Tech Insights

【CVE-2025-26615】WeGIAにパストラバーサルの脆弱性、データベース情報への不正アクセスが可能な状態に

【CVE-2025-26615】WeGIAにパストラバーサルの脆弱性、データベース情報への不正...

ポルトガル語圏向けのオープンソース型施設管理Webアプリケーション「WeGIA」において、examples.phpエンドポイントにパストラバーサルの脆弱性が発見された。この脆弱性により、データベースへの直接アクセスを可能にする情報を含むconfig.phpファイルへの不正アクセスが可能な状態となっている。深刻度はCriticalでCVSSスコアは10.0を記録。LabRedesCefetRJは脆弱性の修正を含むバージョン3.2.14をリリースしており、速やかなアップデートを推奨している。

【CVE-2025-26615】WeGIAにパストラバーサルの脆弱性、データベース情報への不正...

ポルトガル語圏向けのオープンソース型施設管理Webアプリケーション「WeGIA」において、examples.phpエンドポイントにパストラバーサルの脆弱性が発見された。この脆弱性により、データベースへの直接アクセスを可能にする情報を含むconfig.phpファイルへの不正アクセスが可能な状態となっている。深刻度はCriticalでCVSSスコアは10.0を記録。LabRedesCefetRJは脆弱性の修正を含むバージョン3.2.14をリリースしており、速やかなアップデートを推奨している。

【CVE-2025-26611】WeGIAにSQLインジェクションの脆弱性、深刻度最高レベルで即急な対応が必要に

【CVE-2025-26611】WeGIAにSQLインジェクションの脆弱性、深刻度最高レベルで...

ポルトガル語圏向け機関管理システムWeGIAのremover_produto.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSS v4.0で最高レベルの深刻度10.0を記録し、攻撃者による任意のSQLクエリ実行が可能となる。バージョン3.2.13で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップグレードが必要。回避策は存在せず、早急な対応が求められる。

【CVE-2025-26611】WeGIAにSQLインジェクションの脆弱性、深刻度最高レベルで...

ポルトガル語圏向け機関管理システムWeGIAのremover_produto.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSS v4.0で最高レベルの深刻度10.0を記録し、攻撃者による任意のSQLクエリ実行が可能となる。バージョン3.2.13で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップグレードが必要。回避策は存在せず、早急な対応が求められる。

【CVE-2025-26609】WeGIAにSQLインジェクションの脆弱性、機密情報アクセスのリスクで即急な対応が必要

【CVE-2025-26609】WeGIAにSQLインジェクションの脆弱性、機密情報アクセスの...

ポルトガル語圏向けWeb管理システム「WeGIA」でSQLインジェクションの重大な脆弱性が発見された。familiar_docfamiliar.phpエンドポイントに存在する脆弱性により、認証なしで任意のSQLクエリ実行が可能となる。CVSSスコア10.0の最高レベルの深刻度で、バージョン3.2.13以前が影響を受ける。開発元は3.2.14で修正を実施、早急なアップグレードを推奨している。

【CVE-2025-26609】WeGIAにSQLインジェクションの脆弱性、機密情報アクセスの...

ポルトガル語圏向けWeb管理システム「WeGIA」でSQLインジェクションの重大な脆弱性が発見された。familiar_docfamiliar.phpエンドポイントに存在する脆弱性により、認証なしで任意のSQLクエリ実行が可能となる。CVSSスコア10.0の最高レベルの深刻度で、バージョン3.2.13以前が影響を受ける。開発元は3.2.14で修正を実施、早急なアップグレードを推奨している。

【CVE-2024-13538】BigBuy Dropshipping Connector for WooCommerceにフルパス開示の脆弱性、バージョン1.9.19以前に影響

【CVE-2024-13538】BigBuy Dropshipping Connector f...

WordPressプラグインのBigBuy Dropshipping Connector for WooCommerceにおいて、バージョン1.9.19以前に影響するフルパス開示の脆弱性が発見された。未認証の攻撃者による情報取得のリスクが存在し、CVSSスコア5.3(中程度)と評価されている。この脆弱性は他の攻撃と組み合わさることで重大な影響を及ぼす可能性があるため、早急な対応が推奨される。

【CVE-2024-13538】BigBuy Dropshipping Connector f...

WordPressプラグインのBigBuy Dropshipping Connector for WooCommerceにおいて、バージョン1.9.19以前に影響するフルパス開示の脆弱性が発見された。未認証の攻撃者による情報取得のリスクが存在し、CVSSスコア5.3(中程度)と評価されている。この脆弱性は他の攻撃と組み合わさることで重大な影響を及ぼす可能性があるため、早急な対応が推奨される。

【CVE-2024-13565】Simple Map No Apiにクロスサイトスクリプティングの脆弱性、Contributor権限で悪用の可能性

【CVE-2024-13565】Simple Map No Apiにクロスサイトスクリプティン...

WordPressプラグインSimple Map No Apiのバージョン1.9以前に深刻な格納型XSS脆弱性が発見された。Contributor以上の権限を持つユーザーがwidth属性を介して悪意のあるスクリプトを注入可能で、サイト訪問者のブラウザ上で実行される危険性がある。CVSSスコアは6.4で、攻撃の複雑さは低いものの特権レベルが必要とされている。

【CVE-2024-13565】Simple Map No Apiにクロスサイトスクリプティン...

WordPressプラグインSimple Map No Apiのバージョン1.9以前に深刻な格納型XSS脆弱性が発見された。Contributor以上の権限を持つユーザーがwidth属性を介して悪意のあるスクリプトを注入可能で、サイト訪問者のブラウザ上で実行される危険性がある。CVSSスコアは6.4で、攻撃の複雑さは低いものの特権レベルが必要とされている。

【CVE-2024-13582】WordPressプラグインSimple Pricing Tables For WPBakeryに深刻なXSS脆弱性が発見、Contributor権限での攻撃が可能に

【CVE-2024-13582】WordPressプラグインSimple Pricing Ta...

WordPressプラグイン「Simple Pricing Tables For WPBakery Page Builder」のバージョン1.0以前において、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる問題で、CVSSスコアは6.4(MEDIUM)と評価された。Wordfenceのセキュリティチームにより2025年2月18日に公開され、CVE-2024-13582として識別されている。

【CVE-2024-13582】WordPressプラグインSimple Pricing Ta...

WordPressプラグイン「Simple Pricing Tables For WPBakery Page Builder」のバージョン1.0以前において、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる問題で、CVSSスコアは6.4(MEDIUM)と評価された。Wordfenceのセキュリティチームにより2025年2月18日に公開され、CVE-2024-13582として識別されている。

【CVE-2025-27090】sliverチームサーバーでSSRF脆弱性が発見、バージョン1.5.43で修正完了

【CVE-2025-27090】sliverチームサーバーでSSRF脆弱性が発見、バージョン1...

BishopFox社が開発するセキュリティテストツールsliverのチームサーバーにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性により、オペレーターの指示なくインプラントがリバーストンネルを開設可能となり、サーバーのIPアドレスが露出するリスクが確認された。対策としてバージョン1.5.43がリリースされ、全ユーザーへのアップデートが推奨されている。

【CVE-2025-27090】sliverチームサーバーでSSRF脆弱性が発見、バージョン1...

BishopFox社が開発するセキュリティテストツールsliverのチームサーバーにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性により、オペレーターの指示なくインプラントがリバーストンネルを開設可能となり、サーバーのIPアドレスが露出するリスクが確認された。対策としてバージョン1.5.43がリリースされ、全ユーザーへのアップデートが推奨されている。

【CVE-2025-1441】Royal Elementor Addons and Templates脆弱性発見、クロスサイトリクエストフォージェリによる攻撃の危険性が判明

【CVE-2025-1441】Royal Elementor Addons and Templ...

WordPressプラグイン「Royal Elementor Addons and Templates」のバージョン1.7.1007以前に深刻な脆弱性が発見された。この脆弱性は認証されていない攻撃者が管理者に悪意のあるリンクをクリックさせることで、クロスサイトスクリプティングの実行が可能になる。CVSSスコアは6.1(MEDIUM)と評価されており、早急な対策が求められる。

【CVE-2025-1441】Royal Elementor Addons and Templ...

WordPressプラグイン「Royal Elementor Addons and Templates」のバージョン1.7.1007以前に深刻な脆弱性が発見された。この脆弱性は認証されていない攻撃者が管理者に悪意のあるリンクをクリックさせることで、クロスサイトスクリプティングの実行が可能になる。CVSSスコアは6.1(MEDIUM)と評価されており、早急な対策が求められる。

【CVE-2024-13802】WordPressプラグインBandsintown Events 1.3.1に深刻な脆弱性、Contributor権限で攻撃可能に

【CVE-2024-13802】WordPressプラグインBandsintown Event...

WordPressプラグインBandsintown Eventsにおいて、バージョン1.3.1以下に重大な脆弱性が発見された。この脆弱性はCVE-2024-13802として識別され、入力値の不十分なサニタイズとエスケープ処理に起因するクロスサイトスクリプティング(XSS)の問題である。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2024-13802】WordPressプラグインBandsintown Event...

WordPressプラグインBandsintown Eventsにおいて、バージョン1.3.1以下に重大な脆弱性が発見された。この脆弱性はCVE-2024-13802として識別され、入力値の不十分なサニタイズとエスケープ処理に起因するクロスサイトスクリプティング(XSS)の問題である。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1673】ZephyrのDNSバリデーション機能に深刻な脆弱性、境界外読み取りによるシステムクラッシュの危険性

【CVE-2025-1673】ZephyrのDNSバリデーション機能に深刻な脆弱性、境界外読み...

Zephyr Projectが2025年2月25日に公開した脆弱性情報によると、Zephyr 4.0以前のバージョンにおいてDNSメッセージ検証機能に境界外読み取りの脆弱性が存在することが判明した。CVE-2025-1673として識別されたこの脆弱性は、CVSSスコア8.2の高い深刻度を持ち、悪意のあるDNSパケットによってシステムクラッシュやサービス拒否を引き起こす可能性がある。

【CVE-2025-1673】ZephyrのDNSバリデーション機能に深刻な脆弱性、境界外読み...

Zephyr Projectが2025年2月25日に公開した脆弱性情報によると、Zephyr 4.0以前のバージョンにおいてDNSメッセージ検証機能に境界外読み取りの脆弱性が存在することが判明した。CVE-2025-1673として識別されたこの脆弱性は、CVSSスコア8.2の高い深刻度を持ち、悪意のあるDNSパケットによってシステムクラッシュやサービス拒否を引き起こす可能性がある。

Benner ModernaNetでSQL injection脆弱性が発見、バージョン1.1.1で対策可能に

Benner ModernaNetでSQL injection脆弱性が発見、バージョン1.1....

Benner ModernaNetのバージョン1.1.0以前にSQL injection脆弱性が発見された。この脆弱性はCVE-2025-1640として識別され、特定のURLパラメータを介してリモートから攻撃が可能となっている。CVSSスコアは6.9(MEDIUM)と評価されており、開発元は既に対策版となるバージョン1.1.1をリリースしている。早急なアップデートが推奨される。

Benner ModernaNetでSQL injection脆弱性が発見、バージョン1.1....

Benner ModernaNetのバージョン1.1.0以前にSQL injection脆弱性が発見された。この脆弱性はCVE-2025-1640として識別され、特定のURLパラメータを介してリモートから攻撃が可能となっている。CVSSスコアは6.9(MEDIUM)と評価されており、開発元は既に対策版となるバージョン1.1.1をリリースしている。早急なアップデートが推奨される。

MicrosoftがSharePoint Framework 1.21プレビュー版をリリース、Webパーツのレイアウト設定機能が強化され開発効率が向上

MicrosoftがSharePoint Framework 1.21プレビュー版をリリース、...

MicrosoftはSharePoint Framework 1.21のパブリックプレビュー版を2025年3月3日に公開した。Webパーツのフレキシブルレイアウト設定やViva Connectionsダッシュボードでのカードパーソナライゼーション機能が追加され、開発者の選択肢が拡大。正式版は2025年春にリリース予定で、Microsoft Teams、Microsoft Viva、SharePoint向けのカスタム開発がより柔軟に。

MicrosoftがSharePoint Framework 1.21プレビュー版をリリース、...

MicrosoftはSharePoint Framework 1.21のパブリックプレビュー版を2025年3月3日に公開した。Webパーツのフレキシブルレイアウト設定やViva Connectionsダッシュボードでのカードパーソナライゼーション機能が追加され、開発者の選択肢が拡大。正式版は2025年春にリリース予定で、Microsoft Teams、Microsoft Viva、SharePoint向けのカスタム開発がより柔軟に。

GoogleがAIコーディング支援の個人向けGemini Code Assistを無償提供、月18万回までのコード補完が可能に

GoogleがAIコーディング支援の個人向けGemini Code Assistを無償提供、月...

Googleは個人向けGemini Code Assistのパブリックプレビューを発表し、世界中の開発者に向けて実質無制限のAIコーディング支援を提供開始。Gemini 2.0を基盤とし、Visual Studio CodeやGitHub、JetBrains IDEに対応。個人用Gmailアカウントのみで利用可能で、月間最大180,000回のコード補完機能を無償で提供する。

GoogleがAIコーディング支援の個人向けGemini Code Assistを無償提供、月...

Googleは個人向けGemini Code Assistのパブリックプレビューを発表し、世界中の開発者に向けて実質無制限のAIコーディング支援を提供開始。Gemini 2.0を基盤とし、Visual Studio CodeやGitHub、JetBrains IDEに対応。個人用Gmailアカウントのみで利用可能で、月間最大180,000回のコード補完機能を無償で提供する。

ConorisTechnologiesがAPIセキュリティウェビナーを開催、SaaSベンダー向けにリスク対策を解説

ConorisTechnologiesがAPIセキュリティウェビナーを開催、SaaSベンダー向...

2025年3月18日、ConorisTechnologies代表の井上幸氏がAnyflow主催のウェビナー「APIとセキュリティの最前線」に登壇する。マネーフォワード執行役員の廣原亜樹氏らと共に、SaaS間のデータ連携におけるAPIセキュリティの課題と解決策について議論を展開。開発者やセキュリティ担当者向けに、APIの利便性とリスク、セキュリティ対策の具体的な実装方法について解説予定だ。

ConorisTechnologiesがAPIセキュリティウェビナーを開催、SaaSベンダー向...

2025年3月18日、ConorisTechnologies代表の井上幸氏がAnyflow主催のウェビナー「APIとセキュリティの最前線」に登壇する。マネーフォワード執行役員の廣原亜樹氏らと共に、SaaS間のデータ連携におけるAPIセキュリティの課題と解決策について議論を展開。開発者やセキュリティ担当者向けに、APIの利便性とリスク、セキュリティ対策の具体的な実装方法について解説予定だ。

株式会社UnReactがShopify向け離脱防止ポップアップアプリをリリース、ノーコードで簡単実装が可能に

株式会社UnReactがShopify向け離脱防止ポップアップアプリをリリース、ノーコードで簡...

福岡県のITベンチャー企業UnReactが、Shopify向けアプリ「シンプル離脱防止ポップアップ|お手軽ポップアップバナー」をリリース。カーソル移動や時間経過など6種類の条件でポップアップバナーを表示可能で、ノーコードでの実装を実現。クールダウン時間の設定やページ遷移時の設定維持など、細かな制御機能も搭載している。

株式会社UnReactがShopify向け離脱防止ポップアップアプリをリリース、ノーコードで簡...

福岡県のITベンチャー企業UnReactが、Shopify向けアプリ「シンプル離脱防止ポップアップ|お手軽ポップアップバナー」をリリース。カーソル移動や時間経過など6種類の条件でポップアップバナーを表示可能で、ノーコードでの実装を実現。クールダウン時間の設定やページ遷移時の設定維持など、細かな制御機能も搭載している。

テンダとNTTデータがRPAシナリオの属人化解消ウェビナーを開催、透明性の高い業務運用を実現へ

テンダとNTTデータがRPAシナリオの属人化解消ウェビナーを開催、透明性の高い業務運用を実現へ

株式会社テンダと株式会社NTTデータが、RPAシナリオの属人化とブラックボックス化の解消をテーマとしたウェビナーを2025年3月14日に共催する。WinActorの機能紹介とマニュアル作成ツールDojoの活用方法を通じて、RPAの透明性の高い運用方法について具体的に解説する予定だ。累計導入社数3,000社以上の実績を持つDojoを活用することで、効率的なマニュアル作成と業務の標準化が実現できる。

テンダとNTTデータがRPAシナリオの属人化解消ウェビナーを開催、透明性の高い業務運用を実現へ

株式会社テンダと株式会社NTTデータが、RPAシナリオの属人化とブラックボックス化の解消をテーマとしたウェビナーを2025年3月14日に共催する。WinActorの機能紹介とマニュアル作成ツールDojoの活用方法を通じて、RPAの透明性の高い運用方法について具体的に解説する予定だ。累計導入社数3,000社以上の実績を持つDojoを活用することで、効率的なマニュアル作成と業務の標準化が実現できる。

弁護士ドットコムがAIスキル面接サービスHireRooを導入、エンジニア採用の効率化と評価精度向上を実現

弁護士ドットコムがAIスキル面接サービスHireRooを導入、エンジニア採用の効率化と評価精度...

弁護士ドットコムは、株式会社ハイヤールーが提供するAIスキル面接サービス「HireRoo」を導入し、エンジニア採用プロセスを刷新。従来のコーディング試験における評価のばらつきや生成AI不正の課題を解決し、自動採点による評価指標の統一化と候補者体験の向上を実現。既に150社以上が導入し累計選考数40,000件を突破している本サービスにより、さらなるエンジニア採用の強化を目指す。

弁護士ドットコムがAIスキル面接サービスHireRooを導入、エンジニア採用の効率化と評価精度...

弁護士ドットコムは、株式会社ハイヤールーが提供するAIスキル面接サービス「HireRoo」を導入し、エンジニア採用プロセスを刷新。従来のコーディング試験における評価のばらつきや生成AI不正の課題を解決し、自動採点による評価指標の統一化と候補者体験の向上を実現。既に150社以上が導入し累計選考数40,000件を突破している本サービスにより、さらなるエンジニア採用の強化を目指す。

クラスモールキッズがマインクラフトを活用したSPRING CAMP 2025を開催、プログラミング教育の選択肢が拡大

クラスモールキッズがマインクラフトを活用したSPRING CAMP 2025を開催、プログラミ...

株式会社YAGOが運営するクラスモールキッズは、2025年3月15日から4月13日まで、マインクラフトを活用したオンラインプログラミングキャンプ「SPRING CAMP 2025」を開催する。年長から中学生までを対象に4つのコースを提供し、4日間完結で学べる特別プログラムとなっている。早期申込割引や友人紹介割引も用意され、より多くの子どもたちがプログラミング学習を始められる機会を提供する。

クラスモールキッズがマインクラフトを活用したSPRING CAMP 2025を開催、プログラミ...

株式会社YAGOが運営するクラスモールキッズは、2025年3月15日から4月13日まで、マインクラフトを活用したオンラインプログラミングキャンプ「SPRING CAMP 2025」を開催する。年長から中学生までを対象に4つのコースを提供し、4日間完結で学べる特別プログラムとなっている。早期申込割引や友人紹介割引も用意され、より多くの子どもたちがプログラミング学習を始められる機会を提供する。

BreakAIが次世代AIターミナルエミュレーターAlmighttyを発表、ローカルLLMとAIサービスの統合で開発効率が向上

BreakAIが次世代AIターミナルエミュレーターAlmighttyを発表、ローカルLLMとA...

BreakAI株式会社が開発者向けAIターミナルエミュレーターAlmighttyのウェイティングリスト登録を開始。tinyswallow-1.5BやDeepSeek-R1-Distill-Qwen-7BなどのローカルLLMを活用し、インターネット接続なしでもAI支援機能を利用可能。ChatGPT APIとの連携やセキュアな仮想環境での実行など、安全で効率的な開発環境を実現する。

BreakAIが次世代AIターミナルエミュレーターAlmighttyを発表、ローカルLLMとA...

BreakAI株式会社が開発者向けAIターミナルエミュレーターAlmighttyのウェイティングリスト登録を開始。tinyswallow-1.5BやDeepSeek-R1-Distill-Qwen-7BなどのローカルLLMを活用し、インターネット接続なしでもAI支援機能を利用可能。ChatGPT APIとの連携やセキュアな仮想環境での実行など、安全で効率的な開発環境を実現する。

CHINTAIが学生向け新生活支援『ガクサポ』を開始、引越しお祝いBOXと情報サイトで一人暮らしをサポート

CHINTAIが学生向け新生活支援『ガクサポ』を開始、引越しお祝いBOXと情報サイトで一人暮ら...

株式会社CHINTAIは2025年3月1日より、学生の新生活を支援する『ガクサポ』を開始した。11社の企業と連携し、引越し初日に役立つアイテムを詰め合わせた「引越しお祝いBOX」を先着600名に提供。加えて、新生活情報を発信する「くらしサポート」の運営を通じて、プログラミング検定割引や芸術鑑賞特典など、学生生活を豊かにするサービスを展開する。

CHINTAIが学生向け新生活支援『ガクサポ』を開始、引越しお祝いBOXと情報サイトで一人暮ら...

株式会社CHINTAIは2025年3月1日より、学生の新生活を支援する『ガクサポ』を開始した。11社の企業と連携し、引越し初日に役立つアイテムを詰め合わせた「引越しお祝いBOX」を先着600名に提供。加えて、新生活情報を発信する「くらしサポート」の運営を通じて、プログラミング検定割引や芸術鑑賞特典など、学生生活を豊かにするサービスを展開する。

No.1がソフトウェア開発のコードを子会社化、OZ MODEとの連携でIT人材不足の解決へ前進

No.1がソフトウェア開発のコードを子会社化、OZ MODEとの連携でIT人材不足の解決へ前進

株式会社No.1がソフトウェアの受託開発企業である株式会社コードの全株式を取得する株式譲渡契約を締結した。2024年のOZ MODE子会社化に続く戦略的なM&Aにより、レガシーからオープン系まで幅広いシステム開発に対応可能な体制を構築。グループ間のシナジーを活かしたIT人材育成にも注力し、業界全体が直面する人材不足の解決を目指す。

No.1がソフトウェア開発のコードを子会社化、OZ MODEとの連携でIT人材不足の解決へ前進

株式会社No.1がソフトウェアの受託開発企業である株式会社コードの全株式を取得する株式譲渡契約を締結した。2024年のOZ MODE子会社化に続く戦略的なM&Aにより、レガシーからオープン系まで幅広いシステム開発に対応可能な体制を構築。グループ間のシナジーを活かしたIT人材育成にも注力し、業界全体が直面する人材不足の解決を目指す。

【CVE-2025-24438】Adobe Commerce 2.4.8以前のバージョンでXSS脆弱性、セッション乗っ取りのリスクが深刻に

【CVE-2025-24438】Adobe Commerce 2.4.8以前のバージョンでXS...

Adobe Commerceの複数バージョンにストアドXSS脆弱性が発見された。影響を受けるバージョンは2.4.8-beta1以前のすべてで、低権限の攻撃者によって悪用される可能性がある。脆弱なフォームフィールドにマリシャススクリプトを注入され、被害者のブラウザ上で実行されることでセッションの乗っ取りなどの深刻な影響をもたらす可能性が指摘されている。CVSSスコアは8.7と高く評価されており、早急な対応が必要だ。

【CVE-2025-24438】Adobe Commerce 2.4.8以前のバージョンでXS...

Adobe Commerceの複数バージョンにストアドXSS脆弱性が発見された。影響を受けるバージョンは2.4.8-beta1以前のすべてで、低権限の攻撃者によって悪用される可能性がある。脆弱なフォームフィールドにマリシャススクリプトを注入され、被害者のブラウザ上で実行されることでセッションの乗っ取りなどの深刻な影響をもたらす可能性が指摘されている。CVSSスコアは8.7と高く評価されており、早急な対応が必要だ。

【CVE-2025-0808】Houzez Property Feed 2.4.21にCSRF脆弱性、プロパティデータ削除の危険性が判明

【CVE-2025-0808】Houzez Property Feed 2.4.21にCSRF...

WordPressプラグイン「Houzez Property Feed」のバージョン2.4.21以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることで、プロパティフィードのエクスポートデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-0808】Houzez Property Feed 2.4.21にCSRF...

WordPressプラグイン「Houzez Property Feed」のバージョン2.4.21以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることで、プロパティフィードのエクスポートデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-27113】libxml2にNULLポインタ参照の脆弱性、複数バージョンで深刻な影響の可能性

【CVE-2025-27113】libxml2にNULLポインタ参照の脆弱性、複数バージョンで...

xmlsoft社のlibxml2において重大な脆弱性が発見された。この脆弱性はpattern.cのxmlPatMatch関数でNULLポインタ参照が発生するもので、バージョン2.12.10未満および2.13.0から2.13.6未満に影響を与える。CVSSスコアは2.9(Low)と評価されており、ローカル環境からの攻撃が可能だが、特別な権限は不要。CISAの評価では自動化された攻撃は確認されていないものの、早急な対応が推奨される。

【CVE-2025-27113】libxml2にNULLポインタ参照の脆弱性、複数バージョンで...

xmlsoft社のlibxml2において重大な脆弱性が発見された。この脆弱性はpattern.cのxmlPatMatch関数でNULLポインタ参照が発生するもので、バージョン2.12.10未満および2.13.0から2.13.6未満に影響を与える。CVSSスコアは2.9(Low)と評価されており、ローカル環境からの攻撃が可能だが、特別な権限は不要。CISAの評価では自動化された攻撃は確認されていないものの、早急な対応が推奨される。

【CVE-2025-26613】WeGIAにOS Command Injection脆弱性、バックアップ管理機能に重大な欠陥

【CVE-2025-26613】WeGIAにOS Command Injection脆弱性、バ...

ポルトガル語圏向けWeb管理システムWeGIAのgerenciar_backup.phpエンドポイントにOS Command Injectionの脆弱性が発見された。CVSSスコア10.0の最高レベルの深刻度で、攻撃者による任意のコード実行が可能となる。バージョン3.2.14で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップデートが必要となる。

【CVE-2025-26613】WeGIAにOS Command Injection脆弱性、バ...

ポルトガル語圏向けWeb管理システムWeGIAのgerenciar_backup.phpエンドポイントにOS Command Injectionの脆弱性が発見された。CVSSスコア10.0の最高レベルの深刻度で、攻撃者による任意のコード実行が可能となる。バージョン3.2.14で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップデートが必要となる。

【CVE-2025-26608】WeGIAにSQLインジェクションの脆弱性、最高深刻度で即時アップデートが必要

【CVE-2025-26608】WeGIAにSQLインジェクションの脆弱性、最高深刻度で即時ア...

ポルトガル語圏向けのオープンソースWeb管理システムWeGIAで、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-26608として識別されるこの脆弱性は、dependente_docdependente.phpエンドポイントに存在し、CVSS 4.0で最高レベルの10.0と評価された。開発元は修正版のバージョン3.2.13をリリースしており、影響を受けるユーザーは直ちにアップデートが必要だ。

【CVE-2025-26608】WeGIAにSQLインジェクションの脆弱性、最高深刻度で即時ア...

ポルトガル語圏向けのオープンソースWeb管理システムWeGIAで、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-26608として識別されるこの脆弱性は、dependente_docdependente.phpエンドポイントに存在し、CVSS 4.0で最高レベルの10.0と評価された。開発元は修正版のバージョン3.2.13をリリースしており、影響を受けるユーザーは直ちにアップデートが必要だ。

【CVE-2025-27089】Directus 11.0.0-11.1.2に認可の脆弱性、フィールドレベルの権限チェックを強化し修正完了

【CVE-2025-27089】Directus 11.0.0-11.1.2に認可の脆弱性、フ...

GitHubは2025年2月19日、データベース管理システムDirectusにおいて重複したポリシーによって更新制限を回避できる脆弱性を公開した。CVE-2025-27089として識別されたこの脆弱性は、複数の更新アクションポリシーが重複している場合に発生し、ユーザーは本来アクセスできないはずのフィールドを更新できてしまう状態となっていた。開発チームは11.1.2でフィールドごとの権限評価を実装し問題を修正している。

【CVE-2025-27089】Directus 11.0.0-11.1.2に認可の脆弱性、フ...

GitHubは2025年2月19日、データベース管理システムDirectusにおいて重複したポリシーによって更新制限を回避できる脆弱性を公開した。CVE-2025-27089として識別されたこの脆弱性は、複数の更新アクションポリシーが重複している場合に発生し、ユーザーは本来アクセスできないはずのフィールドを更新できてしまう状態となっていた。開発チームは11.1.2でフィールドごとの権限評価を実装し問題を修正している。

GitLab社がDevOpsプラットフォーム17.9を発表、生成AIのセルフホスト環境での活用が可能に

GitLab社がDevOpsプラットフォーム17.9を発表、生成AIのセルフホスト環境での活用...

GitLab社は2024年2月21日、DevOpsプラットフォームの最新版となるGitLab 17.9を正式リリースした。生成AIの大規模言語モデル(LLM)を閉じた環境にデプロイ可能なGitLab Duo Self-Hostedの一般提供が開始され、MistralモデルやAWS BedrockのClaude 3.5 Sonnet、Azure OpenAIのOpenAIモデルをサポート。これにより、外部サービスに依存することなくデータ主権とプライバシーを確保しながら生成AIの活用が可能となった。

GitLab社がDevOpsプラットフォーム17.9を発表、生成AIのセルフホスト環境での活用...

GitLab社は2024年2月21日、DevOpsプラットフォームの最新版となるGitLab 17.9を正式リリースした。生成AIの大規模言語モデル(LLM)を閉じた環境にデプロイ可能なGitLab Duo Self-Hostedの一般提供が開始され、MistralモデルやAWS BedrockのClaude 3.5 Sonnet、Azure OpenAIのOpenAIモデルをサポート。これにより、外部サービスに依存することなくデータ主権とプライバシーを確保しながら生成AIの活用が可能となった。

MicrosoftがQuarkusのAzure Event Hubs Extension 1.1.1をリリース、Microsoft Entra IDによるセキュリティ強化を実現

MicrosoftがQuarkusのAzure Event Hubs Extension 1....

MicrosoftはJakarta EEとMicroProfileのAzure対応を強化し、Quarkus向けAzure Event Hubs Extension 1.1.1をリリースした。この拡張機能により、毎秒数百万のイベントを処理可能な大規模なイベント取り込みサービスが提供される。また、Azure Blob StorageとApp Configuration ExtensionにMicrosoft Entra IDのサポートが追加され、セキュリティが強化された。

MicrosoftがQuarkusのAzure Event Hubs Extension 1....

MicrosoftはJakarta EEとMicroProfileのAzure対応を強化し、Quarkus向けAzure Event Hubs Extension 1.1.1をリリースした。この拡張機能により、毎秒数百万のイベントを処理可能な大規模なイベント取り込みサービスが提供される。また、Azure Blob StorageとApp Configuration ExtensionにMicrosoft Entra IDのサポートが追加され、セキュリティが強化された。

MicrosoftがAI Shell Preview 2を公開、Azure PowerShellとサードパーティAIモデルの統合を強化

MicrosoftがAI Shell Preview 2を公開、Azure PowerShel...

MicrosoftはAI Shell Preview 2を2025年2月28日にリリースした。Azure PowerShellの統合強化により、AIによるスクリプト生成とConnect-AzAccountコマンドによる認証が可能になった。また、Ollama、LM Studio、Deepseek、LocalAI、Google Gemini、Grokなど、第三者提供のOpenAI互換モデルもサポートし、エラー処理機能とOllamaエージェントも改善している。

MicrosoftがAI Shell Preview 2を公開、Azure PowerShel...

MicrosoftはAI Shell Preview 2を2025年2月28日にリリースした。Azure PowerShellの統合強化により、AIによるスクリプト生成とConnect-AzAccountコマンドによる認証が可能になった。また、Ollama、LM Studio、Deepseek、LocalAI、Google Gemini、Grokなど、第三者提供のOpenAI互換モデルもサポートし、エラー処理機能とOllamaエージェントも改善している。