Tech Insights

MicrosoftがWindows向けCopilotに音声対話機能を追加、キーボードショートカットで快適な操作が可能に

MicrosoftがWindows向けCopilotに音声対話機能を追加、キーボードショートカ...

MicrosoftはWindows向けCopilotアプリの新機能として音声対話機能「Press to talk」をWindows Insider向けに提供開始した。Alt + Spacebarキーの長押しで音声対話を開始でき、Escキーまたは無音検出で自動終了する機能を実装。バージョン1.25024.100.0以降で利用可能だが、段階的な展開となるため即座の利用は限定的となる。

MicrosoftがWindows向けCopilotに音声対話機能を追加、キーボードショートカ...

MicrosoftはWindows向けCopilotアプリの新機能として音声対話機能「Press to talk」をWindows Insider向けに提供開始した。Alt + Spacebarキーの長押しで音声対話を開始でき、Escキーまたは無音検出で自動終了する機能を実装。バージョン1.25024.100.0以降で利用可能だが、段階的な展開となるため即座の利用は限定的となる。

【CVE-2025-1361】IP2Location Country Blockerに重大な認可機能の不備、未認証アクセスによる設定情報漏洩の危険性

【CVE-2025-1361】IP2Location Country Blockerに重大な認...

WordPressプラグインのIP2Location Country Blockerにおいて、バージョン2.38.8以前に重大な認可機能の不備が発見された。admin_init関数における認可チェックの欠如により、未認証の攻撃者がプラグインの設定情報を閲覧可能な状態となっている。CVSSスコア7.5のHIGHレベルと評価されており、早急な対応が必要とされている。

【CVE-2025-1361】IP2Location Country Blockerに重大な認...

WordPressプラグインのIP2Location Country Blockerにおいて、バージョン2.38.8以前に重大な認可機能の不備が発見された。admin_init関数における認可チェックの欠如により、未認証の攻撃者がプラグインの設定情報を閲覧可能な状態となっている。CVSSスコア7.5のHIGHレベルと評価されており、早急な対応が必要とされている。

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱性、バージョン1.3.7以下で発見

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱...

チャットウィジェットサービスTawkTo Widgetのバージョン1.3.7以下にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-57026として識別されるこの脆弱性は、ユーザー入力の不適切な処理によってJavaScriptコードの実行が可能になる問題。CISAによってCVSSスコア6.1(中程度)と評価され、特別な権限なしで攻撃可能だが、ユーザーの操作が必要となる。

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱...

チャットウィジェットサービスTawkTo Widgetのバージョン1.3.7以下にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-57026として識別されるこの脆弱性は、ユーザー入力の不適切な処理によってJavaScriptコードの実行が可能になる問題。CISAによってCVSSスコア6.1(中程度)と評価され、特別な権限なしで攻撃可能だが、ユーザーの操作が必要となる。

【CVE-2025-26988】WordPress SMS Alert Order Notifications 3.7.8にSQLインジェクションの脆弱性、緊急アップデートの適用が必要に

【CVE-2025-26988】WordPress SMS Alert Order Notif...

Patchstack OÜは2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications - WooCommerce」のバージョン3.7.8以前にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコア9.3のクリティカルな評価を受けており、特別な権限や利用者の操作を必要とせずに遠隔から攻撃を実行できる可能性がある。Cozy Vision社は脆弱性に対応したバージョン3.7.9をリリースしており、速やかなアップデートを推奨している。

【CVE-2025-26988】WordPress SMS Alert Order Notif...

Patchstack OÜは2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications - WooCommerce」のバージョン3.7.8以前にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコア9.3のクリティカルな評価を受けており、特別な権限や利用者の操作を必要とせずに遠隔から攻撃を実行できる可能性がある。Cozy Vision社は脆弱性に対応したバージョン3.7.9をリリースしており、速やかなアップデートを推奨している。

【CVE-2025-26984】WordPress用プラグインSMS Alert Order Notificationsにクロスサイトスクリプティングの脆弱性、バージョン3.7.8以前に影響

【CVE-2025-26984】WordPress用プラグインSMS Alert Order ...

Patchstack OÜが2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications」にXSS脆弱性が存在することを公開した。CVSSスコア7.1の高リスク脆弱性として評価されており、バージョン3.7.8以前のすべてのバージョンが影響を受ける。開発元のCozy Visionは修正版としてバージョン3.7.9をリリースしており、ユーザーには早急なアップデートが推奨される。

【CVE-2025-26984】WordPress用プラグインSMS Alert Order ...

Patchstack OÜが2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications」にXSS脆弱性が存在することを公開した。CVSSスコア7.1の高リスク脆弱性として評価されており、バージョン3.7.8以前のすべてのバージョンが影響を受ける。開発元のCozy Visionは修正版としてバージョン3.7.9をリリースしており、ユーザーには早急なアップデートが推奨される。

【CVE-2025-21089】OpenHarmony v5.0.2でOut-of-bounds Read脆弱性が発見、ローカル攻撃によるDOS攻撃のリスクに

【CVE-2025-21089】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、境界外読み取りの脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、ローカル攻撃者によってサービス妨害攻撃が実行される可能性がある。CVSSスコアは3.1でLowと評価され、攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは低いとされている。

【CVE-2025-21089】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、境界外読み取りの脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、ローカル攻撃者によってサービス妨害攻撃が実行される可能性がある。CVSSスコアは3.1でLowと評価され、攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは低いとされている。

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリインストールアプリで任意コード実行の可能性

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...

OpenHarmonyのCommunication DsoftbusにおいてUAF(Use After Free)脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響し、プリインストールアプリケーションを介した任意のコード実行を可能にする。CVSSスコアは3.1で深刻度は低いものの、適切な対策が必要とされている。特定の制限されたシナリオでのみ悪用可能だが、システムの機密性への影響が懸念される。

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...

OpenHarmonyのCommunication DsoftbusにおいてUAF(Use After Free)脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響し、プリインストールアプリケーションを介した任意のコード実行を可能にする。CVSSスコアは3.1で深刻度は低いものの、適切な対策が必要とされている。特定の制限されたシナリオでのみ悪用可能だが、システムの機密性への影響が懸念される。

Windows 11ベータ版が大幅アップデート、File Explorer機能とスナップグループ推奨機能の強化でユーザビリティが向上

Windows 11ベータ版が大幅アップデート、File Explorer機能とスナップグルー...

MicrosoftはWindows 11 Insider Preview Build 22635.5025をBetaチャネルにリリース。個人Microsoft accountユーザー向けにFile ExplorerのRecommended files機能を開放し、Start menuにはAIベースのスナップグループ推奨機能を追加。さらにEEA地域向けのWeb検索強化やFile Explorer終了時の遅延問題も修正され、全体的な使い勝手が改善された。

Windows 11ベータ版が大幅アップデート、File Explorer機能とスナップグルー...

MicrosoftはWindows 11 Insider Preview Build 22635.5025をBetaチャネルにリリース。個人Microsoft accountユーザー向けにFile ExplorerのRecommended files機能を開放し、Start menuにはAIベースのスナップグループ推奨機能を追加。さらにEEA地域向けのWeb検索強化やFile Explorer終了時の遅延問題も修正され、全体的な使い勝手が改善された。

【CVE-2025-21789】Linux kernelのLoongArchチェックサム処理に重大な脆弱性、複数バージョンで修正パッチ提供開始

【CVE-2025-21789】Linux kernelのLoongArchチェックサム処理に...

Linux kernelの開発チームは2025年2月27日、LoongArchアーキテクチャのIPチェックサム処理における深刻な脆弱性を修正したことを発表した。この問題はコミットID 69e3a6aa6be2で導入された64ビットシステム向けのチェックサム最適化機能に起因しており、負の長さの入力時に未定義のシフト操作とバッファオーバーフローが発生する。影響を受けるバージョンは6.4以降の特定範囲で、既に複数の修正パッチが提供されている。

【CVE-2025-21789】Linux kernelのLoongArchチェックサム処理に...

Linux kernelの開発チームは2025年2月27日、LoongArchアーキテクチャのIPチェックサム処理における深刻な脆弱性を修正したことを発表した。この問題はコミットID 69e3a6aa6be2で導入された64ビットシステム向けのチェックサム最適化機能に起因しており、負の長さの入力時に未定義のシフト操作とバッファオーバーフローが発生する。影響を受けるバージョンは6.4以降の特定範囲で、既に複数の修正パッチが提供されている。

【CVE-2024-13556】WordPressプラグイン「Affiliate Links」に認証バイパスとPHPオブジェクトインジェクションの重大な脆弱性が発見

【CVE-2024-13556】WordPressプラグイン「Affiliate Links」...

WordPressプラグイン「Affiliate Links」のバージョン3.0.1以前に重大な脆弱性が発見された。未認証の攻撃者がファイルエクスポートを介してPHPオブジェクトインジェクション攻撃を実行可能で、CVSSスコア8.1の高リスク評価となっている。他のプラグインやテーマとの組み合わせにより、任意のファイル削除や機密データの取得、コード実行などの深刻な影響をもたらす可能性がある。

【CVE-2024-13556】WordPressプラグイン「Affiliate Links」...

WordPressプラグイン「Affiliate Links」のバージョン3.0.1以前に重大な脆弱性が発見された。未認証の攻撃者がファイルエクスポートを介してPHPオブジェクトインジェクション攻撃を実行可能で、CVSSスコア8.1の高リスク評価となっている。他のプラグインやテーマとの組み合わせにより、任意のファイル削除や機密データの取得、コード実行などの深刻な影響をもたらす可能性がある。

【CVE-2024-13622】WooCommerce File Uploads Addonに深刻な脆弱性、顧客データの漏洩リスクが浮上

【CVE-2024-13622】WooCommerce File Uploads Addonに...

WordPressプラグインのWooCommerce File Uploads Addonにおいて、バージョン1.7.1以前の全バージョンに深刻な脆弱性が発見された。未認証の攻撃者がuploadsディレクトリを通じて顧客のアップロードファイルにアクセス可能となっており、CVSSスコア7.5のHighレベルの危険性が報告されている。早急なセキュリティ対策が求められる状況だ。

【CVE-2024-13622】WooCommerce File Uploads Addonに...

WordPressプラグインのWooCommerce File Uploads Addonにおいて、バージョン1.7.1以前の全バージョンに深刻な脆弱性が発見された。未認証の攻撃者がuploadsディレクトリを通じて顧客のアップロードファイルにアクセス可能となっており、CVSSスコア7.5のHighレベルの危険性が報告されている。早急なセキュリティ対策が求められる状況だ。

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証不要で任意のショートコード実行が可能に

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証...

WordPressテーマPressMart - Modern Elementor WooCommerce WordPress Themeにおいて、バージョン1.2.16以前のすべてのバージョンに影響を与える重大な脆弱性が発見された。この脆弱性はCVE-2024-13797として登録され、認証なしで任意のショートコードを実行可能であることから、CVSS評価で7.3(High)と高い深刻度が付与されている。

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証...

WordPressテーマPressMart - Modern Elementor WooCommerce WordPress Themeにおいて、バージョン1.2.16以前のすべてのバージョンに影響を与える重大な脆弱性が発見された。この脆弱性はCVE-2024-13797として登録され、認証なしで任意のショートコードを実行可能であることから、CVSS評価で7.3(High)と高い深刻度が付与されている。

【CVE-2024-13522】magayo Lottery Results 2.0.12にCSRF脆弱性、管理者権限での不正実行の危険性

【CVE-2024-13522】magayo Lottery Results 2.0.12にC...

WordPressプラグイン「magayo Lottery Results」のバージョン2.0.12以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。管理者権限で悪意のあるスクリプトを実行可能で、CVSS v3.1で6.1(中程度)のスコアが付けられている。Wordfenceが2025年2月18日に公開し、CISAも同日付で確認している。

【CVE-2024-13522】magayo Lottery Results 2.0.12にC...

WordPressプラグイン「magayo Lottery Results」のバージョン2.0.12以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。管理者権限で悪意のあるスクリプトを実行可能で、CVSS v3.1で6.1(中程度)のスコアが付けられている。Wordfenceが2025年2月18日に公開し、CISAも同日付で確認している。

【CVE-2024-13535】Actionwear Products Sync 2.3.0以前に深刻な脆弱性、未認証状態でフルパス情報が漏洩する危険性

【CVE-2024-13535】Actionwear Products Sync 2.3.0以...

WordPressプラグインActionwear Products Syncの全バージョンに脆弱性が発見された。CVE-2024-13535として識別されるこの脆弱性は、composer-setup.phpファイルの設定不備により、未認証状態でWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3のMedium評価だが、他の脆弱性と組み合わさることで被害が拡大する可能性があり、早急な対応が推奨される。

【CVE-2024-13535】Actionwear Products Sync 2.3.0以...

WordPressプラグインActionwear Products Syncの全バージョンに脆弱性が発見された。CVE-2024-13535として識別されるこの脆弱性は、composer-setup.phpファイルの設定不備により、未認証状態でWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3のMedium評価だが、他の脆弱性と組み合わさることで被害が拡大する可能性があり、早急な対応が推奨される。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱性、未認証攻撃者による任意スクリプト実行が可能に

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – YaySMTPに認証なしXSSの脆弱性、早急な対応が必要に

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2025-1589】SourceCodester E-Learning System 1.0にXSS脆弱性、リモート攻撃のリスクが明らかに

【CVE-2025-1589】SourceCodester E-Learning System...

SourceCodester E-Learning System 1.0のregister.phpファイルにおいて、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり特別な権限も必要としない。この脆弱性はCWE-79およびCWE-94に分類され、情報の整合性に影響を与える可能性がある。早急な対策が求められている。

【CVE-2025-1589】SourceCodester E-Learning System...

SourceCodester E-Learning System 1.0のregister.phpファイルにおいて、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり特別な権限も必要としない。この脆弱性はCWE-79およびCWE-94に分類され、情報の整合性に影響を与える可能性がある。早急な対策が求められている。

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要な情報漏洩の脆弱性、ユーザーデータ流出のリスクに警戒

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要...

WordPressプラグイン「Post Grid and Gutenberg Blocks – ComboBlocks」のバージョン2.3.6以前に、認証不要でユーザー情報が漏洩する脆弱性が発見された。REST APIを介して攻撃者がメールアドレスなどの情報を取得可能な状態となっており、CVSSスコア5.3のミディアムレベルの深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要...

WordPressプラグイン「Post Grid and Gutenberg Blocks – ComboBlocks」のバージョン2.3.6以前に、認証不要でユーザー情報が漏洩する脆弱性が発見された。REST APIを介して攻撃者がメールアドレスなどの情報を取得可能な状態となっており、CVSSスコア5.3のミディアムレベルの深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2025-1405】WordPress用Product Catalog Simple 1.7.11以前にXSS脆弱性、Contributor権限で任意スクリプト実行の危険性

【CVE-2025-1405】WordPress用Product Catalog Simple...

WordfenceはWordPress用プラグインProduct Catalog Simple 1.7.11以前のバージョンにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。Contributor以上の権限を持つユーザーがshow_productsショートコードを介して任意のスクリプトを注入可能で、ページアクセス時に実行される危険性がある。CVSS評価は6.4(MEDIUM)であり、早急な対応が推奨される。

【CVE-2025-1405】WordPress用Product Catalog Simple...

WordfenceはWordPress用プラグインProduct Catalog Simple 1.7.11以前のバージョンにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。Contributor以上の権限を持つユーザーがshow_productsショートコードを介して任意のスクリプトを注入可能で、ページアクセス時に実行される危険性がある。CVSS評価は6.4(MEDIUM)であり、早急な対応が推奨される。

【CVE-2025-1814】Tenda AC6 15.03.05.16に重大な脆弱性、スタックベースのバッファオーバーフローによる深刻なリスクが発生

【CVE-2025-1814】Tenda AC6 15.03.05.16に重大な脆弱性、スタッ...

Tenda AC6 15.03.05.16のWifiExtraSet機能に重大な脆弱性が発見された。wpapsk_crypto引数の操作によってスタックベースのバッファオーバーフローが発生する可能性があり、CVSSスコアは8.7(High)を記録。リモートからの攻撃が可能で、すでにエクスプロイトコードが公開されている状況だ。早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-1814】Tenda AC6 15.03.05.16に重大な脆弱性、スタッ...

Tenda AC6 15.03.05.16のWifiExtraSet機能に重大な脆弱性が発見された。wpapsk_crypto引数の操作によってスタックベースのバッファオーバーフローが発生する可能性があり、CVSSスコアは8.7(High)を記録。リモートからの攻撃が可能で、すでにエクスプロイトコードが公開されている状況だ。早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-1905】SourceCodester Employee Management System 1.0にXSS脆弱性、従業員情報の改ざんリスクが浮上

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

【CVE-2025-22443】OpenHarmony v5.0.2以前のバージョンでバッファオーバーリード脆弱性が発見、サービス妨害の危険性

【CVE-2025-22443】OpenHarmony v5.0.2以前のバージョンでバッファ...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにバッファオーバーリード脆弱性が存在することを公表した。v4.1.0からv5.0.2までのバージョンに影響を与えるこの脆弱性は、ローカル攻撃者によってサービス妨害攻撃に悪用される可能性がある。CVSSスコアは3.1で、攻撃の複雑さは低く、特権は必要とされるものの、ユーザーの操作は不要とされている。

【CVE-2025-22443】OpenHarmony v5.0.2以前のバージョンでバッファ...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにバッファオーバーリード脆弱性が存在することを公表した。v4.1.0からv5.0.2までのバージョンに影響を与えるこの脆弱性は、ローカル攻撃者によってサービス妨害攻撃に悪用される可能性がある。CVSSスコアは3.1で、攻撃の複雑さは低く、特権は必要とされるものの、ユーザーの操作は不要とされている。

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱性、リモートからの攻撃に注意

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱...

CMSプラットフォームshishuocms 1.1のディレクトリ削除機能に深刻な脆弱性が発見された。CVE-2025-1892として登録されたこの脆弱性は、folderName引数の操作によりクロスサイトスクリプティング攻撃が可能となる。CVSSスコア4.8で評価され、既に公開されているため早急な対応が必要。特権アカウントを狙った攻撃の可能性が指摘されている。

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱...

CMSプラットフォームshishuocms 1.1のディレクトリ削除機能に深刻な脆弱性が発見された。CVE-2025-1892として登録されたこの脆弱性は、folderName引数の操作によりクロスサイトスクリプティング攻撃が可能となる。CVSSスコア4.8で評価され、既に公開されているため早急な対応が必要。特権アカウントを狙った攻撃の可能性が指摘されている。

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆弱性、バージョン3.7.1で修正完了

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆...

GitHubは2025年3月3日、OpenZitiのziti-consoleに認証回避とクロスサイトスクリプティングの脆弱性が存在することを公開した。管理パネルの/api/uploadエンドポイントに認証なしでアクセスでき、アップロードされたファイルがURLを介して利用可能になることで、悪意のあるコードを含むファイルがユーザーのブラウザで実行される可能性がある。この脆弱性は3.7.1で修正された。

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆...

GitHubは2025年3月3日、OpenZitiのziti-consoleに認証回避とクロスサイトスクリプティングの脆弱性が存在することを公開した。管理パネルの/api/uploadエンドポイントに認証なしでアクセスでき、アップロードされたファイルがURLを介して利用可能になることで、悪意のあるコードを含むファイルがユーザーのブラウザで実行される可能性がある。この脆弱性は3.7.1で修正された。

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆弱性、プリインストールアプリを介した攻撃の可能性

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeのNULLポインタ参照の脆弱性(CVE-2025-21084)を公開した。この脆弱性はプリインストールアプリを通じて任意のコード実行が可能となるもので、CVSSスコアは3.8のLowレベルと評価されている。影響を受けるバージョンはv4.1.0からv5.0.2までとなっている。

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeのNULLポインタ参照の脆弱性(CVE-2025-21084)を公開した。この脆弱性はプリインストールアプリを通じて任意のコード実行が可能となるもので、CVSSスコアは3.8のLowレベルと評価されている。影響を受けるバージョンはv4.1.0からv5.0.2までとなっている。

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザーによるプラグイン無効化の危険性が発覚

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザ...

資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン0.72から10.0.18未満に重大な脆弱性が発見された。この脆弱性により、匿名ユーザーが管理者権限なしで全てのアクティブなプラグインを無効化できる状態となっている。CVSSスコアは6.9(MEDIUM)と評価されており、早急なバージョン10.0.18へのアップデートが推奨されている。

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザ...

資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン0.72から10.0.18未満に重大な脆弱性が発見された。この脆弱性により、匿名ユーザーが管理者権限なしで全てのアクティブなプラグインを無効化できる状態となっている。CVSSスコアは6.9(MEDIUM)と評価されており、早急なバージョン10.0.18へのアップデートが推奨されている。

【CVE-2024-58048】HarmonyOS 5.0.0にマルチスレッド関連の脆弱性、パッケージ管理モジュールの可用性に影響のおそれ

【CVE-2024-58048】HarmonyOS 5.0.0にマルチスレッド関連の脆弱性、パ...

Huawei TechnologiesがHarmonyOS 5.0.0のパッケージ管理モジュールにおいて、マルチスレッドに関連する脆弱性を発見した。CVE-2024-58048として特定されたこの脆弱性は、共有リソースの同期処理の不備による競合状態の問題で、CVSS v3.1で深刻度6.7(MEDIUM)と評価されている。攻撃者がローカルから高権限アクセスにより悪用した場合、システムの可用性に影響を与える可能性がある。

【CVE-2024-58048】HarmonyOS 5.0.0にマルチスレッド関連の脆弱性、パ...

Huawei TechnologiesがHarmonyOS 5.0.0のパッケージ管理モジュールにおいて、マルチスレッドに関連する脆弱性を発見した。CVE-2024-58048として特定されたこの脆弱性は、共有リソースの同期処理の不備による競合状態の問題で、CVSS v3.1で深刻度6.7(MEDIUM)と評価されている。攻撃者がローカルから高権限アクセスにより悪用した場合、システムの可用性に影響を与える可能性がある。

【CVE-2025-27219】RubyのCGI gemにDoS脆弱性が発見、リソース制限の欠如により可用性低下のリスクが浮上

【CVE-2025-27219】RubyのCGI gemにDoS脆弱性が発見、リソース制限の欠...

RubyのCGI gemにおいて、Cookie処理時のリソース制限が実装されていない重大な脆弱性が発見された。CVE-2025-27219として識別されるこの脆弱性は、バージョン0.4.2未満に影響を与え、攻撃者が巨大なCookieを送信することでサーバーのリソースを枯渇させ、サービスの可用性を低下させる可能性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2025-27219】RubyのCGI gemにDoS脆弱性が発見、リソース制限の欠...

RubyのCGI gemにおいて、Cookie処理時のリソース制限が実装されていない重大な脆弱性が発見された。CVE-2025-27219として識別されるこの脆弱性は、バージョン0.4.2未満に影響を与え、攻撃者が巨大なCookieを送信することでサーバーのリソースを枯渇させ、サービスの可用性を低下させる可能性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2024-13682】Wallet System for WooCommerceに深刻な脆弱性、管理者権限での不正操作が可能に

【CVE-2024-13682】Wallet System for WooCommerceに深...

WordPressプラグインのWallet System for WooCommerceにおいて、バージョン2.6.2以前の全バージョンでクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることでウォレット残高を不正に改ざんすることが可能となる。CVSS評価は4.3(中程度)とされているが、ECサイトの決済機能に関わる重要な問題として注目されている。

【CVE-2024-13682】Wallet System for WooCommerceに深...

WordPressプラグインのWallet System for WooCommerceにおいて、バージョン2.6.2以前の全バージョンでクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることでウォレット残高を不正に改ざんすることが可能となる。CVSS評価は4.3(中程度)とされているが、ECサイトの決済機能に関わる重要な問題として注目されている。

【CVE-2025-23234】OpenHarmony v5.0.2にバッファオーバーフロー脆弱性、ローカル攻撃によるサービス拒否の危険性

【CVE-2025-23234】OpenHarmony v5.0.2にバッファオーバーフロー脆...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフロー脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者によるサービス拒否攻撃が可能となる。CVSSスコア3.3のLow評価だが、基本的なメモリ管理の不備を示唆しており、影響を受けるユーザーは最新版への更新が推奨される。セキュリティ対策の強化と迅速なパッチ適用が求められる。

【CVE-2025-23234】OpenHarmony v5.0.2にバッファオーバーフロー脆...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフロー脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者によるサービス拒否攻撃が可能となる。CVSSスコア3.3のLow評価だが、基本的なメモリ管理の不備を示唆しており、影響を受けるユーザーは最新版への更新が推奨される。セキュリティ対策の強化と迅速なパッチ適用が求められる。