Tech Insights
【CVE-2025-24113】AppleがmacOSなど複数OSのUIスプーフィング対策アッ...
Appleが2025年1月27日、macOS、Safari、iOS、iPadOS、visionOSの各OSに対するセキュリティアップデートを公開した。UIの改善により、悪意のあるウェブサイトを介したユーザーインターフェイスのスプーフィング攻撃を防止する。CVSSスコア4.3の中程度の脆弱性に対応し、ユーザーの操作を必要とするものの、特別な権限なしで攻撃可能な特徴を持つ。
【CVE-2025-24113】AppleがmacOSなど複数OSのUIスプーフィング対策アッ...
Appleが2025年1月27日、macOS、Safari、iOS、iPadOS、visionOSの各OSに対するセキュリティアップデートを公開した。UIの改善により、悪意のあるウェブサイトを介したユーザーインターフェイスのスプーフィング攻撃を防止する。CVSSスコア4.3の中程度の脆弱性に対応し、ユーザーの操作を必要とするものの、特別な権限なしで攻撃可能な特徴を持つ。
【CVE-2024-13509】WS Form LITEに認証不要のXSS脆弱性、バージョン1...
WordPressプラグインWS Form LITEにおいて、認証不要で悪用可能な格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13509として識別されるこの脆弱性は、バージョン1.10.13以前の全バージョンに影響を及ぼし、CVSSスコア7.2のHigh評価とされている。urlパラメータの不適切な処理が原因で、攻撃者による任意のスクリプト実行が可能となる深刻な問題だ。
【CVE-2024-13509】WS Form LITEに認証不要のXSS脆弱性、バージョン1...
WordPressプラグインWS Form LITEにおいて、認証不要で悪用可能な格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13509として識別されるこの脆弱性は、バージョン1.10.13以前の全バージョンに影響を及ぼし、CVSSスコア7.2のHigh評価とされている。urlパラメータの不適切な処理が原因で、攻撃者による任意のスクリプト実行が可能となる深刻な問題だ。
【CVE-2024-13527】WordPressのPhilantroプラグインにXSS脆弱性...
WordPressの寄付管理プラグインPhilantro - Donations and Donor Managementのバージョン5.3以前に、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4のミディアムレベルの深刻度であり、Donateショートコードを介して悪意のあるスクリプトを注入される可能性がある。CISAの評価では技術的影響は部分的だが、適切な対策が必要とされている。
【CVE-2024-13527】WordPressのPhilantroプラグインにXSS脆弱性...
WordPressの寄付管理プラグインPhilantro - Donations and Donor Managementのバージョン5.3以前に、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4のミディアムレベルの深刻度であり、Donateショートコードを介して悪意のあるスクリプトを注入される可能性がある。CISAの評価では技術的影響は部分的だが、適切な対策が必要とされている。
ソースポッドがSPC Leak Detectionと標的型メール訓練サービスの自動連携機能を発...
株式会社ソースポッドは2025年2月1日より、情報セキュリティ教育サービスSPC Leak DetectionとSPC標的型メール訓練、KIS MailMonの自動連携を開始する。訓練メールの開封やリンククリックなどのステータスに応じて、自動的に教育コンテンツを配信し、統合レポートも自動生成。管理者の負担を軽減しながら、効果的な人的セキュリティ対策を実現する。
ソースポッドがSPC Leak Detectionと標的型メール訓練サービスの自動連携機能を発...
株式会社ソースポッドは2025年2月1日より、情報セキュリティ教育サービスSPC Leak DetectionとSPC標的型メール訓練、KIS MailMonの自動連携を開始する。訓練メールの開封やリンククリックなどのステータスに応じて、自動的に教育コンテンツを配信し、統合レポートも自動生成。管理者の負担を軽減しながら、効果的な人的セキュリティ対策を実現する。
【CVE-2025-21393】Microsoft SharePoint Serverにスプー...
Microsoftは2025年1月14日、SharePoint Serverに存在するスプーフィング脆弱性を公開した。この脆弱性はCVE-2025-21393として識別され、SharePoint Enterprise Server 2016など複数バージョンに影響を与える。CVSSスコアは6.3でミディアムリスクと評価され、早急な対応が推奨される。CISAの評価では自動化された攻撃への耐性があり、技術的な影響は部分的とされている。
【CVE-2025-21393】Microsoft SharePoint Serverにスプー...
Microsoftは2025年1月14日、SharePoint Serverに存在するスプーフィング脆弱性を公開した。この脆弱性はCVE-2025-21393として識別され、SharePoint Enterprise Server 2016など複数バージョンに影響を与える。CVSSスコアは6.3でミディアムリスクと評価され、早急な対応が推奨される。CISAの評価では自動化された攻撃への耐性があり、技術的な影響は部分的とされている。
長崎市でごみゼロマップのラッピングバスが運行開始、市民の環境意識向上とごみ削減活動の活性化を目指す
一般社団法人NEXTながさきごみゼロプロジェクトが長崎自動車と連携し、Webアプリ「みんなで作ろう!ながさきごみゼロマップ」のラッピングバスを40台運行開始。ポイント制度とクーポン特典を導入し、市民のごみ拾い活動を促進。全国2位の海岸線を持つ長崎市で、海洋ごみ削減と景観保全に向けた取り組みを本格化。日本財団の海と日本プロジェクトの一環として実施される。
長崎市でごみゼロマップのラッピングバスが運行開始、市民の環境意識向上とごみ削減活動の活性化を目指す
一般社団法人NEXTながさきごみゼロプロジェクトが長崎自動車と連携し、Webアプリ「みんなで作ろう!ながさきごみゼロマップ」のラッピングバスを40台運行開始。ポイント制度とクーポン特典を導入し、市民のごみ拾い活動を促進。全国2位の海岸線を持つ長崎市で、海洋ごみ削減と景観保全に向けた取り組みを本格化。日本財団の海と日本プロジェクトの一環として実施される。
【CVE-2025-21314】Windows SmartScreenに詐称の脆弱性、16種類...
Microsoftは2025年1月14日にWindows SmartScreenの詐称の脆弱性を公開した。この脆弱性はCVSS3.1で深刻度が6.5と評価され、Windows Server 2025やWindows 11 Version 24H2など最新バージョンから、Windows 10 Version 1607などの旧バージョンまで、合計16種類のWindows製品に影響を与える可能性がある。攻撃者はネットワーク経由で特権なしに攻撃可能だが、自動化された攻撃の可能性は低いとされている。
【CVE-2025-21314】Windows SmartScreenに詐称の脆弱性、16種類...
Microsoftは2025年1月14日にWindows SmartScreenの詐称の脆弱性を公開した。この脆弱性はCVSS3.1で深刻度が6.5と評価され、Windows Server 2025やWindows 11 Version 24H2など最新バージョンから、Windows 10 Version 1607などの旧バージョンまで、合計16種類のWindows製品に影響を与える可能性がある。攻撃者はネットワーク経由で特権なしに攻撃可能だが、自動化された攻撃の可能性は低いとされている。
【CVE-2025-21189】MicrosoftがMapUrlToZoneの脆弱性を公開、W...
Microsoftは2025年1月14日、Windows OSの全バージョンに影響を与えるMapUrlToZoneのセキュリティ機能バイパスの脆弱性を公開した。CVSSスコア4.3で深刻度「MEDIUM」と評価されており、Windows 10からWindows 11、さらにWindows Server全バージョンまで広範な影響が確認されている。脆弱性はCWE-41に分類され、早急な対応が推奨される。
【CVE-2025-21189】MicrosoftがMapUrlToZoneの脆弱性を公開、W...
Microsoftは2025年1月14日、Windows OSの全バージョンに影響を与えるMapUrlToZoneのセキュリティ機能バイパスの脆弱性を公開した。CVSSスコア4.3で深刻度「MEDIUM」と評価されており、Windows 10からWindows 11、さらにWindows Server全バージョンまで広範な影響が確認されている。脆弱性はCWE-41に分類され、早急な対応が推奨される。
AppleがSafari 18.3のセキュリティアップデートを公開、WebKitの脆弱性とブラ...
Appleは2025年1月27日、Safari 18.3のセキュリティアップデートをリリースした。macOS VenturaとmacOS Sonomaに対応したこのアップデートでは、ブラウザ拡張機能の認証バイパスやWebKitの脆弱性、UIスプーフィングなどの問題が修正された。特にWeb Inspectorのコマンドインジェクション脆弱性の修正やユーザー個人情報保護の強化など、包括的なセキュリティ改善が実施されている。
AppleがSafari 18.3のセキュリティアップデートを公開、WebKitの脆弱性とブラ...
Appleは2025年1月27日、Safari 18.3のセキュリティアップデートをリリースした。macOS VenturaとmacOS Sonomaに対応したこのアップデートでは、ブラウザ拡張機能の認証バイパスやWebKitの脆弱性、UIスプーフィングなどの問題が修正された。特にWeb Inspectorのコマンドインジェクション脆弱性の修正やユーザー個人情報保護の強化など、包括的なセキュリティ改善が実施されている。
KnowBe4がセキュリティトレーニングの新調査結果を発表、データ侵害リスクが65%減少するこ...
KnowBe4は米国非営利組織Privacy Rights Clearinghouseのデータベースから17,500件以上のデータ侵害報告を分析し、セキュリティ意識向上トレーニングの効果を実証した。強固なトレーニングプログラムを実施する組織ではデータ侵害リスクが65%減少。四半期に一度以上のトレーニングと模擬フィッシング演習の実施を推奨している。データ侵害の70%から90%がソーシャルエンジニアリングとフィッシングによるものであり、人的リスク対策の重要性が明らかに。
KnowBe4がセキュリティトレーニングの新調査結果を発表、データ侵害リスクが65%減少するこ...
KnowBe4は米国非営利組織Privacy Rights Clearinghouseのデータベースから17,500件以上のデータ侵害報告を分析し、セキュリティ意識向上トレーニングの効果を実証した。強固なトレーニングプログラムを実施する組織ではデータ侵害リスクが65%減少。四半期に一度以上のトレーニングと模擬フィッシング演習の実施を推奨している。データ侵害の70%から90%がソーシャルエンジニアリングとフィッシングによるものであり、人的リスク対策の重要性が明らかに。
Samsung WalletがGalaxyスマートフォン向けに日本展開、PayPay対応で利便...
サムスン電子ジャパンは、Samsung Galaxy端末向けデジタルウォレット「Samsung Wallet」を2025年2月25日より日本で提供開始する。クレジットカードやQRコード決済、ポイントカード、搭乗券などを1つのアプリで管理可能で、Samsung Knox採用による強固なセキュリティも特徴。国内初となるPayPay対応で、モバイル決済の新たな選択肢として期待が高まる。
Samsung WalletがGalaxyスマートフォン向けに日本展開、PayPay対応で利便...
サムスン電子ジャパンは、Samsung Galaxy端末向けデジタルウォレット「Samsung Wallet」を2025年2月25日より日本で提供開始する。クレジットカードやQRコード決済、ポイントカード、搭乗券などを1つのアプリで管理可能で、Samsung Knox採用による強固なセキュリティも特徴。国内初となるPayPay対応で、モバイル決済の新たな選択肢として期待が高まる。
【CVE-2025-21331】Microsoftが Windows Installerの権限...
MicrosoftはWindows Installerに権限昇格の脆弱性【CVE-2025-21331】を発見し公開した。この脆弱性はCVSS 3.1で7.3のスコアを記録し、Windows Server 2008から2022まで、Windows 10からWindows 11まで広範囲に影響を与える。CWE-59に分類され、ローカルアクセス権を持つ攻撃者が権限昇格を実行できる可能性があり、早急な対応が必要とされている。
【CVE-2025-21331】Microsoftが Windows Installerの権限...
MicrosoftはWindows Installerに権限昇格の脆弱性【CVE-2025-21331】を発見し公開した。この脆弱性はCVSS 3.1で7.3のスコアを記録し、Windows Server 2008から2022まで、Windows 10からWindows 11まで広範囲に影響を与える。CWE-59に分類され、ローカルアクセス権を持つ攻撃者が権限昇格を実行できる可能性があり、早急な対応が必要とされている。
快活フロンティアのサーバーで不正アクセス発生、快活CLUB会員の個人情報漏えいの可能性を公表
快活フロンティアは2025年1月21日、漫画喫茶チェーン「快活CLUB」の会員情報管理サーバーへの不正アクセスを検知し、個人情報漏えいの可能性があると発表した。氏名、住所、電話番号など会員情報の流出リスクが判明。身分証明書やクレジットカード情報の漏えいはないとしている。AOKIホールディングスと協力し、セキュリティ対策を強化。
快活フロンティアのサーバーで不正アクセス発生、快活CLUB会員の個人情報漏えいの可能性を公表
快活フロンティアは2025年1月21日、漫画喫茶チェーン「快活CLUB」の会員情報管理サーバーへの不正アクセスを検知し、個人情報漏えいの可能性があると発表した。氏名、住所、電話番号など会員情報の流出リスクが判明。身分証明書やクレジットカード情報の漏えいはないとしている。AOKIホールディングスと協力し、セキュリティ対策を強化。
セキュアワークスがサイバー脅威の実態レポートを発表、ランサムウェアグループが30%増加し新たな...
セキュアワークス株式会社は、2025年1月17日に年次レポート「年次レビュー2024年 脅威の実態」の説明会を開催した。2023年6月から2024年7月の調査期間中、活動中のランサムウェアグループが前年比30%増加し、31の新たなグループが出現。中間者攻撃の増加やAIの悪用拡大など、新たな脅威への対策が求められている。
セキュアワークスがサイバー脅威の実態レポートを発表、ランサムウェアグループが30%増加し新たな...
セキュアワークス株式会社は、2025年1月17日に年次レポート「年次レビュー2024年 脅威の実態」の説明会を開催した。2023年6月から2024年7月の調査期間中、活動中のランサムウェアグループが前年比30%増加し、31の新たなグループが出現。中間者攻撃の増加やAIの悪用拡大など、新たな脅威への対策が求められている。
NTT東日本がおまかせサイバーみまもりの新プランを発表、1Gbps超回線向けとEDR統合型の2...
NTT東日本は2025年1月27日より、UTMによるセキュリティ対策サービス「おまかせサイバーみまもり」の新プラン2種を提供開始する。フレッツ光クロスなどの1Gbps超回線向けの「Gigaプラン」と、UTMとEDRを統合した「セキュリティパッケージ」により、多様化するサイバー攻撃への包括的な対策を実現する。両プランとも2025年1月20日より申込受付を開始する予定だ。
NTT東日本がおまかせサイバーみまもりの新プランを発表、1Gbps超回線向けとEDR統合型の2...
NTT東日本は2025年1月27日より、UTMによるセキュリティ対策サービス「おまかせサイバーみまもり」の新プラン2種を提供開始する。フレッツ光クロスなどの1Gbps超回線向けの「Gigaプラン」と、UTMとEDRを統合した「セキュリティパッケージ」により、多様化するサイバー攻撃への包括的な対策を実現する。両プランとも2025年1月20日より申込受付を開始する予定だ。
【CVE-2025-21361】Microsoft Outlookにリモートコード実行の脆弱性...
Microsoftは2025年1月14日、Microsoft Outlookにおけるリモートコード実行の脆弱性【CVE-2025-21361】を公開した。この脆弱性はCVSSスコア7.8の高深刻度と評価されており、Microsoft Office LTSC for Mac 2021/2024の特定バージョンに影響を及ぼす。攻撃者によるリモートコード実行の可能性があり、該当バージョンを使用するユーザーは最新版へのアップデートが推奨される。
【CVE-2025-21361】Microsoft Outlookにリモートコード実行の脆弱性...
Microsoftは2025年1月14日、Microsoft Outlookにおけるリモートコード実行の脆弱性【CVE-2025-21361】を公開した。この脆弱性はCVSSスコア7.8の高深刻度と評価されており、Microsoft Office LTSC for Mac 2021/2024の特定バージョンに影響を及ぼす。攻撃者によるリモートコード実行の可能性があり、該当バージョンを使用するユーザーは最新版へのアップデートが推奨される。
GoogleパスワードマネージャーがiOSでパスキーに対応、クロスプラットフォームでの認証が可能に
米Googleは2025年1月16日、GoogleパスワードマネージャーでiOS向けのパスキー機能の提供を開始した。iOS 17およびiPadOS 17以降のGoogle Chromeユーザーは、パスキーを作成してWindows、Linux、Android、ChromeOSなど他のプラットフォームと同期できるようになった。生体認証やPINを使用した安全な認証方式により、パスワードレス時代への移行が加速する。
GoogleパスワードマネージャーがiOSでパスキーに対応、クロスプラットフォームでの認証が可能に
米Googleは2025年1月16日、GoogleパスワードマネージャーでiOS向けのパスキー機能の提供を開始した。iOS 17およびiPadOS 17以降のGoogle Chromeユーザーは、パスキーを作成してWindows、Linux、Android、ChromeOSなど他のプラットフォームと同期できるようになった。生体認証やPINを使用した安全な認証方式により、パスワードレス時代への移行が加速する。
【CVE-2024-12851】Element Pack LiteにXSS脆弱性、Contri...
WordPressプラグインElement Pack Liteにおいて、Cookie Consent Widgetのcustom_attributesパラメータに関する脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、バージョン5.10.14以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対策が求められる。
【CVE-2024-12851】Element Pack LiteにXSS脆弱性、Contri...
WordPressプラグインElement Pack Liteにおいて、Cookie Consent Widgetのcustom_attributesパラメータに関する脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、バージョン5.10.14以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対策が求められる。
【CVE-2024-13183】Orbit Fox by ThemeIsleプラグインにXSS...
WordPressプラグインのOrbit Fox by ThemeIsleにおいて、title_tagパラメータの入力検証と出力エスケープが不十分であることによる重大な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる格納型XSSの脆弱性として報告されており、CVSSスコアは6.4でMedium(中程度)の深刻度に分類されている。影響を受けるバージョンは2.10.43以前のすべてのバージョンとなっている。
【CVE-2024-13183】Orbit Fox by ThemeIsleプラグインにXSS...
WordPressプラグインのOrbit Fox by ThemeIsleにおいて、title_tagパラメータの入力検証と出力エスケープが不十分であることによる重大な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる格納型XSSの脆弱性として報告されており、CVSSスコアは6.4でMedium(中程度)の深刻度に分類されている。影響を受けるバージョンは2.10.43以前のすべてのバージョンとなっている。
【CVE-2025-0311】Orbit Fox by ThemeIsle 2.10.43にX...
WordPressプラグイン「Orbit Fox by ThemeIsle」のバージョン2.10.43以前にStored XSS脆弱性が発見された。Pricing Table Widgetにおける入力サニタイズと出力エスケープの不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4で、早急なアップデートが推奨される。
【CVE-2025-0311】Orbit Fox by ThemeIsle 2.10.43にX...
WordPressプラグイン「Orbit Fox by ThemeIsle」のバージョン2.10.43以前にStored XSS脆弱性が発見された。Pricing Table Widgetにおける入力サニタイズと出力エスケープの不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4で、早急なアップデートが推奨される。
【CVE-2025-21132】Adobe Substance3D - Stager 3.0....
Adobeは2025年1月14日、3Dコンテンツ制作ツールのSubstance3D - Stagerにおいて、バージョン3.0.4以前に深刻な脆弱性が存在することを公開した。CVE-2025-21132として報告されたこの脆弱性は、Out-of-bounds Write(CWE-787)に分類され、悪意のあるファイルを開くことで任意のコード実行が可能になる。CVSSスコアは7.8と高い深刻度を示しており、早急な対応が求められている。
【CVE-2025-21132】Adobe Substance3D - Stager 3.0....
Adobeは2025年1月14日、3Dコンテンツ制作ツールのSubstance3D - Stagerにおいて、バージョン3.0.4以前に深刻な脆弱性が存在することを公開した。CVE-2025-21132として報告されたこの脆弱性は、Out-of-bounds Write(CWE-787)に分類され、悪意のあるファイルを開くことで任意のコード実行が可能になる。CVSSスコアは7.8と高い深刻度を示しており、早急な対応が求められている。
セキュアワークスが2024年版サイバー脅威の実態レポートを公開、ランサムウェアグループの活動が...
セキュアワークス株式会社が2024年版サイバー脅威の実態レポートを公開。活動中のランサムウェアグループが前年比30%増加し、過去12か月間で31の新たなグループがエコシステムに参入。LockBitの被害組織数は全体の17%を占めるものの前年比8%減少する一方、PLAYグループは被害組織数が倍増し、RansomHubは被害組織数の7%を占める3番目に活発なグループへと成長している。
セキュアワークスが2024年版サイバー脅威の実態レポートを公開、ランサムウェアグループの活動が...
セキュアワークス株式会社が2024年版サイバー脅威の実態レポートを公開。活動中のランサムウェアグループが前年比30%増加し、過去12か月間で31の新たなグループがエコシステムに参入。LockBitの被害組織数は全体の17%を占めるものの前年比8%減少する一方、PLAYグループは被害組織数が倍増し、RansomHubは被害組織数の7%を占める3番目に活発なグループへと成長している。
三井情報がBeyond Identityと代理店契約を締結し、フィッシングに強い多要素認証ソリ...
三井情報株式会社は米Beyond Identity社と代理店契約を締結し、クラウド型の多要素認証ソリューションBeyond Identityの販売を2025年1月より開始する。フィッシング対策に強いパスワードレス認証を提供し、生体認証やデバイスベースの認証により高度なセキュリティを実現。情報システム部門の運用負荷軽減とゼロトラストセキュリティの確立に貢献する製品となる。
三井情報がBeyond Identityと代理店契約を締結し、フィッシングに強い多要素認証ソリ...
三井情報株式会社は米Beyond Identity社と代理店契約を締結し、クラウド型の多要素認証ソリューションBeyond Identityの販売を2025年1月より開始する。フィッシング対策に強いパスワードレス認証を提供し、生体認証やデバイスベースの認証により高度なセキュリティを実現。情報システム部門の運用負荷軽減とゼロトラストセキュリティの確立に貢献する製品となる。
【CVE-2025-0228】Local Storage Todo App 1.0にクロスサイ...
code-projects社のLocal Storage Todo App 1.0のindex.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。Add引数の操作により攻撃が可能で、CVSSスコアは最大5.1を記録。既に攻撃手法が公開されており、リモートからの攻撃も可能な状態。CWE-79とCWE-94に分類される深刻な脆弱性として、開発者の早急な対応が求められている。
【CVE-2025-0228】Local Storage Todo App 1.0にクロスサイ...
code-projects社のLocal Storage Todo App 1.0のindex.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。Add引数の操作により攻撃が可能で、CVSSスコアは最大5.1を記録。既に攻撃手法が公開されており、リモートからの攻撃も可能な状態。CWE-79とCWE-94に分類される深刻な脆弱性として、開発者の早急な対応が求められている。
【CVE-2025-21134】Adobe Illustrator on iPadにInteg...
Adobe Illustrator on iPadのバージョン3.0.7以前に、Integer Underflow(整数アンダーフロー)の脆弱性が発見された。CVSSスコア7.8の高リスク評価で、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、特権レベルは不要とされており、影響を受けるユーザーには早急なアップデートが推奨される。
【CVE-2025-21134】Adobe Illustrator on iPadにInteg...
Adobe Illustrator on iPadのバージョン3.0.7以前に、Integer Underflow(整数アンダーフロー)の脆弱性が発見された。CVSSスコア7.8の高リスク評価で、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、特権レベルは不要とされており、影響を受けるユーザーには早急なアップデートが推奨される。
【CVE-2024-12783】Vehicle Management System 1.0にX...
itsourcecodeのVehicle Management System 1.0において、billaction.phpファイルに影響するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-12783として識別されるこの脆弱性は、extra-costパラメータの処理に問題があり、リモートからの攻撃が可能。CVSSスコアは5.3を記録し、すでに公開されて攻撃に利用される可能性が指摘されている。
【CVE-2024-12783】Vehicle Management System 1.0にX...
itsourcecodeのVehicle Management System 1.0において、billaction.phpファイルに影響するクロスサイトスクリプティング脆弱性が発見された。CVE-2024-12783として識別されるこの脆弱性は、extra-costパラメータの処理に問題があり、リモートからの攻撃が可能。CVSSスコアは5.3を記録し、すでに公開されて攻撃に利用される可能性が指摘されている。
AI SPERAが新型フィッシング対策ツールをリリース、Outlookユーザーのセキュリティが...
AI SPERAは2025年1月15日、高度化するAIベースのフィッシング攻撃に対抗するため、リアルタイムURLスキャン技術を搭載した「Criminal IP悪性リンク検出器」をマイクロソフトマーケットプレイスでリリースした。Outlookのウェブブラウザ版とデスクトップアプリケーションに対応し、世界中の4億人以上のユーザーが利用可能となった。
AI SPERAが新型フィッシング対策ツールをリリース、Outlookユーザーのセキュリティが...
AI SPERAは2025年1月15日、高度化するAIベースのフィッシング攻撃に対抗するため、リアルタイムURLスキャン技術を搭載した「Criminal IP悪性リンク検出器」をマイクロソフトマーケットプレイスでリリースした。Outlookのウェブブラウザ版とデスクトップアプリケーションに対応し、世界中の4億人以上のユーザーが利用可能となった。
JCBがMyJCBにパスキーを導入、生体認証とマルチデバイス対応でセキュリティと利便性が向上
JCBは2025年秋頃、会員専用WEBサービス「MyJCB」に新しいログイン認証方法としてパスキーを導入する。パスワード入力が不要となり、生体認証やパターン認証などの端末認証を活用した本人確認が可能になる。複数端末での同期機能も実装され、セキュリティの強化と利便性の向上が期待される。
JCBがMyJCBにパスキーを導入、生体認証とマルチデバイス対応でセキュリティと利便性が向上
JCBは2025年秋頃、会員専用WEBサービス「MyJCB」に新しいログイン認証方法としてパスキーを導入する。パスワード入力が不要となり、生体認証やパターン認証などの端末認証を活用した本人確認が可能になる。複数端末での同期機能も実装され、セキュリティの強化と利便性の向上が期待される。
【CVE-2024-12883】code-projects Job Recruitment 1...
code-projects社のJob Recruitment 1.0において、_email.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はCVSS 4.0で6.9点(MEDIUM)と評価され、リモートからの攻撃が可能で特権が不要という特徴を持つ。すでにエクスプロイトコードが公開されており、早急な対応が必要とされている。
【CVE-2024-12883】code-projects Job Recruitment 1...
code-projects社のJob Recruitment 1.0において、_email.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はCVSS 4.0で6.9点(MEDIUM)と評価され、リモートからの攻撃が可能で特権が不要という特徴を持つ。すでにエクスプロイトコードが公開されており、早急な対応が必要とされている。
【CVE-2024-12846】Emlog Pro 2.4.1までのバージョンでXSS脆弱性が...
VulDBは2024年12月21日、Emlog Pro 2.4.1以前のバージョンにおいてクロスサイトスクリプティング(XSS)の脆弱性を発見したことを公表した。管理画面のlink.phpファイルのsiteurlとiconパラメータを操作することで攻撃が可能となり、CVE-2024-12846として識別された。CVSS 4.0での評価では深刻度は6.9点で中程度とされている。
【CVE-2024-12846】Emlog Pro 2.4.1までのバージョンでXSS脆弱性が...
VulDBは2024年12月21日、Emlog Pro 2.4.1以前のバージョンにおいてクロスサイトスクリプティング(XSS)の脆弱性を発見したことを公表した。管理画面のlink.phpファイルのsiteurlとiconパラメータを操作することで攻撃が可能となり、CVE-2024-12846として識別された。CVSS 4.0での評価では深刻度は6.9点で中程度とされている。