Tech Insights

【CVE-2025-3374】PCMan FTP Server 2.0.7でバッファオーバーフロー脆弱性、リモート攻撃の可能性で緊急対応が必要に

【CVE-2025-3374】PCMan FTP Server 2.0.7でバッファオーバーフ...

PCMan FTP Server 2.0.7のCCCコマンドハンドラーにおいて、リモートから攻撃可能な重大なバッファオーバーフロー脆弱性が発見された。CVE-2025-3374として識別されるこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1で7.3(HIGH)と評価されており、特別な権限やユーザー操作を必要とせずに攻撃可能であることから、早急な対応が求められている。

【CVE-2025-3374】PCMan FTP Server 2.0.7でバッファオーバーフ...

PCMan FTP Server 2.0.7のCCCコマンドハンドラーにおいて、リモートから攻撃可能な重大なバッファオーバーフロー脆弱性が発見された。CVE-2025-3374として識別されるこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1で7.3(HIGH)と評価されており、特別な権限やユーザー操作を必要とせずに攻撃可能であることから、早急な対応が求められている。

【CVE-2025-21580】MySQLサーバの複数バージョンでDoS脆弱性が発見、データベースの可用性に影響

【CVE-2025-21580】MySQLサーバの複数バージョンでDoS脆弱性が発見、データベ...

Oracle社が2025年4月15日にMySQLサーバの脆弱性(CVE-2025-21580)を公開。8.0.0から8.0.41、8.4.0から8.4.4、9.0.0から9.2.0の各バージョンが影響を受け、高特権の攻撃者によるDoS攻撃のリスクがある。CVSSスコア4.9で中程度の深刻度と評価され、DMLコンポーネントの問題によりサーバの応答停止やクラッシュが発生する可能性が指摘されている。

【CVE-2025-21580】MySQLサーバの複数バージョンでDoS脆弱性が発見、データベ...

Oracle社が2025年4月15日にMySQLサーバの脆弱性(CVE-2025-21580)を公開。8.0.0から8.0.41、8.4.0から8.4.4、9.0.0から9.2.0の各バージョンが影響を受け、高特権の攻撃者によるDoS攻撃のリスクがある。CVSSスコア4.9で中程度の深刻度と評価され、DMLコンポーネントの問題によりサーバの応答停止やクラッシュが発生する可能性が指摘されている。

【CVE-2025-2185】ALBEDO Telecom Net.Timeに深刻な脆弱性、パスワードの平文送信のリスクが浮上

【CVE-2025-2185】ALBEDO Telecom Net.Timeに深刻な脆弱性、パ...

ALBEDO TelecomのPTP/NTPクロック製品Net.Time(シリアル番号:NBC0081P)のソフトウェアバージョン1.4.4において、セッション期限切れの不適切な処理に関する脆弱性が発見された。この脆弱性によりパスワードが暗号化されていない状態で送信される可能性があり、CISAは高い深刻度(CVSS 3.1:8.0、CVSS 4.0:8.5)を示すセキュリティアドバイザリーを公開している。

【CVE-2025-2185】ALBEDO Telecom Net.Timeに深刻な脆弱性、パ...

ALBEDO TelecomのPTP/NTPクロック製品Net.Time(シリアル番号:NBC0081P)のソフトウェアバージョン1.4.4において、セッション期限切れの不適切な処理に関する脆弱性が発見された。この脆弱性によりパスワードが暗号化されていない状態で送信される可能性があり、CISAは高い深刻度(CVSS 3.1:8.0、CVSS 4.0:8.5)を示すセキュリティアドバイザリーを公開している。

【CVE-2025-29650】TP-Link M7200にSQL Injection脆弱性、認証バイパスの可能性が浮上

【CVE-2025-29650】TP-Link M7200にSQL Injection脆弱性、...

MITREがTP-Link M7200 4G LTE Mobile Wi-Fiルーターに認証なしでSQLインジェクション攻撃が可能な脆弱性を報告。CVE-2025-29650として公開され、CVSS v3.1で6.3のミディアムリスクと評価。ただしサプライヤー提供のエミュレータ環境でのみ再現可能という特徴があり、実環境での影響は限定的との見方も。CISAによる詳細な分析も進行中。

【CVE-2025-29650】TP-Link M7200にSQL Injection脆弱性、...

MITREがTP-Link M7200 4G LTE Mobile Wi-Fiルーターに認証なしでSQLインジェクション攻撃が可能な脆弱性を報告。CVE-2025-29650として公開され、CVSS v3.1で6.3のミディアムリスクと評価。ただしサプライヤー提供のエミュレータ環境でのみ再現可能という特徴があり、実環境での影響は限定的との見方も。CISAによる詳細な分析も進行中。

【CVE-2025-29460】MyBB 1.8.38のAdd Mycode機能に深刻な脆弱性、機密情報漏洩のリスクが浮上

【CVE-2025-29460】MyBB 1.8.38のAdd Mycode機能に深刻な脆弱性...

MyBB 1.8.38のAdd Mycode機能において、リモート攻撃者による機密情報取得が可能な脆弱性が発見された。CVE-2025-29460として識別されるこの脆弱性は、CVSSスコア7.6(High)と評価され、Server-Side Request Forgery(SSRF)に分類される。開発元は既存の対策を理由に異議を唱えているが、CISAは継続的な監視と対策の必要性を呼びかけている。

【CVE-2025-29460】MyBB 1.8.38のAdd Mycode機能に深刻な脆弱性...

MyBB 1.8.38のAdd Mycode機能において、リモート攻撃者による機密情報取得が可能な脆弱性が発見された。CVE-2025-29460として識別されるこの脆弱性は、CVSSスコア7.6(High)と評価され、Server-Side Request Forgery(SSRF)に分類される。開発元は既存の対策を理由に異議を唱えているが、CISAは継続的な監視と対策の必要性を呼びかけている。

東陽テクニカがuObserve ver.6.0を発売、Citrix VDI解析機能とChatGPT連携でトラブルシュート効率が向上

東陽テクニカがuObserve ver.6.0を発売、Citrix VDI解析機能とChatG...

東陽テクニカは仮想環境の問題解決を支援する「uObserve ver.6.0」を2025年4月25日に販売開始。Citrix VDI解析機能によりエージェントレスでの環境監視が可能になり、ChatGPT連携機能「AskUila」でナレッジベースを活用した即時の問題解決を実現。VMware、AWS、Azureなど、主要な仮想環境に幅広く対応し、システム管理者の運用効率向上に貢献する。

東陽テクニカがuObserve ver.6.0を発売、Citrix VDI解析機能とChatG...

東陽テクニカは仮想環境の問題解決を支援する「uObserve ver.6.0」を2025年4月25日に販売開始。Citrix VDI解析機能によりエージェントレスでの環境監視が可能になり、ChatGPT連携機能「AskUila」でナレッジベースを活用した即時の問題解決を実現。VMware、AWS、Azureなど、主要な仮想環境に幅広く対応し、システム管理者の運用効率向上に貢献する。

Green CarbonがベトナムNghe An省で水田プロジェクトを展開、Gold Standard認証で日本企業初の快挙達成

Green CarbonがベトナムNghe An省で水田プロジェクトを展開、Gold Stan...

Green Carbon株式会社がベトナム北中部Nghe An省で実施する水田のAWD導入によるメタンガス削減プロジェクトが、Gold Standardにベトナム初・日本企業初の案件として正式に受理された。約62,000haの水田でAWD技術を導入し、2034年までの10年間で累計約250万トンのカーボンクレジット創出を目指す。ベトナム政府の100万haプロジェクトとも連携し、環境負荷の少ない稲作の普及を推進する。

Green CarbonがベトナムNghe An省で水田プロジェクトを展開、Gold Stan...

Green Carbon株式会社がベトナム北中部Nghe An省で実施する水田のAWD導入によるメタンガス削減プロジェクトが、Gold Standardにベトナム初・日本企業初の案件として正式に受理された。約62,000haの水田でAWD技術を導入し、2034年までの10年間で累計約250万トンのカーボンクレジット創出を目指す。ベトナム政府の100万haプロジェクトとも連携し、環境負荷の少ない稲作の普及を推進する。

BBSS株式会社が詐欺ウォールのAI検知エンジンを強化、偽販売・偽ブランド販売の検知精度が向上

BBSS株式会社が詐欺ウォールのAI検知エンジンを強化、偽販売・偽ブランド販売の検知精度が向上

BBSS株式会社は2025年4月17日、ネット詐欺対策ソフト「詐欺ウォール」のAI検知エンジンをアップデートし、偽販売・偽ブランド販売の検知機能を強化した。AI検知エンジンの検知数は1.3倍に向上し、昨年10月の偽警告詐欺対策アップデートと合わせて約2倍の増加となる見込み。2024年の詐欺サイトURLの7割以上を占める偽販売・偽ブランド販売への対策が一層強化された。

BBSS株式会社が詐欺ウォールのAI検知エンジンを強化、偽販売・偽ブランド販売の検知精度が向上

BBSS株式会社は2025年4月17日、ネット詐欺対策ソフト「詐欺ウォール」のAI検知エンジンをアップデートし、偽販売・偽ブランド販売の検知機能を強化した。AI検知エンジンの検知数は1.3倍に向上し、昨年10月の偽警告詐欺対策アップデートと合わせて約2倍の増加となる見込み。2024年の詐欺サイトURLの7割以上を占める偽販売・偽ブランド販売への対策が一層強化された。

プロディライトがクラウドPBX INNOVERAとkintoneの連携サービスを公開、顧客対応業務の効率化を実現

プロディライトがクラウドPBX INNOVERAとkintoneの連携サービスを公開、顧客対応...

電話のDXを推進する株式会社プロディライトが、パソナ日本総務部との協業でクラウドPBX「INNOVERA」とkintoneの連携サービスを公開した。電話履歴とkintoneの顧客対応履歴を同期させ一元管理を実現。着信時の対応履歴ポップアップや通話録音機能により、業務効率化と顧客対応品質の向上を図る。

プロディライトがクラウドPBX INNOVERAとkintoneの連携サービスを公開、顧客対応...

電話のDXを推進する株式会社プロディライトが、パソナ日本総務部との協業でクラウドPBX「INNOVERA」とkintoneの連携サービスを公開した。電話履歴とkintoneの顧客対応履歴を同期させ一元管理を実現。着信時の対応履歴ポップアップや通話録音機能により、業務効率化と顧客対応品質の向上を図る。

株式会社凸がスマホアプリ特化型アドネットワークDDAを提供開始、CPI・ROAS保証で効率的なユーザー獲得を実現

株式会社凸がスマホアプリ特化型アドネットワークDDAを提供開始、CPI・ROAS保証で効率的な...

株式会社凸が新たに提供を開始したアプリプロモーション特化型の成果報酬型アドネットワーク「DDA」は、CPI・ROAS保証付きのマルチメディア配信を実現する。独自メディア「Playio」を含む100以上の媒体との連携や、独自アルゴリズムによる最適化により、30万人のスマホゲームコアユーザーへの効率的なリーチを可能にする。

株式会社凸がスマホアプリ特化型アドネットワークDDAを提供開始、CPI・ROAS保証で効率的な...

株式会社凸が新たに提供を開始したアプリプロモーション特化型の成果報酬型アドネットワーク「DDA」は、CPI・ROAS保証付きのマルチメディア配信を実現する。独自メディア「Playio」を含む100以上の媒体との連携や、独自アルゴリズムによる最適化により、30万人のスマホゲームコアユーザーへの効率的なリーチを可能にする。

InSync社がショップリーアプリをリリース、大手通販サイトの価格比較が30秒で完了する節約機能を実装

InSync社がショップリーアプリをリリース、大手通販サイトの価格比較が30秒で完了する節約機...

InSync株式会社が2025年4月28日、Amazon、楽天市場、Yahoo!ショッピングの商品価格を30秒で一括比較できる節約アプリ「ショップリー」をリリースした。バーコードリーダーや音声入力による商品検索に対応し、メルカリなど他サービスへのジャンプ機能も実装。獲得したポイントはデジタルギフト券への交換やキャッシュバックが可能で、節約とポイント獲得を両立できる。

InSync社がショップリーアプリをリリース、大手通販サイトの価格比較が30秒で完了する節約機...

InSync株式会社が2025年4月28日、Amazon、楽天市場、Yahoo!ショッピングの商品価格を30秒で一括比較できる節約アプリ「ショップリー」をリリースした。バーコードリーダーや音声入力による商品検索に対応し、メルカリなど他サービスへのジャンプ機能も実装。獲得したポイントはデジタルギフト券への交換やキャッシュバックが可能で、節約とポイント獲得を両立できる。

Webullがタンパベイレイズのオフィシャルパートナーに就任、地域社会への貢献活動を本格化

Webullがタンパベイレイズのオフィシャルパートナーに就任、地域社会への貢献活動を本格化

オンライン投資プラットフォームのWebullが2025年シーズンのタンパベイ・レイズの公式オンラインブローカーに就任。ハリケーン被災者支援や金融教育など地域貢献活動を展開する。本社をセントピーターズバーグに置くWebullにとって初のMLBチームとのパートナーシップとなり、地域社会との関係強化を目指す。

Webullがタンパベイレイズのオフィシャルパートナーに就任、地域社会への貢献活動を本格化

オンライン投資プラットフォームのWebullが2025年シーズンのタンパベイ・レイズの公式オンラインブローカーに就任。ハリケーン被災者支援や金融教育など地域貢献活動を展開する。本社をセントピーターズバーグに置くWebullにとって初のMLBチームとのパートナーシップとなり、地域社会との関係強化を目指す。

AironWorksが金融IT協会に加盟、AIサイバーセキュリティと人材育成で金融業界のデジタル化を推進

AironWorksが金融IT協会に加盟、AIサイバーセキュリティと人材育成で金融業界のデジタ...

AIサイバーセキュリティプラットフォームを提供するAironWorksが2025年4月付で金融IT協会に加盟。デジタル人材育成委員会やIT民主化委員会への参画を通じて、業界全体のITリテラシー向上と人材育成に貢献する。世界トップレベルのホワイトハッカーとエンジニアが開発するAIプラットフォームを活用し、金融業界のサイバーセキュリティ強化を目指す。

AironWorksが金融IT協会に加盟、AIサイバーセキュリティと人材育成で金融業界のデジタ...

AIサイバーセキュリティプラットフォームを提供するAironWorksが2025年4月付で金融IT協会に加盟。デジタル人材育成委員会やIT民主化委員会への参画を通じて、業界全体のITリテラシー向上と人材育成に貢献する。世界トップレベルのホワイトハッカーとエンジニアが開発するAIプラットフォームを活用し、金融業界のサイバーセキュリティ強化を目指す。

【CVE-2025-29824】Windows Common Log File System Driverに権限昇格の脆弱性、広範なバージョンに影響

【CVE-2025-29824】Windows Common Log File System ...

MicrosoftはWindows Common Log File System Driverにおける権限昇格の脆弱性(CVE-2025-29824)を公開した。Use After Freeの問題により、認証済み攻撃者がローカルで権限を昇格できる状態となっている。Windows 10からWindows Server 2025まで広範なバージョンに影響があり、CVSSスコア7.8の高い深刻度評価となっているため、早急な対応が必要だ。

【CVE-2025-29824】Windows Common Log File System ...

MicrosoftはWindows Common Log File System Driverにおける権限昇格の脆弱性(CVE-2025-29824)を公開した。Use After Freeの問題により、認証済み攻撃者がローカルで権限を昇格できる状態となっている。Windows 10からWindows Server 2025まで広範なバージョンに影響があり、CVSSスコア7.8の高い深刻度評価となっているため、早急な対応が必要だ。

【CVE-2025-3821】Web-based Pharmacy Product Management Systemに深刻なXSS脆弱性、管理者権限で悪用の可能性

【CVE-2025-3821】Web-based Pharmacy Product Manag...

SourceCodester社のWeb-based Pharmacy Product Management System 1.0において、深刻なクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-3821として識別されたこの脆弱性は、add-admin.phpファイル内の入力パラメータ処理の不備に起因している。CVSSスコア4.8(MEDIUM)と評価され、特権を持つ攻撃者によるリモートからの攻撃が可能となっている。

【CVE-2025-3821】Web-based Pharmacy Product Manag...

SourceCodester社のWeb-based Pharmacy Product Management System 1.0において、深刻なクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-3821として識別されたこの脆弱性は、add-admin.phpファイル内の入力パラメータ処理の不備に起因している。CVSSスコア4.8(MEDIUM)と評価され、特権を持つ攻撃者によるリモートからの攻撃が可能となっている。

【CVE-2025-3684】Xianqi Kindergarten Management System 2.0にSQLインジェクションの脆弱性が発見、園児情報の漏洩リスクに警戒

【CVE-2025-3684】Xianqi Kindergarten Management S...

Xianqi Kindergarten Management System 2.0のChild Managementコンポーネントにおいて、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-3684として報告されたこの脆弱性は、stu_list.phpファイルのsexパラメータに関連しており、リモートからの攻撃が可能。CVSSスコアは中程度だが、教育機関のシステムという性質上、早急な対応が求められている。

【CVE-2025-3684】Xianqi Kindergarten Management S...

Xianqi Kindergarten Management System 2.0のChild Managementコンポーネントにおいて、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-3684として報告されたこの脆弱性は、stu_list.phpファイルのsexパラメータに関連しており、リモートからの攻撃が可能。CVSSスコアは中程度だが、教育機関のシステムという性質上、早急な対応が求められている。

【CVE-2025-3336】codeprojects Online Restaurant Management System 1.0にSQLインジェクションの脆弱性、早急な対策が必要に

【CVE-2025-3336】codeprojects Online Restaurant M...

codeprojects社のOnline Restaurant Management System 1.0において、member_save.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のv4.0で6.9(MEDIUM)を記録し、リモートからの攻撃が可能でエクスプロイトコードも公開されている。特権レベルやユーザーインタラクションが不要なため、早急な対策が求められている。

【CVE-2025-3336】codeprojects Online Restaurant M...

codeprojects社のOnline Restaurant Management System 1.0において、member_save.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のv4.0で6.9(MEDIUM)を記録し、リモートからの攻撃が可能でエクスプロイトコードも公開されている。特権レベルやユーザーインタラクションが不要なため、早急な対策が求められている。

【CVE-2025-3253】xujiangfei admintwo 1.0でクロスサイトスクリプティングの脆弱性が発見、リモート攻撃のリスクに警戒

【CVE-2025-3253】xujiangfei admintwo 1.0でクロスサイトスク...

xujiangfei admintwo 1.0の/ztree/insertTreeファイルにおいて、Name引数の操作によるクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-3253として識別されたこの脆弱性は、CVSS 4.0で中程度(5.1)の深刻度と評価され、リモートからの攻撃が可能な状態であることが判明。すでに脆弱性情報が公開されており、早急な対策が求められている。

【CVE-2025-3253】xujiangfei admintwo 1.0でクロスサイトスク...

xujiangfei admintwo 1.0の/ztree/insertTreeファイルにおいて、Name引数の操作によるクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-3253として識別されたこの脆弱性は、CVSS 4.0で中程度(5.1)の深刻度と評価され、リモートからの攻撃が可能な状態であることが判明。すでに脆弱性情報が公開されており、早急な対策が求められている。

【CVE-2025-3679】PCMan FTP Server 2.0.7にバッファオーバーフローの脆弱性、リモート攻撃のリスクが深刻化

【CVE-2025-3679】PCMan FTP Server 2.0.7にバッファオーバーフ...

PCMan FTP Server 2.0.7においてHOSTコマンドハンドラーに重大な脆弱性が発見された。CVE-2025-3679として特定されたこの脆弱性は、バッファオーバーフローによってリモートからの攻撃が可能となっている。CVSS 3.1で7.3(HIGH)のスコアが付与され、特権不要で攻撃可能なため、早急な対策が求められている。

【CVE-2025-3679】PCMan FTP Server 2.0.7にバッファオーバーフ...

PCMan FTP Server 2.0.7においてHOSTコマンドハンドラーに重大な脆弱性が発見された。CVE-2025-3679として特定されたこの脆弱性は、バッファオーバーフローによってリモートからの攻撃が可能となっている。CVSS 3.1で7.3(HIGH)のスコアが付与され、特権不要で攻撃可能なため、早急な対策が求められている。

【CVE-2025-3606】Vestel AC Charger 3.75.0に認証情報漏洩の脆弱性、デバイスの不正アクセスのリスクが浮上

【CVE-2025-3606】Vestel AC Charger 3.75.0に認証情報漏洩の...

ICS-CERTがVestel AC Charger version 3.75.0において重大な脆弱性を公開した。CVE-2025-3606として特定されたこの脆弱性により、攻撃者は認証情報などの機密情報を含むファイルにアクセス可能となる。CVSSスコア7.5のHigh評価で、特別な権限や利用者の操作を必要とせずにネットワーク経由で攻撃を実行できる危険性がある。早急な対策が求められている。

【CVE-2025-3606】Vestel AC Charger 3.75.0に認証情報漏洩の...

ICS-CERTがVestel AC Charger version 3.75.0において重大な脆弱性を公開した。CVE-2025-3606として特定されたこの脆弱性により、攻撃者は認証情報などの機密情報を含むファイルにアクセス可能となる。CVSSスコア7.5のHigh評価で、特別な権限や利用者の操作を必要とせずにネットワーク経由で攻撃を実行できる危険性がある。早急な対策が求められている。

【CVE-2024-9441】Linear eMerge e3-Seriesに認証回避の重大な脆弱性、パスワードリセット機能に欠陥

【CVE-2024-9441】Linear eMerge e3-Seriesに認証回避の重大な...

Linear社のeMerge e3-Seriesにおいて、バージョン1.00-07以前の全バージョンに影響を与える重大な脆弱性が発見された。この脆弱性により、攻撃者は認証なしでOSコマンドを実行可能となり、システムの完全な制御権限を奪取される危険性がある。CVSSスコアは9.8(Critical)と評価され、早急な対応が必要とされている。

【CVE-2024-9441】Linear eMerge e3-Seriesに認証回避の重大な...

Linear社のeMerge e3-Seriesにおいて、バージョン1.00-07以前の全バージョンに影響を与える重大な脆弱性が発見された。この脆弱性により、攻撃者は認証なしでOSコマンドを実行可能となり、システムの完全な制御権限を奪取される危険性がある。CVSSスコアは9.8(Critical)と評価され、早急な対応が必要とされている。

【CVE-2025-43929】kitty 0.41.0未満のopen_actions.pyに脆弱性、ユーザー確認なしで実行ファイルが動作する可能性

【CVE-2025-43929】kitty 0.41.0未満のopen_actions.pyに...

kitty projectは2025年4月20日、kitty 0.41.0より前のバージョンのopen_actions.pyに脆弱性が存在することを発表した。CVE-2025-43929として識別されるこの脆弱性は、信頼されていないドキュメントからリンクされたローカルの実行ファイルが、ユーザーの確認なしで実行される可能性がある。CVSSスコアは4.1(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-43929】kitty 0.41.0未満のopen_actions.pyに...

kitty projectは2025年4月20日、kitty 0.41.0より前のバージョンのopen_actions.pyに脆弱性が存在することを発表した。CVE-2025-43929として識別されるこの脆弱性は、信頼されていないドキュメントからリンクされたローカルの実行ファイルが、ユーザーの確認なしで実行される可能性がある。CVSSスコアは4.1(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-20654】MediaTek製品のWLANサービスに重大な脆弱性、複数製品でリモートコード実行のリスク

【CVE-2025-20654】MediaTek製品のWLANサービスに重大な脆弱性、複数製品...

MediaTekは複数の製品においてWLANサービスの重大な脆弱性を公表した。CVE-2025-20654として識別されるこの脆弱性は、境界チェックの不備によりリモートからのコード実行を許可してしまう可能性がある。MT6890、MT7622、MT7915などの製品が影響を受け、CVSSスコア9.8と極めて深刻度が高い評価となっている。

【CVE-2025-20654】MediaTek製品のWLANサービスに重大な脆弱性、複数製品...

MediaTekは複数の製品においてWLANサービスの重大な脆弱性を公表した。CVE-2025-20654として識別されるこの脆弱性は、境界チェックの不備によりリモートからのコード実行を許可してしまう可能性がある。MT6890、MT7622、MT7915などの製品が影響を受け、CVSSスコア9.8と極めて深刻度が高い評価となっている。

【CVE-2025-29651】TP-Link M7650にSQLインジェクションの脆弱性、クリティカルレベルの深刻度で対応急務

【CVE-2025-29651】TP-Link M7650にSQLインジェクションの脆弱性、ク...

TP-Link M7650 4G LTE Mobile Wi-Fiルーターのファームウェアバージョン1.0.7に重大な脆弱性が発見された。CVE-2025-29651として識別されるこの脆弱性は、認証されていない攻撃者によるSQLインジェクション攻撃を可能にする。CVSSスコア9.8のクリティカルレベルと評価され、データベースセキュリティへの影響が懸念される。

【CVE-2025-29651】TP-Link M7650にSQLインジェクションの脆弱性、ク...

TP-Link M7650 4G LTE Mobile Wi-Fiルーターのファームウェアバージョン1.0.7に重大な脆弱性が発見された。CVE-2025-29651として識別されるこの脆弱性は、認証されていない攻撃者によるSQLインジェクション攻撃を可能にする。CVSSスコア9.8のクリティカルレベルと評価され、データベースセキュリティへの影響が懸念される。

【CVE-2025-20664】MediaTekのWLAN APドライバーに情報漏洩の脆弱性、複数製品のSDKに影響

【CVE-2025-20664】MediaTekのWLAN APドライバーに情報漏洩の脆弱性、...

MediaTek社のWLAN APドライバーに未捕捉例外による情報漏洩の脆弱性が発見された。MT7915、MT7916、MT7981、MT7986、MT7990、MT7992の各製品のSDKが影響を受け、CVSSスコア7.5と高い深刻度が示されている。特にユーザー介入なしでリモート攻撃が可能な点が懸念され、早急なアップデートが推奨されている。

【CVE-2025-20664】MediaTekのWLAN APドライバーに情報漏洩の脆弱性、...

MediaTek社のWLAN APドライバーに未捕捉例外による情報漏洩の脆弱性が発見された。MT7915、MT7916、MT7981、MT7986、MT7990、MT7992の各製品のSDKが影響を受け、CVSSスコア7.5と高い深刻度が示されている。特にユーザー介入なしでリモート攻撃が可能な点が懸念され、早急なアップデートが推奨されている。

【CVE-2025-43928】Infodraw Media Relay Service 7.1.0.0にパストラバーサルの脆弱性、管理者認証情報漏洩のリスク

【CVE-2025-43928】Infodraw Media Relay Service 7....

MITREは2025年4月20日、Infodraw Media Relay Service 7.1.0.0のMRSウェブサーバーにおいてパストラバーサル脆弱性を発見した。この脆弱性により、ユーザー名フィールドを介して任意のファイルの読み取りが可能となり、特にServerParameters.xmlファイルから管理者認証情報が漏洩する危険性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2025-43928】Infodraw Media Relay Service 7....

MITREは2025年4月20日、Infodraw Media Relay Service 7.1.0.0のMRSウェブサーバーにおいてパストラバーサル脆弱性を発見した。この脆弱性により、ユーザー名フィールドを介して任意のファイルの読み取りが可能となり、特にServerParameters.xmlファイルから管理者認証情報が漏洩する危険性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩のリスクが発生

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩...

MyBB 1.8.38のテーマインポート機能において、リモートの攻撃者が機密情報を取得できる脆弱性が発見された。CVE-2025-29457として報告されたこの脆弱性は、CVSSスコア7.6のHIGH評価とされ、Server-Side Request Forgery(SSRF)の危険性が指摘されている。開発元は既存の対策で十分としているが、セキュリティコミュニティからは更なる対策の必要性が示唆されている。

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩...

MyBB 1.8.38のテーマインポート機能において、リモートの攻撃者が機密情報を取得できる脆弱性が発見された。CVE-2025-29457として報告されたこの脆弱性は、CVSSスコア7.6のHIGH評価とされ、Server-Side Request Forgery(SSRF)の危険性が指摘されている。開発元は既存の対策で十分としているが、セキュリティコミュニティからは更なる対策の必要性が示唆されている。

【CVE-2025-29653】TP-Link M7450にSQLインジェクションの脆弱性、認証バイパスの危険性が浮上

【CVE-2025-29653】TP-Link M7450にSQLインジェクションの脆弱性、認...

TP-Link M7450 4G LTE Mobile Wi-Fi Routerのファームウェアバージョン1.0.2において、認証を必要としないSQLインジェクションの脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として評価され、ユーザー名とパスワードフィールドを介した悪意のあるSQLステートメントの注入が可能となっている。CISAの評価では自動化可能な攻撃として分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-29653】TP-Link M7450にSQLインジェクションの脆弱性、認...

TP-Link M7450 4G LTE Mobile Wi-Fi Routerのファームウェアバージョン1.0.2において、認証を必要としないSQLインジェクションの脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として評価され、ユーザー名とパスワードフィールドを介した悪意のあるSQLステートメントの注入が可能となっている。CISAの評価では自動化可能な攻撃として分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-28121】Online Exam Mastering System 1.0にXSS脆弱性、教育システムのセキュリティ対策が急務に

【CVE-2025-28121】Online Exam Mastering System 1....

code-projectsが開発するOnline Exam Mastering System 1.0において、feedback.phpのqパラメータを介した深刻なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1のミディアムリスクと評価され、遠隔からの任意のコード実行が可能となる危険性が指摘されている。教育システムにおけるセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-28121】Online Exam Mastering System 1....

code-projectsが開発するOnline Exam Mastering System 1.0において、feedback.phpのqパラメータを介した深刻なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1のミディアムリスクと評価され、遠隔からの任意のコード実行が可能となる危険性が指摘されている。教育システムにおけるセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-29039】D-Link DIR-832xにコード実行の脆弱性、遠隔攻撃のリスクで緊急対応が必要に

【CVE-2025-29039】D-Link DIR-832xにコード実行の脆弱性、遠隔攻撃の...

D-Link社のルーター製品DIR-832xのファームウェアバージョン240802において、遠隔からの任意のコード実行を可能にする重大な脆弱性が発見された。CVE-2025-29039として識別されるこの脆弱性は、CVSSスコア7.2のHIGHレベルに分類され、関数0x41dda8を介した攻撃が可能となる。自動化可能な攻撃手法の存在も確認され、早急な対策が求められている。

【CVE-2025-29039】D-Link DIR-832xにコード実行の脆弱性、遠隔攻撃の...

D-Link社のルーター製品DIR-832xのファームウェアバージョン240802において、遠隔からの任意のコード実行を可能にする重大な脆弱性が発見された。CVE-2025-29039として識別されるこの脆弱性は、CVSSスコア7.2のHIGHレベルに分類され、関数0x41dda8を介した攻撃が可能となる。自動化可能な攻撃手法の存在も確認され、早急な対策が求められている。