Tech Insights

Aptosが次世代グローバル取引エンジン構想を発表、ステーブルコインとRWAを軸に金融インフラのデジタル化を加速

Aptosが次世代グローバル取引エンジン構想を発表、ステーブルコインとRWAを軸に金融インフラ...

Aptos Labsが2025年4月、ステーブルコイン、RWA、分散型注文板などを統合した「グローバル取引エンジン」構想を発表した。150msのブロックタイムと11,000TPS以上の処理性能を実現し、AIウォレットやクロスチェーン対応により、誰もが簡単に利用できる24時間稼働の次世代金融インフラの構築を目指している。

Aptosが次世代グローバル取引エンジン構想を発表、ステーブルコインとRWAを軸に金融インフラ...

Aptos Labsが2025年4月、ステーブルコイン、RWA、分散型注文板などを統合した「グローバル取引エンジン」構想を発表した。150msのブロックタイムと11,000TPS以上の処理性能を実現し、AIウォレットやクロスチェーン対応により、誰もが簡単に利用できる24時間稼働の次世代金融インフラの構築を目指している。

【CVE-2025-25566】SoftEtherVPN 5.02.5187にメモリリークの脆弱性、DoS攻撃のリスクで早急な対応が必要に

【CVE-2025-25566】SoftEtherVPN 5.02.5187にメモリリークの脆...

MITREがSoftEtherVPN 5.02.5187においてメモリリーク脆弱性(CVE-2025-25566)を確認。UnixMemoryAlloc関数の不具合によりDoS攻撃が可能となり、CVSSスコア5.6のミディアムリスクと評価された。CWE-401に分類されるこの脆弱性は、SSVCによると攻撃の自動化が可能で技術的影響は部分的とされ、早急な対応が必要とされている。

【CVE-2025-25566】SoftEtherVPN 5.02.5187にメモリリークの脆...

MITREがSoftEtherVPN 5.02.5187においてメモリリーク脆弱性(CVE-2025-25566)を確認。UnixMemoryAlloc関数の不具合によりDoS攻撃が可能となり、CVSSスコア5.6のミディアムリスクと評価された。CWE-401に分類されるこの脆弱性は、SSVCによると攻撃の自動化が可能で技術的影響は部分的とされ、早急な対応が必要とされている。

【CVE-2025-29773】Froxlor2.2.6未満でメールアドレス重複の脆弱性、権限昇格やアカウント乗っ取りのリスクが発生

【CVE-2025-29773】Froxlor2.2.6未満でメールアドレス重複の脆弱性、権限...

オープンソースのサーバー管理ソフトウェアFroxlorのバージョン2.2.6未満において、深刻な脆弱性が発見された。この脆弱性により、認証済みユーザーが既存アカウントと同じメールアドレスで新規アカウントを作成できる問題が確認されている。CVSSスコア5.8でMEDIUMレベルと評価され、権限昇格やアカウント乗っ取りのリスクが指摘されている。

【CVE-2025-29773】Froxlor2.2.6未満でメールアドレス重複の脆弱性、権限...

オープンソースのサーバー管理ソフトウェアFroxlorのバージョン2.2.6未満において、深刻な脆弱性が発見された。この脆弱性により、認証済みユーザーが既存アカウントと同じメールアドレスで新規アカウントを作成できる問題が確認されている。CVSSスコア5.8でMEDIUMレベルと評価され、権限昇格やアカウント乗っ取りのリスクが指摘されている。

【CVE-2025-0313】Ollama 0.3.14にDoS攻撃の脆弱性、GGUFモデル処理の実装に問題

【CVE-2025-0313】Ollama 0.3.14にDoS攻撃の脆弱性、GGUFモデル処...

セキュリティ企業Protect AIは、Ollamaバージョン0.3.14以前に深刻な脆弱性が存在することを報告した。この脆弱性はGGUFモデル処理における配列インデックスの不適切な検証に起因しており、リモートネットワーク経由でDoS攻撃を引き起こす可能性がある。CVSS 3.0で7.5(High)と評価され、攻撃の自動化も可能とされていることから、早急な対応が求められている。

【CVE-2025-0313】Ollama 0.3.14にDoS攻撃の脆弱性、GGUFモデル処...

セキュリティ企業Protect AIは、Ollamaバージョン0.3.14以前に深刻な脆弱性が存在することを報告した。この脆弱性はGGUFモデル処理における配列インデックスの不適切な検証に起因しており、リモートネットワーク経由でDoS攻撃を引き起こす可能性がある。CVSS 3.0で7.5(High)と評価され、攻撃の自動化も可能とされていることから、早急な対応が求められている。

【CVE-2025-2627】PHPGurukulのArt Gallery Management Systemに危険なSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2025-2627】PHPGurukulのArt Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、/admin/contactus.phpファイルのpagetitleパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3のMedium評価で、リモートからの攻撃が可能な状態となっている。既に脆弱性情報が公開されており、早急な対策が求められる。機密性、完全性、可用性への影響はいずれもLowレベルとされている。

【CVE-2025-2627】PHPGurukulのArt Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、/admin/contactus.phpファイルのpagetitleパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3のMedium評価で、リモートからの攻撃が可能な状態となっている。既に脆弱性情報が公開されており、早急な対策が求められる。機密性、完全性、可用性への影響はいずれもLowレベルとされている。

【CVE-2025-2646】PHPGurukul Art Gallery Management Systemに深刻な脆弱性、SQLインジェクション攻撃が可能に

【CVE-2025-2646】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、admin-profile.phpファイルのcontactnumberパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特別な権限も不要。既に詳細な技術情報が公開されており、早急な対応が求められている。複数のパラメータにも同様の脆弱性が存在する可能性が指摘されている。

【CVE-2025-2646】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、admin-profile.phpファイルのcontactnumberパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特別な権限も不要。既に詳細な技術情報が公開されており、早急な対応が求められている。複数のパラメータにも同様の脆弱性が存在する可能性が指摘されている。

【CVE-2025-2642】PHPGurukul Art Gallery Management Systemに深刻なSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-2642】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0の管理者画面において、SQLインジェクションの脆弱性が発見された。CVE-2025-2642として登録されたこの脆弱性は、edit-art-product-detail.phpのパラメータ処理に起因し、CVSS3.1で7.3(High)と評価されている。リモートから攻撃可能で既に公開されているため、早急な対応が必要とされている。

【CVE-2025-2642】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0の管理者画面において、SQLインジェクションの脆弱性が発見された。CVE-2025-2642として登録されたこの脆弱性は、edit-art-product-detail.phpのパラメータ処理に起因し、CVSS3.1で7.3(High)と評価されている。リモートから攻撃可能で既に公開されているため、早急な対応が必要とされている。

【CVE-2025-31084】WordPress用プラグインSunshine Photo Cartに深刻な脆弱性、デシリアライゼーション処理に重大な欠陥

【CVE-2025-31084】WordPress用プラグインSunshine Photo C...

Patchstack OÜ社が2025年4月1日、WordPress用プラグインSunshine Photo Cartにおける重大な脆弱性を公開した。CVE-2025-31084として識別されるこの脆弱性は、バージョン3.4.10以前に存在する信頼できないデータのデシリアライゼーションの問題で、CVSSスコア9.8のクリティカルな影響度を持つ。認証不要で攻撃が可能であり、早急なアップデートが推奨される。

【CVE-2025-31084】WordPress用プラグインSunshine Photo C...

Patchstack OÜ社が2025年4月1日、WordPress用プラグインSunshine Photo Cartにおける重大な脆弱性を公開した。CVE-2025-31084として識別されるこの脆弱性は、バージョン3.4.10以前に存在する信頼できないデータのデシリアライゼーションの問題で、CVSSスコア9.8のクリティカルな影響度を持つ。認証不要で攻撃が可能であり、早急なアップデートが推奨される。

Android端末ミラーリングツールscrcpy v3.2がリリース、8種類の新オーディオソース追加で音声キャプチャー機能が大幅に進化

Android端末ミラーリングツールscrcpy v3.2がリリース、8種類の新オーディオソー...

GenymobileがAndroid端末ミラーリングツール「scrcpy」のv3.2を公開。マイクの未処理音声やビデオ録画用の調整済み音声など8種類の新しいオーディオソースを追加し、用途に応じた細やかな音声キャプチャーが可能に。Android 15/16での不具合を修正し、古いLinuxディストリビューションやmacOSとの互換性も向上。音声通話録音やライブパフォーマンス向けの機能も実装され、より幅広い用途での活用が期待される。

Android端末ミラーリングツールscrcpy v3.2がリリース、8種類の新オーディオソー...

GenymobileがAndroid端末ミラーリングツール「scrcpy」のv3.2を公開。マイクの未処理音声やビデオ録画用の調整済み音声など8種類の新しいオーディオソースを追加し、用途に応じた細やかな音声キャプチャーが可能に。Android 15/16での不具合を修正し、古いLinuxディストリビューションやmacOSとの互換性も向上。音声通話録音やライブパフォーマンス向けの機能も実装され、より幅広い用途での活用が期待される。

VivaldiとProton VPNがデスクトップブラウザで機能統合、プライバシー保護とカスタマイズ性の強化へ

VivaldiとProton VPNがデスクトップブラウザで機能統合、プライバシー保護とカスタ...

ノルウェーのVivaldi TechnologiesとスイスProton Technologiesが、デスクトップ版Vivaldiブラウザへの「Proton VPN」統合を発表。117か国11,500以上のサーバーを持つProton VPNの無料版が帯域制限なしで利用可能となり、必要に応じて有料版へのアップグレードも提供。トラッカー/広告ブロッカーと組み合わせて、プライバシー保護とカスタマイズ性を強化。

VivaldiとProton VPNがデスクトップブラウザで機能統合、プライバシー保護とカスタ...

ノルウェーのVivaldi TechnologiesとスイスProton Technologiesが、デスクトップ版Vivaldiブラウザへの「Proton VPN」統合を発表。117か国11,500以上のサーバーを持つProton VPNの無料版が帯域制限なしで利用可能となり、必要に応じて有料版へのアップグレードも提供。トラッカー/広告ブロッカーと組み合わせて、プライバシー保護とカスタマイズ性を強化。

インバースがブロックチェーン活用のKYPサービスを発表、Web3技術で信用認証基盤の構築へ

インバースがブロックチェーン活用のKYPサービスを発表、Web3技術で信用認証基盤の構築へ

インバースは2025年4月1日、ブロックチェーンと暗号技術を活用したKYP(Know Your Provider)サービスを発表した。東京大学との共同研究や世界最多の助成金獲得など、豊富な技術実績を持つインバースは、Web3技術を活用してデジタル経済における信用問題の解決を目指す。ウォレットや専用アプリ不要で、ブラウザのみで利用可能な新サービスは、なりすましや詐欺の防止に貢献する。

インバースがブロックチェーン活用のKYPサービスを発表、Web3技術で信用認証基盤の構築へ

インバースは2025年4月1日、ブロックチェーンと暗号技術を活用したKYP(Know Your Provider)サービスを発表した。東京大学との共同研究や世界最多の助成金獲得など、豊富な技術実績を持つインバースは、Web3技術を活用してデジタル経済における信用問題の解決を目指す。ウォレットや専用アプリ不要で、ブラウザのみで利用可能な新サービスは、なりすましや詐欺の防止に貢献する。

【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取りの危険性

【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取...

オープンソースBIツールDataEaseにおいて、CVE-2024-55953のパッチをバイパスする重大な脆弱性が発見された。CVE-2025-27103として識別されるこの脆弱性により、認証済みユーザーがJDBC接続を通じて任意のファイル読み取りが可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、バージョン2.10.6で修正が実施された。

【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取...

オープンソースBIツールDataEaseにおいて、CVE-2024-55953のパッチをバイパスする重大な脆弱性が発見された。CVE-2025-27103として識別されるこの脆弱性により、認証済みユーザーがJDBC接続を通じて任意のファイル読み取りが可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、バージョン2.10.6で修正が実施された。

【CVE-2025-28011】PHPGurukul User Registration & Login v3.3にSQLインジェクションの脆弱性、パスワード変更機能に深刻な影響

【CVE-2025-28011】PHPGurukul User Registration & ...

MITREが2025年3月13日に公開したPHPGurukul User Registration & Login and User Management System v3.3の脆弱性情報によると、パスワード変更機能にSQLインジェクションの脆弱性が存在している。CVSSスコアは6.1(MEDIUM)で、攻撃者によるリモートからの任意のコード実行が可能な状態となっている。CISAの評価では技術的影響度が「Automatableレベル」とされており、早急な対応が必要とされている。

【CVE-2025-28011】PHPGurukul User Registration & ...

MITREが2025年3月13日に公開したPHPGurukul User Registration & Login and User Management System v3.3の脆弱性情報によると、パスワード変更機能にSQLインジェクションの脆弱性が存在している。CVSSスコアは6.1(MEDIUM)で、攻撃者によるリモートからの任意のコード実行が可能な状態となっている。CISAの評価では技術的影響度が「Automatableレベル」とされており、早急な対応が必要とされている。

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バージョン3.1.8以前に影響

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...

WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...

WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。

MicrosoftがWebAssemblyランタイム実行環境Hyperlight Wasmを公開、クラウドネイティブコンピューティングの新時代へ

MicrosoftがWebAssemblyランタイム実行環境Hyperlight Wasmを公...

MicrosoftがWebAssemblyランタイム実行環境「Hyperlight Wasm」をオープンソースとして公開した。従来の仮想マシンと比較して圧倒的に高速な起動時間と効率的なリソース利用を実現し、多様なプログラミング言語のサポートも備える。Cloud Native Computing FoundationのSandboxプログラムへの参加も決定し、クラウドネイティブコンピューティングの発展に貢献することが期待される。

MicrosoftがWebAssemblyランタイム実行環境Hyperlight Wasmを公...

MicrosoftがWebAssemblyランタイム実行環境「Hyperlight Wasm」をオープンソースとして公開した。従来の仮想マシンと比較して圧倒的に高速な起動時間と効率的なリソース利用を実現し、多様なプログラミング言語のサポートも備える。Cloud Native Computing FoundationのSandboxプログラムへの参加も決定し、クラウドネイティブコンピューティングの発展に貢献することが期待される。

【CVE-2025-0185】langgenius/difyにPandasクエリインジェクションの脆弱性、リモートコード実行の危険性が指摘される

【CVE-2025-0185】langgenius/difyにPandasクエリインジェクショ...

Protect AIは2025年3月20日、langgenius/difyのVanna moduleに深刻な脆弱性が発見されたことを公開した。最新バージョンまでの全てのバージョンに影響を与えるこの脆弱性は、Pandasクエリインジェクションの問題でCVE-2025-0185として識別され、CVSS評価で8.8(HIGH)のスコアが付けられている。リモートコード実行の可能性も指摘されており、早急な対応が求められる。

【CVE-2025-0185】langgenius/difyにPandasクエリインジェクショ...

Protect AIは2025年3月20日、langgenius/difyのVanna moduleに深刻な脆弱性が発見されたことを公開した。最新バージョンまでの全てのバージョンに影響を与えるこの脆弱性は、Pandasクエリインジェクションの問題でCVE-2025-0185として識別され、CVSS評価で8.8(HIGH)のスコアが付けられている。リモートコード実行の可能性も指摘されており、早急な対応が求められる。

【CVE-2025-2581】xmedcon 0.25.0にDICOMファイル処理の脆弱性、整数アンダーフローによるリモート攻撃のリスクに警戒

【CVE-2025-2581】xmedcon 0.25.0にDICOMファイル処理の脆弱性、整...

医用画像変換ソフトウェアxmedcon 0.25.0のDICOMファイルハンドラーにおいて、malloc関数の整数アンダーフロー脆弱性が発見された。CVE-2025-2581として識別されるこの脆弱性は、リモートからの攻撃が可能でCVSS v4.0で中程度(5.3)と評価されている。開発元は対策版となるバージョン0.25.1をリリースしており、影響を受けるユーザーへの早急なアップグレードを推奨している。

【CVE-2025-2581】xmedcon 0.25.0にDICOMファイル処理の脆弱性、整...

医用画像変換ソフトウェアxmedcon 0.25.0のDICOMファイルハンドラーにおいて、malloc関数の整数アンダーフロー脆弱性が発見された。CVE-2025-2581として識別されるこの脆弱性は、リモートからの攻撃が可能でCVSS v4.0で中程度(5.3)と評価されている。開発元は対策版となるバージョン0.25.1をリリースしており、影響を受けるユーザーへの早急なアップグレードを推奨している。

The Document FoundationがLibreOffice 25.2.2と24.8.6の2つの新バージョンを公開、クロスプラットフォーム対応を強化

The Document FoundationがLibreOffice 25.2.2と24.8...

The Document Foundationは3月27日、LibreOffice 25.2.2とLibreOffice 24.8.6の2つの新バージョンを公開した。Windows、macOS、Linuxに対応し、パワーユーザー向けと安定性重視のユーザー向けの2つのバージョンを提供。ODFとMicrosoft OOXMLの両方のISO標準をサポートし、ビッグテックのロックイン戦略から独立したオフィススイートとして進化を続けている。

The Document FoundationがLibreOffice 25.2.2と24.8...

The Document Foundationは3月27日、LibreOffice 25.2.2とLibreOffice 24.8.6の2つの新バージョンを公開した。Windows、macOS、Linuxに対応し、パワーユーザー向けと安定性重視のユーザー向けの2つのバージョンを提供。ODFとMicrosoft OOXMLの両方のISO標準をサポートし、ビッグテックのロックイン戦略から独立したオフィススイートとして進化を続けている。

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、LinkedInキーの漏洩リスクが発覚

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、L...

WordPressテーマ「Civi - Job Board & Freelance Marketplace WordPress Theme」のバージョン2.1.4以前に深刻な情報漏洩の脆弱性が発見された。ハードコードされた認証情報により、未認証の攻撃者がLinkedInのクライアントキーとシークレットキーにアクセス可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、早急な対策が求められている。

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、L...

WordPressテーマ「Civi - Job Board & Freelance Marketplace WordPress Theme」のバージョン2.1.4以前に深刻な情報漏洩の脆弱性が発見された。ハードコードされた認証情報により、未認証の攻撃者がLinkedInのクライアントキーとシークレットキーにアクセス可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、早急な対策が求められている。

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの脆弱性、管理者権限奪取の危険性

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの...

WordFenceが2025年3月14日、Job Board & Freelance Marketplace用WordPressテーマCiviにおいて、深刻な認証バイパスの脆弱性を発見したことを公開した。バージョン2.1.4以前のすべてのバージョンが影響を受け、CVSSスコアは9.8と極めて高い。パスワード更新機能におけるユーザー検証の欠如により、攻撃者は管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの...

WordFenceが2025年3月14日、Job Board & Freelance Marketplace用WordPressテーマCiviにおいて、深刻な認証バイパスの脆弱性を発見したことを公開した。バージョン2.1.4以前のすべてのバージョンが影響を受け、CVSSスコアは9.8と極めて高い。パスワード更新機能におけるユーザー検証の欠如により、攻撃者は管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパスが可能に

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...

westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...

westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。

【CVE-2025-2648】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-2648】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。

【CVE-2025-2648】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。

【CVE-2025-2647】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、緊急対応が必要に

【CVE-2025-2647】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-2647】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性、バージョン2.10.0未満のユーザーに影響

【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...

Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。

【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...

Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバージョンにXSS脆弱性が発見、ベンダーの対応待ち状態が継続

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0.4未満で保護機能のバイパスが可能に

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....

Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....

Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。

【CVE-2025-2673】code-projects Payroll Management Systemに深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクが発覚

【CVE-2025-2673】code-projects Payroll Management...

code-projects社のPayroll Management System 1.0において、home_employee.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。リモートからの攻撃が可能で、既に技術的詳細が公開されているため早急な対応が必要とされている。CVSSスコアは5.1(MEDIUM)と評価され、特権レベルは不要だがユーザーの操作が必要となる特徴がある。

【CVE-2025-2673】code-projects Payroll Management...

code-projects社のPayroll Management System 1.0において、home_employee.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。リモートからの攻撃が可能で、既に技術的詳細が公開されているため早急な対応が必要とされている。CVSSスコアは5.1(MEDIUM)と評価され、特権レベルは不要だがユーザーの操作が必要となる特徴がある。

【CVE-2025-2652】SourceCodester Gate Pass Logging Systemに情報漏洩の脆弱性、設定変更による対応が必要に

【CVE-2025-2652】SourceCodester Gate Pass Logging...

VulDBは2025年3月23日、SourceCodester社のEmployee and Visitor Gate Pass Logging System 1.0においてディレクトリリスティングによる情報漏洩の脆弱性を発見。CVE-2025-2652として識別されたこの脆弱性は、CVSS v4.0で深刻度6.9(ミディアム)と評価された。リモートからの攻撃が可能で認証も不要なため、早急な設定変更による対応が推奨されている。

【CVE-2025-2652】SourceCodester Gate Pass Logging...

VulDBは2025年3月23日、SourceCodester社のEmployee and Visitor Gate Pass Logging System 1.0においてディレクトリリスティングによる情報漏洩の脆弱性を発見。CVE-2025-2652として識別されたこの脆弱性は、CVSS v4.0で深刻度6.9(ミディアム)と評価された。リモートからの攻撃が可能で認証も不要なため、早急な設定変更による対応が推奨されている。

【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクで緊急対応が必要に

【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リ...

westboy社のCicadasCMS 1.0において、/system/cms/content/page機能にSQLインジェクションの脆弱性が発見された。orderFieldとorderDirectionの引数操作によってリモートからの攻撃が可能となっており、exploitも公開されている。CVSSスコアは5.3で中程度だが、攻撃コードが入手可能な状態であることから、早急な対策が求められている。

【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リ...

westboy社のCicadasCMS 1.0において、/system/cms/content/page機能にSQLインジェクションの脆弱性が発見された。orderFieldとorderDirectionの引数操作によってリモートからの攻撃が可能となっており、exploitも公開されている。CVSSスコアは5.3で中程度だが、攻撃コードが入手可能な状態であることから、早急な対策が求められている。