Tech Insights

【CVE-2025-20024】OpenHarmony v5.0.2に整数オーバーフロー脆弱性、プリインストールアプリの任意コード実行が可能に

【CVE-2025-20024】OpenHarmony v5.0.2に整数オーバーフロー脆弱性...

OpenHarmonyプロジェクトは2025年3月4日、Arkcompiler Ets Runtimeにおける整数オーバーフロー脆弱性(CVE-2025-20024)を公開した。v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意のコード実行を可能にする問題が報告されている。CVSSスコアは3.8と低く評価され、攻撃には制限された条件が必要とされる。

【CVE-2025-20024】OpenHarmony v5.0.2に整数オーバーフロー脆弱性...

OpenHarmonyプロジェクトは2025年3月4日、Arkcompiler Ets Runtimeにおける整数オーバーフロー脆弱性(CVE-2025-20024)を公開した。v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意のコード実行を可能にする問題が報告されている。CVSSスコアは3.8と低く評価され、攻撃には制限された条件が必要とされる。

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Runtimeに境界外読み取りの脆弱性、v4.1.0からv5.0.2まで影響

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおいて境界外読み取りの脆弱性を公開した。CVE-2025-20021として識別されるこの脆弱性は、バージョンv4.1.0からv5.0.2まで影響を与え、ローカル環境でのDoS攻撃のリスクが存在する。CVSS v3.1で3.3(LOW)と評価されており、早急な対応が推奨される。

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおいて境界外読み取りの脆弱性を公開した。CVE-2025-20021として識別されるこの脆弱性は、バージョンv4.1.0からv5.0.2まで影響を与え、ローカル環境でのDoS攻撃のリスクが存在する。CVSS v3.1で3.3(LOW)と評価されており、早急な対応が推奨される。

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見、Dsoftbusモジュールでメモリ管理に問題

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...

OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...

OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。

【CVE-2025-23420】OpenHarmonyのArkcompiler Ets Runtimeに脆弱性、プリインストールアプリへの影響に注意

【CVE-2025-23420】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフローの脆弱性が発見された。CVE-2025-23420として識別されるこの脆弱性は、v5.0.2以前のバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能となる。CVSSスコアは3.8(Low)と評価されているが、適切なパッチ適用による対策が推奨される。

【CVE-2025-23420】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフローの脆弱性が発見された。CVE-2025-23420として識別されるこの脆弱性は、v5.0.2以前のバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能となる。CVSSスコアは3.8(Low)と評価されているが、適切なパッチ適用による対策が推奨される。

【CVE-2024-58044】HarmonyOSとEMUIに権限検証バイパスの脆弱性、複数バージョンで高リスクの影響

【CVE-2024-58044】HarmonyOSとEMUIに権限検証バイパスの脆弱性、複数バ...

HuaweiはHarmonyOSとEMUIの通知モジュールにおける権限検証バイパスの脆弱性を公開した。HarmonyOSの2.0.0から4.3.0までの7バージョンとEMUIの12.0.0から14.0.0までの3バージョンが影響を受け、CVSSスコア8.4のハイリスクと評価された。不適切な入力検証に起因する本脆弱性は、システムの可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-58044】HarmonyOSとEMUIに権限検証バイパスの脆弱性、複数バ...

HuaweiはHarmonyOSとEMUIの通知モジュールにおける権限検証バイパスの脆弱性を公開した。HarmonyOSの2.0.0から4.3.0までの7バージョンとEMUIの12.0.0から14.0.0までの3バージョンが影響を受け、CVSSスコア8.4のハイリスクと評価された。不適切な入力検証に起因する本脆弱性は、システムの可用性に重大な影響を及ぼす可能性がある。

Opera SoftwareがAIエージェント「Browser Operator」を発表、Webブラウザーでタスク自動化が可能に

Opera SoftwareがAIエージェント「Browser Operator」を発表、We...

ノルウェーのOpera Softwareは、Webブラウザー「Opera」にAIエージェント「Browser Operator」のプレビュー版を発表した。ブラウザーにネイティブ実装されたAIがショッピングやイベント予約などのタスクを自動実行。ローカル処理とプライバシー保護を重視した設計により、安全な利用環境を実現している。

Opera SoftwareがAIエージェント「Browser Operator」を発表、We...

ノルウェーのOpera Softwareは、Webブラウザー「Opera」にAIエージェント「Browser Operator」のプレビュー版を発表した。ブラウザーにネイティブ実装されたAIがショッピングやイベント予約などのタスクを自動実行。ローカル処理とプライバシー保護を重視した設計により、安全な利用環境を実現している。

サードウェーブがドスパラのGALLERIAで3Dカスタマイズシミュレーターを公開、PCパーツ選びが直感的に

サードウェーブがドスパラのGALLERIAで3Dカスタマイズシミュレーターを公開、PCパーツ選...

サードウェーブは2025年3月3日、ドスパラのゲーミングPCブランド「GALLERIA」において、PC内部を3Dモデルで確認しながらパーツを選択できる「3Dカスタマイズシミュレーター」を公開した。Webブラウザ上で利用可能なこのシステムでは、3Dモデルの360度回転やズーム、LEDカラーの変更、エアフローの可視化など、多彩な機能を実装している。

サードウェーブがドスパラのGALLERIAで3Dカスタマイズシミュレーターを公開、PCパーツ選...

サードウェーブは2025年3月3日、ドスパラのゲーミングPCブランド「GALLERIA」において、PC内部を3Dモデルで確認しながらパーツを選択できる「3Dカスタマイズシミュレーター」を公開した。Webブラウザ上で利用可能なこのシステムでは、3Dモデルの360度回転やズーム、LEDカラーの変更、エアフローの可視化など、多彩な機能を実装している。

IdrasysがAIエージェントサービスGenAI Admin Portalを提供開始、部署横断的な業務効率化を実現へ

IdrasysがAIエージェントサービスGenAI Admin Portalを提供開始、部署横...

クリーク・アンド・リバー社の子会社Idrasysが、インツミット社開発のAIエージェントサービス「GenAI Admin Portal」の提供を開始した。Azure OpenAI ServiceとChatGPTモデルを統合し、音声会議記録要約やチャットボット、契約書分析など、各部署の業務効率を改善する統合的なAIソリューションを提供する。すでに台湾の政府機関やインフラ企業で導入実績があり、日本でも札幌観光協会での活用が始まっている。

IdrasysがAIエージェントサービスGenAI Admin Portalを提供開始、部署横...

クリーク・アンド・リバー社の子会社Idrasysが、インツミット社開発のAIエージェントサービス「GenAI Admin Portal」の提供を開始した。Azure OpenAI ServiceとChatGPTモデルを統合し、音声会議記録要約やチャットボット、契約書分析など、各部署の業務効率を改善する統合的なAIソリューションを提供する。すでに台湾の政府機関やインフラ企業で導入実績があり、日本でも札幌観光協会での活用が始まっている。

ロゴラボが国内初のブランド許諾管理SaaSに監修フロー機能を実装、知的財産保護とブランド価値向上に貢献

ロゴラボが国内初のブランド許諾管理SaaSに監修フロー機能を実装、知的財産保護とブランド価値向...

株式会社ロゴラボは、国内初のブランド許諾管理SaaS「ロゴラボ」に新機能「監修フロー機能」を実装し2025年4月1日より提供開始する。従来のメールベースの監修業務をデジタル化し、リアルタイムな情報共有とヒューマンエラーの削減を実現。知的財産権保護とブランド価値向上に向けた監修プロセスの強化が期待される。

ロゴラボが国内初のブランド許諾管理SaaSに監修フロー機能を実装、知的財産保護とブランド価値向...

株式会社ロゴラボは、国内初のブランド許諾管理SaaS「ロゴラボ」に新機能「監修フロー機能」を実装し2025年4月1日より提供開始する。従来のメールベースの監修業務をデジタル化し、リアルタイムな情報共有とヒューマンエラーの削減を実現。知的財産権保護とブランド価値向上に向けた監修プロセスの強化が期待される。

リーガルテックがAI搭載次世代VDRを不動産業界向けに提供開始、取引プロセスの効率化を実現

リーガルテックがAI搭載次世代VDRを不動産業界向けに提供開始、取引プロセスの効率化を実現

リーガルテック株式会社が不動産業界向けにLLM生成AI「AI孔明」を統合した次世代型VDRプラットフォームの提供を開始。契約書のリアルタイム分析や物件デューデリジェンスの自動化により、取引プロセスを大幅に効率化。6言語対応で国際取引も促進し、アクセス履歴管理によるコンプライアンス強化も実現。大手不動産企業や金融機関での導入実績あり。

リーガルテックがAI搭載次世代VDRを不動産業界向けに提供開始、取引プロセスの効率化を実現

リーガルテック株式会社が不動産業界向けにLLM生成AI「AI孔明」を統合した次世代型VDRプラットフォームの提供を開始。契約書のリアルタイム分析や物件デューデリジェンスの自動化により、取引プロセスを大幅に効率化。6言語対応で国際取引も促進し、アクセス履歴管理によるコンプライアンス強化も実現。大手不動産企業や金融機関での導入実績あり。

LegalOn CloudがAI法務プラットフォームを強化、ソフトウェア業界向け法務コンテンツの充実で契約審査を効率化

LegalOn CloudがAI法務プラットフォームを強化、ソフトウェア業界向け法務コンテンツ...

株式会社LegalOn TechnologiesのAI法務プラットフォーム「LegalOn Cloud」が、ソフトウェア業界向けの法務コンテンツを強化。DXやAI技術の発展に伴う法的課題に対応し、契約書のひな形やリスクチェック機能を提供。運輸・物流、製薬、建築・建設、職業紹介・労働者派遣に続く5業界目の展開で、業界全体のコンプライアンス向上と事業成長を支援する。

LegalOn CloudがAI法務プラットフォームを強化、ソフトウェア業界向け法務コンテンツ...

株式会社LegalOn TechnologiesのAI法務プラットフォーム「LegalOn Cloud」が、ソフトウェア業界向けの法務コンテンツを強化。DXやAI技術の発展に伴う法的課題に対応し、契約書のひな形やリスクチェック機能を提供。運輸・物流、製薬、建築・建設、職業紹介・労働者派遣に続く5業界目の展開で、業界全体のコンプライアンス向上と事業成長を支援する。

mablが生成AIテスト作成とPlaywright統合を発表、テスト自動化の効率性が大幅に向上

mablが生成AIテスト作成とPlaywright統合を発表、テスト自動化の効率性が大幅に向上

mabl社が新機能として生成AIによるテスト作成機能とmabl Tools for Playwrightを発表。生成AIによってテスト作成プロセスを効率化し、Playwright統合により開発者とQAのシームレスな連携を実現。統合レポート機能の追加により、アプリケーション品質の包括的な可視化が可能に。テストの民主化を推進し、ソフトウェア開発の効率化を加速する。

mablが生成AIテスト作成とPlaywright統合を発表、テスト自動化の効率性が大幅に向上

mabl社が新機能として生成AIによるテスト作成機能とmabl Tools for Playwrightを発表。生成AIによってテスト作成プロセスを効率化し、Playwright統合により開発者とQAのシームレスな連携を実現。統合レポート機能の追加により、アプリケーション品質の包括的な可視化が可能に。テストの民主化を推進し、ソフトウェア開発の効率化を加速する。

CisdemがMac向けDuplicate Finder 6.4.0をリリース、自動選択機能の最適化とクラッシュ問題を解決

CisdemがMac向けDuplicate Finder 6.4.0をリリース、自動選択機能の...

ソフト開発会社Cisdemは2025年3月5日、Mac向け重複ファイル検索・削除ソフトDuplicate Finder 6.4.0をリリースした。自動選択ルールの最適化により重複ファイル管理の効率化を実現し、既存バグの修復やクラウドファイルスキャン時のクラッシュ問題も解決。画像、動画、音楽など多様なファイル形式に対応し、3つのプレビューモードで利便性を向上させている。

CisdemがMac向けDuplicate Finder 6.4.0をリリース、自動選択機能の...

ソフト開発会社Cisdemは2025年3月5日、Mac向け重複ファイル検索・削除ソフトDuplicate Finder 6.4.0をリリースした。自動選択ルールの最適化により重複ファイル管理の効率化を実現し、既存バグの修復やクラウドファイルスキャン時のクラッシュ問題も解決。画像、動画、音楽など多様なファイル形式に対応し、3つのプレビューモードで利便性を向上させている。

NordVPNがCure53による独立したセキュリティ評価を完了、プライバシー保護とサービスの透明性が向上

NordVPNがCure53による独立したセキュリティ評価を完了、プライバシー保護とサービスの...

NordVPNは2024年6月から8月にかけて、ドイツのサイバーセキュリティ企業Cure53による独立したセキュリティ評価を実施。デスクトップアプリ、モバイルアプリ、ブラウザ拡張機能に対するペネトレーションテストとソースコードレビューを通じて、セキュリティ重視のライブラリ採用とコアVPN機能の信頼性を確認。さらに2月にはDeloitteによる5回目のノーログポリシー保証契約も発表し、プライバシー保護の強化を実現。

NordVPNがCure53による独立したセキュリティ評価を完了、プライバシー保護とサービスの...

NordVPNは2024年6月から8月にかけて、ドイツのサイバーセキュリティ企業Cure53による独立したセキュリティ評価を実施。デスクトップアプリ、モバイルアプリ、ブラウザ拡張機能に対するペネトレーションテストとソースコードレビューを通じて、セキュリティ重視のライブラリ採用とコアVPN機能の信頼性を確認。さらに2月にはDeloitteによる5回目のノーログポリシー保証契約も発表し、プライバシー保護の強化を実現。

【CVE-2025-0506】Rise Blocksプラグイン3.6以前にXSS脆弱性、Contributor権限で任意スクリプト実行の可能性

【CVE-2025-0506】Rise Blocksプラグイン3.6以前にXSS脆弱性、Con...

WordPressのGutenbergページビルダープラグイン「Rise Blocks」のバージョン3.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(中)と評価。titleTagパラメータの入力検証が不十分なことが原因であり、早急な対策が必要とされている。

【CVE-2025-0506】Rise Blocksプラグイン3.6以前にXSS脆弱性、Con...

WordPressのGutenbergページビルダープラグイン「Rise Blocks」のバージョン3.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(中)と評価。titleTagパラメータの入力検証が不十分なことが原因であり、早急な対策が必要とされている。

【CVE-2024-13653】ZoxPressテーマの重大な脆弱性、認証済みユーザーによる権限昇格が可能に

【CVE-2024-13653】ZoxPressテーマの重大な脆弱性、認証済みユーザーによる権...

WordPressのニュースサイト構築用テーマZoxPressにおいて、バージョン2.12.0以前の全バージョンで重大な脆弱性が発見された。backup_options機能における権限チェックの欠如により、Subscriber以上の権限を持つユーザーが管理者権限を取得可能となる。CVSSスコア8.8のHIGHレベル評価で、早急な対策が必要とされている。

【CVE-2024-13653】ZoxPressテーマの重大な脆弱性、認証済みユーザーによる権...

WordPressのニュースサイト構築用テーマZoxPressにおいて、バージョン2.12.0以前の全バージョンで重大な脆弱性が発見された。backup_options機能における権限チェックの欠如により、Subscriber以上の権限を持つユーザーが管理者権限を取得可能となる。CVSSスコア8.8のHIGHレベル評価で、早急な対策が必要とされている。

【CVE-2025-0821】WordPressのBit Assistプラグインに深刻な脆弱性、SQLインジェクション攻撃のリスクが明らかに

【CVE-2025-0821】WordPressのBit Assistプラグインに深刻な脆弱性...

WordPressのチャットウィジェットプラグイン「Bit Assist」のバージョン1.5.2以前に、SQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性は、認証済みユーザーによるデータベースからの機密情報抽出を可能にする。不十分なエスケープ処理とSQLクエリの準備不足が原因で、早急な対策が求められている。

【CVE-2025-0821】WordPressのBit Assistプラグインに深刻な脆弱性...

WordPressのチャットウィジェットプラグイン「Bit Assist」のバージョン1.5.2以前に、SQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性は、認証済みユーザーによるデータベースからの機密情報抽出を可能にする。不十分なエスケープ処理とSQLクエリの準備不足が原因で、早急な対策が求められている。

【CVE-2024-13641】WooCommerceプラグインにおける認証なしの情報漏洩脆弱性が発見、早急な対応が必要

【CVE-2024-13641】WooCommerceプラグインにおける認証なしの情報漏洩脆弱...

WordPressプラグイン「Return Refund and Exchange For WooCommerce」において、認証されていないユーザーが機密情報にアクセス可能な脆弱性が発見された。バージョン4.4.5以前の全バージョンが影響を受け、CVSSスコアは5.9でMedium評価。wp-content/attachmentディレクトリ内の注文返金関連ファイルが適切に保護されておらず、早急なアップデートが推奨されている。

【CVE-2024-13641】WooCommerceプラグインにおける認証なしの情報漏洩脆弱...

WordPressプラグイン「Return Refund and Exchange For WooCommerce」において、認証されていないユーザーが機密情報にアクセス可能な脆弱性が発見された。バージョン4.4.5以前の全バージョンが影響を受け、CVSSスコアは5.9でMedium評価。wp-content/attachmentディレクトリ内の注文返金関連ファイルが適切に保護されておらず、早急なアップデートが推奨されている。

【CVE-2024-13488】WordPress用プラグインLTL Freight Quotes – Estes Editionに認証不要のSQL injection脆弱性が発見

【CVE-2024-13488】WordPress用プラグインLTL Freight Quot...

WordPressプラグイン「LTL Freight Quotes – Estes Edition」のバージョン3.3.7以前に、認証なしでデータベースから機密情報を抽出可能なSQL injection脆弱性が発見された。CVSSスコア7.5で「HIGH」評価のこの脆弱性は、パラメータのエスケープ処理不足が原因で、早急な対応が必要だ。

【CVE-2024-13488】WordPress用プラグインLTL Freight Quot...

WordPressプラグイン「LTL Freight Quotes – Estes Edition」のバージョン3.3.7以前に、認証なしでデータベースから機密情報を抽出可能なSQL injection脆弱性が発見された。CVSSスコア7.5で「HIGH」評価のこの脆弱性は、パラメータのエスケープ処理不足が原因で、早急な対応が必要だ。

【CVE-2025-26616】WeGIAにパストラバーサルの脆弱性、設定ファイルへの不正アクセスのリスクで緊急アップデートを推奨

【CVE-2025-26616】WeGIAにパストラバーサルの脆弱性、設定ファイルへの不正アク...

GitHubは2025年2月18日、ポルトガル語圏向け施設管理システムWeGIAにパストラバーサル脆弱性(CVE-2025-26616)を発見したと発表した。この脆弱性により、攻撃者はconfig.phpファイルに不正アクセスし、データベースの認証情報を取得できる可能性がある。CVSSスコア10.0の最高レベルの深刻度と評価され、開発元は脆弱性を修正したバージョン3.2.14へのアップデートを推奨している。

【CVE-2025-26616】WeGIAにパストラバーサルの脆弱性、設定ファイルへの不正アク...

GitHubは2025年2月18日、ポルトガル語圏向け施設管理システムWeGIAにパストラバーサル脆弱性(CVE-2025-26616)を発見したと発表した。この脆弱性により、攻撃者はconfig.phpファイルに不正アクセスし、データベースの認証情報を取得できる可能性がある。CVSSスコア10.0の最高レベルの深刻度と評価され、開発元は脆弱性を修正したバージョン3.2.14へのアップデートを推奨している。

【CVE-2025-26612】WeGIAにSQLインジェクションの脆弱性、CVSSスコア10.0の緊急事態に

【CVE-2025-26612】WeGIAにSQLインジェクションの脆弱性、CVSSスコア10...

ポルトガル語ユーザー向けオープンソースWeb管理ツールWeGIAで深刻なSQLインジェクションの脆弱性が発見された。adicionar_almoxarife.phpエンドポイントに存在するこの脆弱性は、攻撃者による任意のSQLクエリ実行を可能にし、機密情報への不正アクセスのリスクが指摘されている。CVSSスコア10.0の緊急性の高い脆弱性として、バージョン3.2.13での修正が提供されている。

【CVE-2025-26612】WeGIAにSQLインジェクションの脆弱性、CVSSスコア10...

ポルトガル語ユーザー向けオープンソースWeb管理ツールWeGIAで深刻なSQLインジェクションの脆弱性が発見された。adicionar_almoxarife.phpエンドポイントに存在するこの脆弱性は、攻撃者による任意のSQLクエリ実行を可能にし、機密情報への不正アクセスのリスクが指摘されている。CVSSスコア10.0の緊急性の高い脆弱性として、バージョン3.2.13での修正が提供されている。

【CVE-2025-26607】WeGIAにSQLインジェクション脆弱性が発見、バージョン3.2.13で修正完了

【CVE-2025-26607】WeGIAにSQLインジェクション脆弱性が発見、バージョン3....

ポルトガル語圏向けオープンソースWebマネージャーWeGIAのdocumento_excluir.phpエンドポイントにおいて、重大なSQLインジェクション脆弱性が発見された。CVSSスコア10.0を記録したこの脆弱性は、任意のSQLクエリ実行とデータベースへの不正アクセスを許す可能性があり、開発元のLabRedesCefetRJ社はバージョン3.2.13で修正を実施。影響を受けるバージョンのユーザーには早急な更新が推奨されている。

【CVE-2025-26607】WeGIAにSQLインジェクション脆弱性が発見、バージョン3....

ポルトガル語圏向けオープンソースWebマネージャーWeGIAのdocumento_excluir.phpエンドポイントにおいて、重大なSQLインジェクション脆弱性が発見された。CVSSスコア10.0を記録したこの脆弱性は、任意のSQLクエリ実行とデータベースへの不正アクセスを許す可能性があり、開発元のLabRedesCefetRJ社はバージョン3.2.13で修正を実施。影響を受けるバージョンのユーザーには早急な更新が推奨されている。

【CVE-2025-21157】Adobe InDesign Desktopに深刻な脆弱性、複数バージョンで任意のコード実行の危険性

【CVE-2025-21157】Adobe InDesign Desktopに深刻な脆弱性、複...

Adobe Systems Incorporatedは2025年2月11日、InDesign DesktopのID20.0およびID19.5.1以前のバージョンに影響を与える範囲外書き込みの脆弱性を公開した。CVE-2025-21157として識別されるこの脆弱性は、CVSSスコア7.8の高リスクと評価され、悪意のあるファイルを開くことで任意のコード実行が可能となる。現時点で自動化された攻撃の証拠は確認されていないものの、早急な対策が求められている。

【CVE-2025-21157】Adobe InDesign Desktopに深刻な脆弱性、複...

Adobe Systems Incorporatedは2025年2月11日、InDesign DesktopのID20.0およびID19.5.1以前のバージョンに影響を与える範囲外書き込みの脆弱性を公開した。CVE-2025-21157として識別されるこの脆弱性は、CVSSスコア7.8の高リスクと評価され、悪意のあるファイルを開くことで任意のコード実行が可能となる。現時点で自動化された攻撃の証拠は確認されていないものの、早急な対策が求められている。

【CVE-2025-21322】Microsoft PC Managerに特権昇格の脆弱性、システム全体のセキュリティに影響の可能性

【CVE-2025-21322】Microsoft PC Managerに特権昇格の脆弱性、シ...

Microsoftは2025年2月11日、Microsoft PC Managerにおいて特権昇格の脆弱性(CVE-2025-21322)を公開した。この脆弱性は、攻撃者がローカルアクセス権限を持っている場合に悪用される可能性があり、CVSSスコアは7.8(High)と評価されている。影響を受けるバージョンは1.0.0から3.15.4.0未満で、早急なアップデートが推奨される。

【CVE-2025-21322】Microsoft PC Managerに特権昇格の脆弱性、シ...

Microsoftは2025年2月11日、Microsoft PC Managerにおいて特権昇格の脆弱性(CVE-2025-21322)を公開した。この脆弱性は、攻撃者がローカルアクセス権限を持っている場合に悪用される可能性があり、CVSSスコアは7.8(High)と評価されている。影響を受けるバージョンは1.0.0から3.15.4.0未満で、早急なアップデートが推奨される。

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性、未認証ユーザーによる情報漏洩のリスクが発生

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性...

WordPressプラグインのElementsKit Elementorアドオン3.4.0以前のバージョンに重大な脆弱性が発見された。get_megamenu_content関数の権限チェック不備により、未認証の攻撃者が非公開コンテンツにアクセス可能となる問題が報告されている。CVSSスコア5.3のMedium評価で、早急な対応が推奨される。影響を受けるサイト管理者は速やかなアップデートを検討すべき状況である。

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性...

WordPressプラグインのElementsKit Elementorアドオン3.4.0以前のバージョンに重大な脆弱性が発見された。get_megamenu_content関数の権限チェック不備により、未認証の攻撃者が非公開コンテンツにアクセス可能となる問題が報告されている。CVSSスコア5.3のMedium評価で、早急な対応が推奨される。影響を受けるサイト管理者は速やかなアップデートを検討すべき状況である。

【CVE-2024-13491】WordPress用FedExプラグインに深刻な脆弱性、認証不要で情報漏洩の危険性

【CVE-2024-13491】WordPress用FedExプラグインに深刻な脆弱性、認証不...

WordPressプラグイン「Small Package Quotes – For Customers of FedEx」のバージョン4.3.1以前に、SQLインジェクションの脆弱性が発見された。認証なしで攻撃可能で、CVSSスコア7.5の高リスク脆弱性として評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理により、データベースからの機密情報漏洩が可能な状態となっている。

【CVE-2024-13491】WordPress用FedExプラグインに深刻な脆弱性、認証不...

WordPressプラグイン「Small Package Quotes – For Customers of FedEx」のバージョン4.3.1以前に、SQLインジェクションの脆弱性が発見された。認証なしで攻撃可能で、CVSSスコア7.5の高リスク脆弱性として評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理により、データベースからの機密情報漏洩が可能な状態となっている。

【CVE-2024-13485】WordPress用プラグインLTL Freight Quotesに深刻な脆弱性、データベース情報漏洩のリスクが発生

【CVE-2024-13485】WordPress用プラグインLTL Freight Quot...

WordPressプラグインのLTL Freight Quotes - ABF Freight Editionにおいて、バージョン3.3.7以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5と高い危険度を示すこの脆弱性では、未認証の攻撃者がedit_idとdropship_edit_idパラメータを介してデータベースから機密情報を抽出できる重大な問題となっている。

【CVE-2024-13485】WordPress用プラグインLTL Freight Quot...

WordPressプラグインのLTL Freight Quotes - ABF Freight Editionにおいて、バージョン3.3.7以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5と高い危険度を示すこの脆弱性では、未認証の攻撃者がedit_idとdropship_edit_idパラメータを介してデータベースから機密情報を抽出できる重大な問題となっている。

【CVE-2024-13753】Ultimate Classified Listings 1.4以前にCSRF脆弱性、アカウント乗っ取りのリスクが発覚

【CVE-2024-13753】Ultimate Classified Listings 1....

WordPressプラグインのUltimate Classified Listingsにおいて、バージョン1.4以前に深刻な脆弱性が発見された。update_profile機能のnonce検証が不適切であることによりCSRF攻撃が可能となり、攻撃者によるアカウント乗っ取りのリスクが指摘されている。CVSSスコアは8.1でHigh評価に分類される深刻な脆弱性であり、早急な対応が必要とされている。

【CVE-2024-13753】Ultimate Classified Listings 1....

WordPressプラグインのUltimate Classified Listingsにおいて、バージョン1.4以前に深刻な脆弱性が発見された。update_profile機能のnonce検証が不適切であることによりCSRF攻撃が可能となり、攻撃者によるアカウント乗っ取りのリスクが指摘されている。CVSSスコアは8.1でHigh評価に分類される深刻な脆弱性であり、早急な対応が必要とされている。

【CVE-2025-25513】Seacms 13.3にSQLインジェクション脆弱性、管理者機能に深刻な影響

【CVE-2025-25513】Seacms 13.3にSQLインジェクション脆弱性、管理者機...

MITREが2025年2月24日にSeacms 13.3以前のバージョンにおけるSQLインジェクション脆弱性を公開した。admin_members.phpファイルに存在するこの脆弱性は、攻撃の自動化が可能で管理者機能に影響を及ぼす重大な問題となっている。CISAの評価では深刻なリスクレベルに分類されており、早急な対策が必要とされている。

【CVE-2025-25513】Seacms 13.3にSQLインジェクション脆弱性、管理者機...

MITREが2025年2月24日にSeacms 13.3以前のバージョンにおけるSQLインジェクション脆弱性を公開した。admin_members.phpファイルに存在するこの脆弱性は、攻撃の自動化が可能で管理者機能に影響を及ぼす重大な問題となっている。CISAの評価では深刻なリスクレベルに分類されており、早急な対策が必要とされている。

WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証での攻撃が可能に

WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証...

WordPressプラグインYawaveにおいて、バージョン2.9.1以前の全バージョンでSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2025-1648として識別され、CVSSスコア7.5と高い深刻度を示している。未認証の攻撃者がlbidパラメータを介してデータベースから機密情報を抽出できる問題であり、早急な対策が必要となっている。

WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証...

WordPressプラグインYawaveにおいて、バージョン2.9.1以前の全バージョンでSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2025-1648として識別され、CVSSスコア7.5と高い深刻度を示している。未認証の攻撃者がlbidパラメータを介してデータベースから機密情報を抽出できる問題であり、早急な対策が必要となっている。