Tech Insights
【CVE-2025-31724】Jenkins Cadence vManager Plugin...
Jenkins ProjectがJenkins Cadence vManager Plugin 4.0.0-282.v5096a_c2db_275以前のバージョンにおいて、Verisium Manager vAPI鍵が暗号化されずにjob config.xmlファイルに保存される脆弱性を公開した。Extended Read権限を持つユーザーやJenkinsコントローラーのファイルシステムにアクセスできるユーザーが、暗号化されていないAPI鍵を閲覧できる状態となっており、早急な対応が求められている。
【CVE-2025-31724】Jenkins Cadence vManager Plugin...
Jenkins ProjectがJenkins Cadence vManager Plugin 4.0.0-282.v5096a_c2db_275以前のバージョンにおいて、Verisium Manager vAPI鍵が暗号化されずにjob config.xmlファイルに保存される脆弱性を公開した。Extended Read権限を持つユーザーやJenkinsコントローラーのファイルシステムにアクセスできるユーザーが、暗号化されていないAPI鍵を閲覧できる状態となっており、早急な対応が求められている。
【CVE-2025-3337】codeprojects Online Restaurant M...
codeprojects Online Restaurant Management System 1.0のmember_update.phpファイルにSQL injection脆弱性が発見された。CVE-2025-3337として識別されるこの脆弱性は、ID引数の不適切な処理により発生し、リモートからの攻撃が可能。CVSSスコアは最大7.3(HIGH)で、システムの機密性、完全性、可用性に影響を及ぼす可能性がある。すでに一般公開されており、早急な対応が求められる。
【CVE-2025-3337】codeprojects Online Restaurant M...
codeprojects Online Restaurant Management System 1.0のmember_update.phpファイルにSQL injection脆弱性が発見された。CVE-2025-3337として識別されるこの脆弱性は、ID引数の不適切な処理により発生し、リモートからの攻撃が可能。CVSSスコアは最大7.3(HIGH)で、システムの機密性、完全性、可用性に影響を及ぼす可能性がある。すでに一般公開されており、早急な対応が求められる。
【CVE-2025-24446】ColdFusionに深刻な入力検証の脆弱性、最新版まで影響範...
Adobe社がColdFusionの重大な脆弱性を公開した。バージョン2023.12、2021.18、2025.0以前に影響する入力検証の不備により、攻撃者が悪意のあるファイルを通じて任意のコードを実行できる可能性がある。CVSSスコア9.1のCritical評価で、高い特権レベルは必要だがユーザー操作不要で影響範囲も広範に及ぶ。Adobe社はセキュリティアドバイザリ(APSB25-15)で詳細を公開している。
【CVE-2025-24446】ColdFusionに深刻な入力検証の脆弱性、最新版まで影響範...
Adobe社がColdFusionの重大な脆弱性を公開した。バージョン2023.12、2021.18、2025.0以前に影響する入力検証の不備により、攻撃者が悪意のあるファイルを通じて任意のコードを実行できる可能性がある。CVSSスコア9.1のCritical評価で、高い特権レベルは必要だがユーザー操作不要で影響範囲も広範に及ぶ。Adobe社はセキュリティアドバイザリ(APSB25-15)で詳細を公開している。
Leaner Technologiesが調達DXカンファレンス2025春を開催、業界リーダーが...
株式会社Leaner Technologiesは2025年6月3日・4日に調達DXカンファレンス2025春をオンラインで開催する。ジンベイ株式会社の上田英介氏による生成AI活用セッションや、元小松製作所の信原正樹氏によるサプライヤ共創セッションなど、業界リーダーによる多彩な講演を予定している。調達業務のデジタル化や戦略的調達の実現に向けた最新動向と未来像を議論する場となる。
Leaner Technologiesが調達DXカンファレンス2025春を開催、業界リーダーが...
株式会社Leaner Technologiesは2025年6月3日・4日に調達DXカンファレンス2025春をオンラインで開催する。ジンベイ株式会社の上田英介氏による生成AI活用セッションや、元小松製作所の信原正樹氏によるサプライヤ共創セッションなど、業界リーダーによる多彩な講演を予定している。調達業務のデジタル化や戦略的調達の実現に向けた最新動向と未来像を議論する場となる。
【CVE-2025-29072】Nethermind Junoに整数オーバーフロー脆弱性、St...
Nethermind Junoのバージョン12.05より前のバージョンにおいて、"cairo-lang-starknet-classes"ライブラリのSierraバイトコード展開ロジックに整数オーバーフロー脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性として評価されており、悪意のあるDeclare v2/v3トランザクションによる無限ループとCPU使用率の上昇、さらにはサービス拒否攻撃のリスクが存在する。
【CVE-2025-29072】Nethermind Junoに整数オーバーフロー脆弱性、St...
Nethermind Junoのバージョン12.05より前のバージョンにおいて、"cairo-lang-starknet-classes"ライブラリのSierraバイトコード展開ロジックに整数オーバーフロー脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性として評価されており、悪意のあるDeclare v2/v3トランザクションによる無限ループとCPU使用率の上昇、さらにはサービス拒否攻撃のリスクが存在する。
【CVE-2025-30362】WeGIAにストアドXSS脆弱性が発見、バージョン3.2.8で...
慈善団体向けWebマネージャーWeGIAのバージョン3.2.8未満において、documentos_funcionario.phpのパラメーターIDにストアドXSS脆弱性が発見された。CVSSスコア6.4のミディアムレベルで、攻撃の複雑さは低く特別な権限も不要。永続的なスクリプト実行のリスクがあり、早急なアップデートが推奨される。バージョン3.2.8で修正が完了している。
【CVE-2025-30362】WeGIAにストアドXSS脆弱性が発見、バージョン3.2.8で...
慈善団体向けWebマネージャーWeGIAのバージョン3.2.8未満において、documentos_funcionario.phpのパラメーターIDにストアドXSS脆弱性が発見された。CVSSスコア6.4のミディアムレベルで、攻撃の複雑さは低く特別な権限も不要。永続的なスクリプト実行のリスクがあり、早急なアップデートが推奨される。バージョン3.2.8で修正が完了している。
【CVE-2025-2953】PyTorch 2.6.0+cu124でDoS脆弱性が発見、サー...
機械学習フレームワークPyTorchのバージョン2.6.0+cu124において、torch.mkldnn_max_pool2d機能にサービス拒否攻撃の脆弱性が発見された。ローカルアクセス権限を持つ攻撃者により可用性への影響が懸念され、CVSSスコアは最大4.8でMedium評価。既に攻撃コードが公開されており、システム管理者には早急な対応が求められている。
【CVE-2025-2953】PyTorch 2.6.0+cu124でDoS脆弱性が発見、サー...
機械学習フレームワークPyTorchのバージョン2.6.0+cu124において、torch.mkldnn_max_pool2d機能にサービス拒否攻撃の脆弱性が発見された。ローカルアクセス権限を持つ攻撃者により可用性への影響が懸念され、CVSSスコアは最大4.8でMedium評価。既に攻撃コードが公開されており、システム管理者には早急な対応が求められている。
【CVE-2025-3036】StudentServlet-JSPにクロスサイトスクリプティン...
yzk2356911358のStudentServlet-JSPのStudent Management Handlerコンポーネントにおいて、Name引数の操作によるクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア最大4.8でミディアムレベルの深刻度と評価され、攻撃コードも公開されている状態だ。影響を受けるバージョンは特定のコミットハッシュで確認されているが、ローリングリリース方式採用により詳細は不明確となっている。
【CVE-2025-3036】StudentServlet-JSPにクロスサイトスクリプティン...
yzk2356911358のStudentServlet-JSPのStudent Management Handlerコンポーネントにおいて、Name引数の操作によるクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア最大4.8でミディアムレベルの深刻度と評価され、攻撃コードも公開されている状態だ。影響を受けるバージョンは特定のコミットハッシュで確認されているが、ローリングリリース方式採用により詳細は不明確となっている。
【CVE-2025-24217】AppleがiOS 18.4などで機密情報漏洩の脆弱性に対処、...
Appleは2025年3月31日、iOS 18.4、iPadOS 18.4、tvOS 18.4、macOS Sequoia 15.4向けのセキュリティアップデートを公開した。CVE-2025-24217として識別されるこの脆弱性は、アプリケーションによる機密性の高いユーザーデータへのアクセスを可能にする問題であり、CVSSスコア5.5(MEDIUM)と評価されている。CISAの分析では自動的な悪用は確認されていないものの、影響範囲が広いため早急な対応が推奨される。
【CVE-2025-24217】AppleがiOS 18.4などで機密情報漏洩の脆弱性に対処、...
Appleは2025年3月31日、iOS 18.4、iPadOS 18.4、tvOS 18.4、macOS Sequoia 15.4向けのセキュリティアップデートを公開した。CVE-2025-24217として識別されるこの脆弱性は、アプリケーションによる機密性の高いユーザーデータへのアクセスを可能にする問題であり、CVSSスコア5.5(MEDIUM)と評価されている。CISAの分析では自動的な悪用は確認されていないものの、影響範囲が広いため早急な対応が推奨される。
【CVE-2025-24204】macOS Sequoia 15.4で重大な脆弱性に対処、ユー...
Appleは2025年3月31日、macOS Sequoia 15.4向けのセキュリティアップデートを公開した。CVE-2025-24204として識別されるこの脆弱性は、保護されたユーザーデータへの不正アクセスを可能にする重大な問題であり、CVSSスコア9.8のCriticalレベルと評価されている。セキュリティチェック機能の改善により問題に対処し、システムの安全性が向上した。
【CVE-2025-24204】macOS Sequoia 15.4で重大な脆弱性に対処、ユー...
Appleは2025年3月31日、macOS Sequoia 15.4向けのセキュリティアップデートを公開した。CVE-2025-24204として識別されるこの脆弱性は、保護されたユーザーデータへの不正アクセスを可能にする重大な問題であり、CVSSスコア9.8のCriticalレベルと評価されている。セキュリティチェック機能の改善により問題に対処し、システムの安全性が向上した。
【CVE-2025-30430】AppleがvisionOS、iOS、iPadOSの認証バイパ...
Appleが主要OS向けのセキュリティアップデートを公開し、認証失敗後のパスワード自動入力に関する重大な脆弱性に対処した。CVE-2025-30430として識別されるこの脆弱性は、CVSS v3.1で最高深刻度の9.8を記録。visionOS 2.4、iOS/iPadOS 18.4、macOS 15.4への更新で修正され、すべてのユーザーに対して速やかなアップデートが推奨される。
【CVE-2025-30430】AppleがvisionOS、iOS、iPadOSの認証バイパ...
Appleが主要OS向けのセキュリティアップデートを公開し、認証失敗後のパスワード自動入力に関する重大な脆弱性に対処した。CVE-2025-30430として識別されるこの脆弱性は、CVSS v3.1で最高深刻度の9.8を記録。visionOS 2.4、iOS/iPadOS 18.4、macOS 15.4への更新で修正され、すべてのユーザーに対して速やかなアップデートが推奨される。
【CVE-2025-3195】itsourcecodeのOnline Blood Bank M...
itsourcecodeが開発したOnline Blood Bank Management System 1.0のbbms.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3を記録し、リモートからの攻撃が可能で特別な権限も不要とされている。すでに脆弱性は公開されており、医療データの漏洩リスクが指摘されているため、早急な対応が求められる。
【CVE-2025-3195】itsourcecodeのOnline Blood Bank M...
itsourcecodeが開発したOnline Blood Bank Management System 1.0のbbms.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.3を記録し、リモートからの攻撃が可能で特別な権限も不要とされている。すでに脆弱性は公開されており、医療データの漏洩リスクが指摘されているため、早急な対応が求められる。
【CVE-2025-3188】PHPGurukul e-Diary Management Sy...
PHPGurukulのe-Diary Management System 1.0において、add-notes.phpのCategory引数にSQLインジェクションの脆弱性が発見された。CVE-2025-3188として登録されたこの脆弱性は、CVSSスコアでv4.0で6.9(MEDIUM)、v3.1で7.3(HIGH)と評価されている。リモートから認証なしで攻撃可能であり、既に攻撃手法が公開されているため、早急な対策が求められる状況となっている。
【CVE-2025-3188】PHPGurukul e-Diary Management Sy...
PHPGurukulのe-Diary Management System 1.0において、add-notes.phpのCategory引数にSQLインジェクションの脆弱性が発見された。CVE-2025-3188として登録されたこの脆弱性は、CVSSスコアでv4.0で6.9(MEDIUM)、v3.1で7.3(HIGH)と評価されている。リモートから認証なしで攻撃可能であり、既に攻撃手法が公開されているため、早急な対策が求められる状況となっている。
【CVE-2025-3305】IKUN_Library 1.0に不適切なアクセス制御の脆弱性、...
code-projectsが提供するIKUN_Library 1.0のMvcConfig.javaファイルにおいて、Borrow HandlerコンポーネントのaddInterceptors関数に不適切なアクセス制御の脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている状態。CWE-284とCWE-266に分類される本脆弱性への早急な対応が求められている。
【CVE-2025-3305】IKUN_Library 1.0に不適切なアクセス制御の脆弱性、...
code-projectsが提供するIKUN_Library 1.0のMvcConfig.javaファイルにおいて、Borrow HandlerコンポーネントのaddInterceptors関数に不適切なアクセス制御の脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている状態。CWE-284とCWE-266に分類される本脆弱性への早急な対応が求められている。
【CVE-2025-3329】Consumer Comanda Mobileにレストラン注文機...
Consumer社のComanda Mobileアプリケーションにおいて、レストラン注文処理機能に関連する重大な脆弱性が発見された。バージョン14.9.3.0から14.9.3.2および15.0.0.0から15.0.0.8において、ログイン情報やパスワードが暗号化されずに送信される問題が確認されており、ローカルネットワーク内からの攻撃により情報漏洩のリスクがある。
【CVE-2025-3329】Consumer Comanda Mobileにレストラン注文機...
Consumer社のComanda Mobileアプリケーションにおいて、レストラン注文処理機能に関連する重大な脆弱性が発見された。バージョン14.9.3.0から14.9.3.2および15.0.0.0から15.0.0.8において、ログイン情報やパスワードが暗号化されずに送信される問題が確認されており、ローカルネットワーク内からの攻撃により情報漏洩のリスクがある。
Azure OpenAIが新音声モデル3種をプレビュー公開、高精度な音声認識と合成機能を提供開始
Azure OpenAIは2025年4月16日、新しい音声モデル「GPT-4o-Transcribe」「GPT-4o-Mini-Transcribe」「GPT-4o-Mini-TTS」のパブリックプレビューを開始した。これらのモデルは高度な音声認識と音声合成機能を提供し、カスタマーサービスや会議録作成などの実用的なシナリオでの活用が期待される。開発者向けのデモリポジトリも公開され、アプリケーションへの実装が容易になった。
Azure OpenAIが新音声モデル3種をプレビュー公開、高精度な音声認識と合成機能を提供開始
Azure OpenAIは2025年4月16日、新しい音声モデル「GPT-4o-Transcribe」「GPT-4o-Mini-Transcribe」「GPT-4o-Mini-TTS」のパブリックプレビューを開始した。これらのモデルは高度な音声認識と音声合成機能を提供し、カスタマーサービスや会議録作成などの実用的なシナリオでの活用が期待される。開発者向けのデモリポジトリも公開され、アプリケーションへの実装が容易になった。
【CVE-2025-28398】D-LINK DI-8100にバッファオーバーフロー脆弱性、I...
MITREが2025年4月1日に公開したD-LINK DI-8100 16.07.26A1の脆弱性情報によると、ipsec_net_asp関数のremot_ipパラメータにバッファオーバーフローの脆弱性が存在する。CVSSスコア7.1のHigh評価で、攻撃の自動化は不可能だが技術的影響は部分的とされており、システムの完全性と可用性に高い影響を及ぼす可能性がある。
【CVE-2025-28398】D-LINK DI-8100にバッファオーバーフロー脆弱性、I...
MITREが2025年4月1日に公開したD-LINK DI-8100 16.07.26A1の脆弱性情報によると、ipsec_net_asp関数のremot_ipパラメータにバッファオーバーフローの脆弱性が存在する。CVSSスコア7.1のHigh評価で、攻撃の自動化は不可能だが技術的影響は部分的とされており、システムの完全性と可用性に高い影響を及ぼす可能性がある。
【CVE-2025-3186】医療予約システムに深刻な脆弱性、SQLインジェクション攻撃のリス...
projectworlds Online Doctor Appointment Booking System 1.0において、invoice.phpのappidパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5を記録し、リモートからの攻撃が可能で特別な認証も不要とされている。すでに攻撃コードが公開されており、医療機関における患者データの漏洩リスクが指摘されている。
【CVE-2025-3186】医療予約システムに深刻な脆弱性、SQLインジェクション攻撃のリス...
projectworlds Online Doctor Appointment Booking System 1.0において、invoice.phpのappidパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5を記録し、リモートからの攻撃が可能で特別な認証も不要とされている。すでに攻撃コードが公開されており、医療機関における患者データの漏洩リスクが指摘されている。
Google Chromeの安定版チャネルがアップデート、重大な脆弱性に対応しセキュリティ強化へ
米Googleは4月15日、デスクトップ向けGoogle Chromeの安定版チャネルをアップデートした。Windows/Mac向けにv135.0.7049.95/.96、Linux向けにv135.0.7049.95を展開。Codecsのヒープバッファオーバーフローなど2件の重要な脆弱性に対応し、セキュリティ強化を図っている。AddressSanitizerなどの検出ツールを活用し、今後も安全性向上に取り組む方針だ。
Google Chromeの安定版チャネルがアップデート、重大な脆弱性に対応しセキュリティ強化へ
米Googleは4月15日、デスクトップ向けGoogle Chromeの安定版チャネルをアップデートした。Windows/Mac向けにv135.0.7049.95/.96、Linux向けにv135.0.7049.95を展開。Codecsのヒープバッファオーバーフローなど2件の重要な脆弱性に対応し、セキュリティ強化を図っている。AddressSanitizerなどの検出ツールを活用し、今後も安全性向上に取り組む方針だ。
MatrixFlowがAI接客Webアプリ「アレコレ」を発表、会話で5万点以上の商品から最適な...
MatrixFlowは生成AIを活用した会話型ショッピングアプリ「アレコレ」のベータ版をリリース。ファッションから家電まで5万点以上の商品データベースを保有し、AIとの対話を通じてニーズを把握して最適な商品を提案する。音声やテキストでの会話に対応し、セール情報やクーポンの有無も加味した購入先の提示も可能。今後はスマートフォンアプリの提供や口コミ機能の追加も予定している。
MatrixFlowがAI接客Webアプリ「アレコレ」を発表、会話で5万点以上の商品から最適な...
MatrixFlowは生成AIを活用した会話型ショッピングアプリ「アレコレ」のベータ版をリリース。ファッションから家電まで5万点以上の商品データベースを保有し、AIとの対話を通じてニーズを把握して最適な商品を提案する。音声やテキストでの会話に対応し、セール情報やクーポンの有無も加味した購入先の提示も可能。今後はスマートフォンアプリの提供や口コミ機能の追加も予定している。
モルゲンロットが計算資源取引プラットフォームの特許を取得、生成AI開発の効率化に貢献へ
モルゲンロット株式会社が生成AIなどの開発に必要な計算資源の提供・利用を円滑にする特許を取得。Cloud BouquetとTailorNodeに実装された本技術により、計算資源の登録から支払いまでを一貫管理し、提供者と利用者のマッチングを効率化。遊休リソースの活用や個人・スタートアップの計算資源アクセス改善を実現する基盤として期待される。
モルゲンロットが計算資源取引プラットフォームの特許を取得、生成AI開発の効率化に貢献へ
モルゲンロット株式会社が生成AIなどの開発に必要な計算資源の提供・利用を円滑にする特許を取得。Cloud BouquetとTailorNodeに実装された本技術により、計算資源の登録から支払いまでを一貫管理し、提供者と利用者のマッチングを効率化。遊休リソースの活用や個人・スタートアップの計算資源アクセス改善を実現する基盤として期待される。
【CVE-2025-3185】projectworlds医療予約システムにSQLインジェクショ...
projectworlds Online Doctor Appointment Booking System 1.0において重大な脆弱性が発見された。patientupdateprofile.phpファイルのpatientFirstName引数を介したSQLインジェクションが可能で、CVSSスコアは最大7.3を記録。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。医療系システムの個人情報保護に関わる重要な脆弱性として注目されている。
【CVE-2025-3185】projectworlds医療予約システムにSQLインジェクショ...
projectworlds Online Doctor Appointment Booking System 1.0において重大な脆弱性が発見された。patientupdateprofile.phpファイルのpatientFirstName引数を介したSQLインジェクションが可能で、CVSSスコアは最大7.3を記録。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。医療系システムの個人情報保護に関わる重要な脆弱性として注目されている。
【CVE-2025-30177】Apache CamelのCamel-Undertowに深刻な...
Apache Software Foundationが、Apache CamelのCamel-Undertowコンポーネントにおける重要な脆弱性を公開した。この脆弱性はメッセージヘッダーインジェクションに関するもので、バージョン4.10.0-4.10.3未満および4.8.0-4.8.6未満に影響を与える。攻撃者はCamel固有のヘッダーを含めることで、特定のコンポーネントの動作を変更できる可能性がある。ユーザーには最新バージョンへのアップグレードが推奨されている。
【CVE-2025-30177】Apache CamelのCamel-Undertowに深刻な...
Apache Software Foundationが、Apache CamelのCamel-Undertowコンポーネントにおける重要な脆弱性を公開した。この脆弱性はメッセージヘッダーインジェクションに関するもので、バージョン4.10.0-4.10.3未満および4.8.0-4.8.6未満に影響を与える。攻撃者はCamel固有のヘッダーを含めることで、特定のコンポーネントの動作を変更できる可能性がある。ユーザーには最新バージョンへのアップグレードが推奨されている。
【CVE-2025-3184】projectworlds Online Doctor Appo...
projectworlds Online Doctor Appointment Booking System 1.0において、patient/profile.phpのpatientFirstNameパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア7.3で高リスクに分類されるこの脆弱性は、特別な権限なしにリモートから攻撃可能で、既に公開されている。また、他のパラメータにも同様の脆弱性が存在する可能性が指摘されており、早急な対応が求められている。
【CVE-2025-3184】projectworlds Online Doctor Appo...
projectworlds Online Doctor Appointment Booking System 1.0において、patient/profile.phpのpatientFirstNameパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア7.3で高リスクに分類されるこの脆弱性は、特別な権限なしにリモートから攻撃可能で、既に公開されている。また、他のパラメータにも同様の脆弱性が存在する可能性が指摘されており、早急な対応が求められている。
【CVE-2025-3119】SourceCodester Online Tutor Port...
SourceCodester Online Tutor Portal 1.0のmanage_course.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3119として識別されたこの脆弱性は、ID引数の操作により遠隔から攻撃が可能で、CVSSスコアはMediumレベルと評価されている。既に攻撃コードが公開されており、教育機関の情報セキュリティに対する早急な対応が求められる。
【CVE-2025-3119】SourceCodester Online Tutor Port...
SourceCodester Online Tutor Portal 1.0のmanage_course.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3119として識別されたこの脆弱性は、ID引数の操作により遠隔から攻撃が可能で、CVSSスコアはMediumレベルと評価されている。既に攻撃コードが公開されており、教育機関の情報セキュリティに対する早急な対応が求められる。
【CVE-2025-3204】CodeAstro Car Rental System 1.0に...
CodeAstro Car Rental System 1.0のreturncar.phpファイルにSQL injection脆弱性が発見され、VulDBによって公開された。CVSSスコア6.3でミディアム評価に分類されており、ID引数の操作によって遠隔からの攻撃が可能となる。既にexploit情報も公開されており、早急な対応が求められる状況となっている。CWEによる脆弱性タイプはSQL InjectionとInjectionに分類されている。
【CVE-2025-3204】CodeAstro Car Rental System 1.0に...
CodeAstro Car Rental System 1.0のreturncar.phpファイルにSQL injection脆弱性が発見され、VulDBによって公開された。CVSSスコア6.3でミディアム評価に分類されており、ID引数の操作によって遠隔からの攻撃が可能となる。既にexploit情報も公開されており、早急な対応が求められる状況となっている。CWEによる脆弱性タイプはSQL InjectionとInjectionに分類されている。
【CVE-2024-57835】Amon2::Auth::Site::LINEに暗号化機能の脆...
Perlモジュール「Amon2::Auth::Site::LINE」のバージョン0.04以前に重大な脆弱性が発見された。String::Randomモジュールがnonce値の生成にPerlの組み込み関数rand()を使用しており、暗号学的に安全でない乱数生成による認証システムのセキュリティリスクが指摘されている。CVSSスコア5.5(MEDIUM)と評価され、早急な対応が求められる。
【CVE-2024-57835】Amon2::Auth::Site::LINEに暗号化機能の脆...
Perlモジュール「Amon2::Auth::Site::LINE」のバージョン0.04以前に重大な脆弱性が発見された。String::Randomモジュールがnonce値の生成にPerlの組み込み関数rand()を使用しており、暗号学的に安全でない乱数生成による認証システムのセキュリティリスクが指摘されている。CVSSスコア5.5(MEDIUM)と評価され、早急な対応が求められる。
【CVE-2025-32013】LNbitsのLNURL認証に重大な脆弱性が発見、内部ネットワ...
GitHubが2025年4月6日、Lightning Network決済システムLNbitsにおいて深刻なSSRF脆弱性を発見。LNURL認証のコールバックURL処理に問題があり、内部ネットワークリソースへの不正アクセスが可能となっている。CVSSスコア9.3のクリティカルな脆弱性として、バージョン0.12.12以前のすべてのバージョンが影響を受ける。httpxライブラリのリダイレクト機能が有効な状態での実装が原因。
【CVE-2025-32013】LNbitsのLNURL認証に重大な脆弱性が発見、内部ネットワ...
GitHubが2025年4月6日、Lightning Network決済システムLNbitsにおいて深刻なSSRF脆弱性を発見。LNURL認証のコールバックURL処理に問題があり、内部ネットワークリソースへの不正アクセスが可能となっている。CVSSスコア9.3のクリティカルな脆弱性として、バージョン0.12.12以前のすべてのバージョンが影響を受ける。httpxライブラリのリダイレクト機能が有効な状態での実装が原因。
【CVE-2025-22649】WP Project Managerプラグインに深刻な脆弱性、...
weDevs社のWordPressプラグイン「WP Project Manager」のバージョン2.6.22以前に、クロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.9のミディアムレベルで、高い特権レベルを必要とするものの攻撃の複雑さは低い。特にストアドXSSの形態を取り、管理者権限を持つユーザーを標的とした攻撃によってサイト全体のセキュリティが損なわれる可能性が指摘されている。
【CVE-2025-22649】WP Project Managerプラグインに深刻な脆弱性、...
weDevs社のWordPressプラグイン「WP Project Manager」のバージョン2.6.22以前に、クロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.9のミディアムレベルで、高い特権レベルを必要とするものの攻撃の複雑さは低い。特にストアドXSSの形態を取り、管理者権限を持つユーザーを標的とした攻撃によってサイト全体のセキュリティが損なわれる可能性が指摘されている。
【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQL...
オープンソースのウェブサイト構築システムEmlogのpro-2.5.7およびpro-2.5.8において、深刻なSQLインジェクション脆弱性が発見された。search_controller.phpにおけるURLデコード処理の不備により、URLの二重エンコーディングでaddslashesを回避可能な状態となっており、ユーザーデータベースから機密情報が漏洩する危険性がある。開発チームはpro-2.5.9で修正を実施し、影響を受けるバージョンのユーザーに対して早急なアップデートを推奨している。
【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQL...
オープンソースのウェブサイト構築システムEmlogのpro-2.5.7およびpro-2.5.8において、深刻なSQLインジェクション脆弱性が発見された。search_controller.phpにおけるURLデコード処理の不備により、URLの二重エンコーディングでaddslashesを回避可能な状態となっており、ユーザーデータベースから機密情報が漏洩する危険性がある。開発チームはpro-2.5.9で修正を実施し、影響を受けるバージョンのユーザーに対して早急なアップデートを推奨している。