2025-29482として識別されるこの脆弱性は、libde265のSAO処理において任意のコード実行を可能とする問題を含んでおり、CVSSスコア6.2(MEDIUM)と評価されている。攻撃は自動化可能で技術的影響は部分的とされ、早急な対応が必要な状況となっている。

【CVE-2025-29482】libheif 1.19.7にバッファオーバーフロー脆弱性、ロ...

MITREがlibheif 1.19.7においてバッファオーバーフローの脆弱性を発見し公開した。CVE-2025-29482として識別されるこの脆弱性は、libde265のSAO処理において任意のコード実行を可能とする問題を含んでおり、CVSSスコア6.2(MEDIUM)と評価されている。攻撃は自動化可能で技術的影響は部分的とされ、早急な対応が必要な状況となっている。

【CVE-2025-29480】gdalバージョン3.10.2にバッファオーバーフロー脆弱性、ローカル攻撃によるサービス拒否の危険性

【CVE-2025-29480】gdalバージョン3.10.2にバッファオーバーフロー脆弱性、...

MITREがgdal 3.10.2に存在するバッファオーバーフロー脆弱性を公開した。OGRSpatialReference::Release関数を介したサービス拒否攻撃が可能で、CVSSスコア5.5のミディアムレベルと評価される。攻撃の自動化が可能で特権昇格不要という特徴を持ち、早急な対策が必要とされている。CWE-120に分類される古典的なバッファオーバーフローだが、システムへの影響が懸念される。

【CVE-2025-29480】gdalバージョン3.10.2にバッファオーバーフロー脆弱性、...

MITREがgdal 3.10.2に存在するバッファオーバーフロー脆弱性を公開した。OGRSpatialReference::Release関数を介したサービス拒否攻撃が可能で、CVSSスコア5.5のミディアムレベルと評価される。攻撃の自動化が可能で特権昇格不要という特徴を持ち、早急な対策が必要とされている。CWE-120に分類される古典的なバッファオーバーフローだが、システムへの影響が懸念される。

【CVE-2025-3186】医療予約システムに深刻な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-3186】医療予約システムに深刻な脆弱性、SQLインジェクション攻撃のリス...

projectworlds Online Doctor Appointment Booking System 1.0において、invoice.phpのappidパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5を記録し、リモートからの攻撃が可能で特別な認証も不要とされている。すでに攻撃コードが公開されており、医療機関における患者データの漏洩リスクが指摘されている。

【CVE-2025-3186】医療予約システムに深刻な脆弱性、SQLインジェクション攻撃のリス...

projectworlds Online Doctor Appointment Booking System 1.0において、invoice.phpのappidパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5を記録し、リモートからの攻撃が可能で特別な認証も不要とされている。すでに攻撃コードが公開されており、医療機関における患者データの漏洩リスクが指摘されている。

Google Chromeの安定版チャネルがアップデート、重大な脆弱性に対応しセキュリティ強化へ

Google Chromeの安定版チャネルがアップデート、重大な脆弱性に対応しセキュリティ強化へ

米Googleは4月15日、デスクトップ向けGoogle Chromeの安定版チャネルをアップデートした。Windows/Mac向けにv135.0.7049.95/.96、Linux向けにv135.0.7049.95を展開。Codecsのヒープバッファオーバーフローなど2件の重要な脆弱性に対応し、セキュリティ強化を図っている。AddressSanitizerなどの検出ツールを活用し、今後も安全性向上に取り組む方針だ。

Google Chromeの安定版チャネルがアップデート、重大な脆弱性に対応しセキュリティ強化へ

米Googleは4月15日、デスクトップ向けGoogle Chromeの安定版チャネルをアップデートした。Windows/Mac向けにv135.0.7049.95/.96、Linux向けにv135.0.7049.95を展開。Codecsのヒープバッファオーバーフローなど2件の重要な脆弱性に対応し、セキュリティ強化を図っている。AddressSanitizerなどの検出ツールを活用し、今後も安全性向上に取り組む方針だ。

【CVE-2025-3184】projectworlds Online Doctor Appointment Booking System 1.0にSQLインジェクションの脆弱性、患者情報漏洩のリスク

【CVE-2025-3184】projectworlds Online Doctor Appo...

projectworlds Online Doctor Appointment Booking System 1.0において、patient/profile.phpのpatientFirstNameパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア7.3で高リスクに分類されるこの脆弱性は、特別な権限なしにリモートから攻撃可能で、既に公開されている。また、他のパラメータにも同様の脆弱性が存在する可能性が指摘されており、早急な対応が求められている。

【CVE-2025-3184】projectworlds Online Doctor Appo...

projectworlds Online Doctor Appointment Booking System 1.0において、patient/profile.phpのpatientFirstNameパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア7.3で高リスクに分類されるこの脆弱性は、特別な権限なしにリモートから攻撃可能で、既に公開されている。また、他のパラメータにも同様の脆弱性が存在する可能性が指摘されており、早急な対応が求められている。

【CVE-2025-3119】SourceCodester Online Tutor Portal 1.0にSQLインジェクション脆弱性、学習管理システムのセキュリティに警鐘

【CVE-2025-3119】SourceCodester Online Tutor Port...

SourceCodester Online Tutor Portal 1.0のmanage_course.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3119として識別されたこの脆弱性は、ID引数の操作により遠隔から攻撃が可能で、CVSSスコアはMediumレベルと評価されている。既に攻撃コードが公開されており、教育機関の情報セキュリティに対する早急な対応が求められる。

【CVE-2025-3119】SourceCodester Online Tutor Port...

SourceCodester Online Tutor Portal 1.0のmanage_course.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3119として識別されたこの脆弱性は、ID引数の操作により遠隔から攻撃が可能で、CVSSスコアはMediumレベルと評価されている。既に攻撃コードが公開されており、教育機関の情報セキュリティに対する早急な対応が求められる。

【CVE-2025-3204】CodeAstro Car Rental System 1.0にSQL injection脆弱性、早急な対応が必要な状況に

【CVE-2025-3204】CodeAstro Car Rental System 1.0に...

CodeAstro Car Rental System 1.0のreturncar.phpファイルにSQL injection脆弱性が発見され、VulDBによって公開された。CVSSスコア6.3でミディアム評価に分類されており、ID引数の操作によって遠隔からの攻撃が可能となる。既にexploit情報も公開されており、早急な対応が求められる状況となっている。CWEによる脆弱性タイプはSQL InjectionとInjectionに分類されている。

【CVE-2025-3204】CodeAstro Car Rental System 1.0に...

CodeAstro Car Rental System 1.0のreturncar.phpファイルにSQL injection脆弱性が発見され、VulDBによって公開された。CVSSスコア6.3でミディアム評価に分類されており、ID引数の操作によって遠隔からの攻撃が可能となる。既にexploit情報も公開されており、早急な対応が求められる状況となっている。CWEによる脆弱性タイプはSQL InjectionとInjectionに分類されている。

【CVE-2024-57835】Amon2::Auth::Site::LINEに暗号化機能の脆弱性、予測可能な乱数生成による認証リスクが発生

【CVE-2024-57835】Amon2::Auth::Site::LINEに暗号化機能の脆...

Perlモジュール「Amon2::Auth::Site::LINE」のバージョン0.04以前に重大な脆弱性が発見された。String::Randomモジュールがnonce値の生成にPerlの組み込み関数rand()を使用しており、暗号学的に安全でない乱数生成による認証システムのセキュリティリスクが指摘されている。CVSSスコア5.5(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2024-57835】Amon2::Auth::Site::LINEに暗号化機能の脆...

Perlモジュール「Amon2::Auth::Site::LINE」のバージョン0.04以前に重大な脆弱性が発見された。String::Randomモジュールがnonce値の生成にPerlの組み込み関数rand()を使用しており、暗号学的に安全でない乱数生成による認証システムのセキュリティリスクが指摘されている。CVSSスコア5.5(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2025-32013】LNbitsのLNURL認証に重大な脆弱性が発見、内部ネットワークへの不正アクセスが可能に

【CVE-2025-32013】LNbitsのLNURL認証に重大な脆弱性が発見、内部ネットワ...

GitHubが2025年4月6日、Lightning Network決済システムLNbitsにおいて深刻なSSRF脆弱性を発見。LNURL認証のコールバックURL処理に問題があり、内部ネットワークリソースへの不正アクセスが可能となっている。CVSSスコア9.3のクリティカルな脆弱性として、バージョン0.12.12以前のすべてのバージョンが影響を受ける。httpxライブラリのリダイレクト機能が有効な状態での実装が原因。

【CVE-2025-32013】LNbitsのLNURL認証に重大な脆弱性が発見、内部ネットワ...

GitHubが2025年4月6日、Lightning Network決済システムLNbitsにおいて深刻なSSRF脆弱性を発見。LNURL認証のコールバックURL処理に問題があり、内部ネットワークリソースへの不正アクセスが可能となっている。CVSSスコア9.3のクリティカルな脆弱性として、バージョン0.12.12以前のすべてのバージョンが影響を受ける。httpxライブラリのリダイレクト機能が有効な状態での実装が原因。

【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQLインジェクション脆弱性、データベース情報漏洩のリスクに早急な対応が必要

【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQL...

オープンソースのウェブサイト構築システムEmlogのpro-2.5.7およびpro-2.5.8において、深刻なSQLインジェクション脆弱性が発見された。search_controller.phpにおけるURLデコード処理の不備により、URLの二重エンコーディングでaddslashesを回避可能な状態となっており、ユーザーデータベースから機密情報が漏洩する危険性がある。開発チームはpro-2.5.9で修正を実施し、影響を受けるバージョンのユーザーに対して早急なアップデートを推奨している。

【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQL...

オープンソースのウェブサイト構築システムEmlogのpro-2.5.7およびpro-2.5.8において、深刻なSQLインジェクション脆弱性が発見された。search_controller.phpにおけるURLデコード処理の不備により、URLの二重エンコーディングでaddslashesを回避可能な状態となっており、ユーザーデータベースから機密情報が漏洩する危険性がある。開発チームはpro-2.5.9で修正を実施し、影響を受けるバージョンのユーザーに対して早急なアップデートを推奨している。

【CVE-2025-2700】michelson Dante Editorにクロスサイトスクリプティングの脆弱性、バージョン0.4.4以前のユーザーに影響

【CVE-2025-2700】michelson Dante Editorにクロスサイトスクリ...

michelson Dante EditorのInsert Linkハンドラーコンポーネントにおいて、クロスサイトスクリプティングの脆弱性が発見された。バージョン0.4.0から0.4.4までが影響を受け、リモートからの攻撃実行が可能な状態となっている。CVSSスコアは5.1(MEDIUM)を記録し、攻撃条件の複雑さは低いと評価されている。既に攻撃コードが公開されており、早急な対応が必要な状況となっている。

【CVE-2025-2700】michelson Dante Editorにクロスサイトスクリ...

michelson Dante EditorのInsert Linkハンドラーコンポーネントにおいて、クロスサイトスクリプティングの脆弱性が発見された。バージョン0.4.0から0.4.4までが影響を受け、リモートからの攻撃実行が可能な状態となっている。CVSSスコアは5.1(MEDIUM)を記録し、攻撃条件の複雑さは低いと評価されている。既に攻撃コードが公開されており、早急な対応が必要な状況となっている。

【CVE-2025-3306】code-projects Blood Bank Management System 1.0にSQLインジェクションの脆弱性、医療データ漏洩のリスクに警戒

【CVE-2025-3306】code-projects Blood Bank Managem...

code-projects Blood Bank Management System 1.0のdon.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3306として識別されるこの脆弱性は、fullnameパラメータの不適切な処理により発生し、CVSSスコア7.3のHigh評価を受けている。リモートからの攻撃が可能で特別な認証も不要なため、医療データの漏洩リスクが懸念される。

【CVE-2025-3306】code-projects Blood Bank Managem...

code-projects Blood Bank Management System 1.0のdon.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3306として識別されるこの脆弱性は、fullnameパラメータの不適切な処理により発生し、CVSSスコア7.3のHigh評価を受けている。リモートからの攻撃が可能で特別な認証も不要なため、医療データの漏洩リスクが懸念される。

【CVE-2025-3118】SourceCodester Online Tutor Portalにてクリティカルな脆弱性を発見、SQLインジェクション攻撃のリスクが表面化

【CVE-2025-3118】SourceCodester Online Tutor Port...

SourceCodester Online Tutor Portal 1.0において、SQLインジェクションの脆弱性が発見され、CVE-2025-3118として登録された。view_course.phpファイルのIDパラメータ操作により、リモートからの攻撃が可能な状態となっている。CVSS 4.0で5.3、CVSS 3.1で6.3のMEDIUMレベルと評価されており、特権レベルが不要な点から、早急な対応が求められる状況となっている。

【CVE-2025-3118】SourceCodester Online Tutor Port...

SourceCodester Online Tutor Portal 1.0において、SQLインジェクションの脆弱性が発見され、CVE-2025-3118として登録された。view_course.phpファイルのIDパラメータ操作により、リモートからの攻撃が可能な状態となっている。CVSS 4.0で5.3、CVSS 3.1で6.3のMEDIUMレベルと評価されており、特権レベルが不要な点から、早急な対応が求められる状況となっている。

【CVE-2025-3335】codeprojects Online Restaurant Management System 1.0にSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2025-3335】codeprojects Online Restaurant M...

codeprojects Online Restaurant Management System 1.0のadmin/category_update.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3335として登録されたこの脆弱性は、CVSSスコア7.3でHIGHレベルに分類され、リモートからの攻撃が可能。特別な権限や認証情報が不要で攻撃コードも公開されているため、早急な対応が求められる。

【CVE-2025-3335】codeprojects Online Restaurant M...

codeprojects Online Restaurant Management System 1.0のadmin/category_update.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3335として登録されたこの脆弱性は、CVSSスコア7.3でHIGHレベルに分類され、リモートからの攻撃が可能。特別な権限や認証情報が不要で攻撃コードも公開されているため、早急な対応が求められる。

【CVE-2025-3028】MozillaのFirefoxとThunderbirdにuse-after-free脆弱性、複数バージョンのアップデートが必要に

【CVE-2025-3028】MozillaのFirefoxとThunderbirdにuse-...

MozillaはFirefoxとThunderbirdの複数バージョンにおいて、XSLTProcessor処理時にuse-after-freeの脆弱性が発見されたことを公表した。CVE-2025-3028として識別されるこの脆弱性は、Firefox 137未満、Firefox ESR 115.22/128.9未満、Thunderbird 137/128.9未満に影響を与える。Google Project Zeroにより発見され、CVSSスコア6.5の中程度の深刻度と評価されている。

【CVE-2025-3028】MozillaのFirefoxとThunderbirdにuse-...

MozillaはFirefoxとThunderbirdの複数バージョンにおいて、XSLTProcessor処理時にuse-after-freeの脆弱性が発見されたことを公表した。CVE-2025-3028として識別されるこの脆弱性は、Firefox 137未満、Firefox ESR 115.22/128.9未満、Thunderbird 137/128.9未満に影響を与える。Google Project Zeroにより発見され、CVSSスコア6.5の中程度の深刻度と評価されている。

【CVE-2025-3331】Online Restaurant Management System 1.0にSQLインジェクション脆弱性、重大な情報漏洩のリスクに

【CVE-2025-3331】Online Restaurant Management Sys...

codeprojects社のOnline Restaurant Management System 1.0において、payment_save.phpファイルに重大なSQLインジェクション脆弱性が発見された。CVSSスコアは最大7.3(HIGH)と評価され、特別な権限やユーザー操作を必要とせずにリモートから攻撃可能な状態となっている。既に脆弱性は公開されており、早急な対策が必要とされる。

【CVE-2025-3331】Online Restaurant Management Sys...

codeprojects社のOnline Restaurant Management System 1.0において、payment_save.phpファイルに重大なSQLインジェクション脆弱性が発見された。CVSSスコアは最大7.3(HIGH)と評価され、特別な権限やユーザー操作を必要とせずにリモートから攻撃可能な状態となっている。既に脆弱性は公開されており、早急な対策が必要とされる。

【CVE-2025-3299】PHPGurukul Men Salon Management System 1.0にSQLインジェクションの脆弱性、顧客データの漏洩リスクに警戒

【CVE-2025-3299】PHPGurukul Men Salon Management ...

PHPGurukulのMen Salon Management System 1.0において、appointment.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3299として登録されたこの脆弱性は、Nameパラメータを介した攻撃が可能で、CVSSスコアは最大7.3を記録。既に攻撃コードが公開されており、顧客情報や予約データへの不正アクセスのリスクが指摘されている。早急なセキュリティ対策が求められる事態となっている。

【CVE-2025-3299】PHPGurukul Men Salon Management ...

PHPGurukulのMen Salon Management System 1.0において、appointment.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3299として登録されたこの脆弱性は、Nameパラメータを介した攻撃が可能で、CVSSスコアは最大7.3を記録。既に攻撃コードが公開されており、顧客情報や予約データへの不正アクセスのリスクが指摘されている。早急なセキュリティ対策が求められる事態となっている。

【CVE-2025-3397】YzmCMS 7.1にXSS脆弱性が発見、開発元の対応が未実施で被害拡大の懸念

【CVE-2025-3397】YzmCMS 7.1にXSS脆弱性が発見、開発元の対応が未実施で...

YzmCMS 7.1のmessage.tplファイルにクロスサイトスクリプティングの脆弱性が発見された。gourlパラメータを操作することでリモートから攻撃が可能で、CVSSスコアは最大5.3(MEDIUM)と評価されている。開発元への報告後も対応がなく、すでに脆弱性情報が公開されているため、早急な対策が求められる状況だ。

【CVE-2025-3397】YzmCMS 7.1にXSS脆弱性が発見、開発元の対応が未実施で...

YzmCMS 7.1のmessage.tplファイルにクロスサイトスクリプティングの脆弱性が発見された。gourlパラメータを操作することでリモートから攻撃が可能で、CVSSスコアは最大5.3(MEDIUM)と評価されている。開発元への報告後も対応がなく、すでに脆弱性情報が公開されているため、早急な対策が求められる状況だ。

【CVE-2025-30363】WeGIAにストアドXSS脆弱性が発見、バージョン3.2.6で修正完了

【CVE-2025-30363】WeGIAにストアドXSS脆弱性が発見、バージョン3.2.6で...

慈善団体向けWebマネージャーWeGIAのバージョン3.2.6未満にストアドXSS脆弱性が発見された。Documentos_funcionario.phpパラメータのDados_addInfo内に存在するこの脆弱性は、CVSSスコア6.4(MEDIUM)と評価され、悪意のあるスクリプトが永続的に保存される可能性がある。開発チームは迅速な対応としてバージョン3.2.6でこの問題を修正している。

【CVE-2025-30363】WeGIAにストアドXSS脆弱性が発見、バージョン3.2.6で...

慈善団体向けWebマネージャーWeGIAのバージョン3.2.6未満にストアドXSS脆弱性が発見された。Documentos_funcionario.phpパラメータのDados_addInfo内に存在するこの脆弱性は、CVSSスコア6.4(MEDIUM)と評価され、悪意のあるスクリプトが永続的に保存される可能性がある。開発チームは迅速な対応としてバージョン3.2.6でこの問題を修正している。

【CVE-2025-30361】WeGIAに認証バイパスの重大な脆弱性、管理者権限の不正取得が可能に

【CVE-2025-30361】WeGIAに認証バイパスの重大な脆弱性、管理者権限の不正取得が可能に

慈善団体向けWebマネージャーWeGIAのバージョン3.2.6未満に重大な認証バイパスの脆弱性が発見された。control.phpエンドポイントに存在する脆弱性により、古いパスワードの検証をバイパスして管理者アカウントを含む任意のユーザーのパスワードをリセット可能。CVSSスコア9.3のCriticalレベルで、早急な対応が必要。最新版の3.2.6で修正済み。

【CVE-2025-30361】WeGIAに認証バイパスの重大な脆弱性、管理者権限の不正取得が可能に

慈善団体向けWebマネージャーWeGIAのバージョン3.2.6未満に重大な認証バイパスの脆弱性が発見された。control.phpエンドポイントに存在する脆弱性により、古いパスワードの検証をバイパスして管理者アカウントを含む任意のユーザーのパスワードをリセット可能。CVSSスコア9.3のCriticalレベルで、早急な対応が必要。最新版の3.2.6で修正済み。

【CVE-2025-32275】WordPress用Survey Makerプラグインに認証回避の脆弱性、なりすましによる不正アクセスのリスクに

【CVE-2025-32275】WordPress用Survey Makerプラグインに認証回...

セキュリティ企業Patchstack OÜは2025年4月10日、WordPress用プラグイン「Survey Maker」の5.1.5.4以前のバージョンに認証回避の脆弱性が存在することを公開した。CVE-2025-32275として識別されるこの脆弱性は、なりすましによる不正アクセスを可能にする可能性があり、CVSSスコア4.3で中程度の深刻度と評価されている。

【CVE-2025-32275】WordPress用Survey Makerプラグインに認証回...

セキュリティ企業Patchstack OÜは2025年4月10日、WordPress用プラグイン「Survey Maker」の5.1.5.4以前のバージョンに認証回避の脆弱性が存在することを公開した。CVE-2025-32275として識別されるこの脆弱性は、なりすましによる不正アクセスを可能にする可能性があり、CVSSスコア4.3で中程度の深刻度と評価されている。