Tech Insights
【CVE-2025-24861】Outback Power Mojaveインバーターに重大な脆...
CISAが2025年2月13日、Outback Power社のMojaveインバーターにコマンドインジェクション脆弱性が存在することを公表。CVE-2025-24861として識別されたこの脆弱性は、特別に細工されたPOSTリクエストを介して不正なコマンドを実行できる危険性がある。CVSS v3.1で7.5、v4.0で8.7の重要度評価となっており、すべてのバージョンが影響を受ける。
【CVE-2025-24861】Outback Power Mojaveインバーターに重大な脆...
CISAが2025年2月13日、Outback Power社のMojaveインバーターにコマンドインジェクション脆弱性が存在することを公表。CVE-2025-24861として識別されたこの脆弱性は、特別に細工されたPOSTリクエストを介して不正なコマンドを実行できる危険性がある。CVSS v3.1で7.5、v4.0で8.7の重要度評価となっており、すべてのバージョンが影響を受ける。
WordPressプラグインFront End Users 3.2.30にXSS脆弱性、Con...
WordPressプラグイン「Front End Users」のバージョン3.2.30以前に、クロスサイトスクリプティングの脆弱性が発見された。forgot-passwordショートコードの入力値処理の不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした他のユーザーの環境でスクリプトが実行される危険性がある。
WordPressプラグインFront End Users 3.2.30にXSS脆弱性、Con...
WordPressプラグイン「Front End Users」のバージョン3.2.30以前に、クロスサイトスクリプティングの脆弱性が発見された。forgot-passwordショートコードの入力値処理の不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした他のユーザーの環境でスクリプトが実行される危険性がある。
【CVE-2025-1336】CmsEasy 7.7.7.9でPath Traversal脆弱...
CmsEasy 7.7.7.9のimage_admin.phpライブラリに含まれるdeleteimg_action機能においてPath Traversal脆弱性が発見された。この脆弱性は【CVE-2025-1336】として識別され、CVSS 4.0で深刻度「MEDIUM」、スコア5.3を記録している。ベンダーへの通知が行われたものの対応は得られておらず、早急なセキュリティ対策が求められている。
【CVE-2025-1336】CmsEasy 7.7.7.9でPath Traversal脆弱...
CmsEasy 7.7.7.9のimage_admin.phpライブラリに含まれるdeleteimg_action機能においてPath Traversal脆弱性が発見された。この脆弱性は【CVE-2025-1336】として識別され、CVSS 4.0で深刻度「MEDIUM」、スコア5.3を記録している。ベンダーへの通知が行われたものの対応は得られておらず、早急なセキュリティ対策が求められている。
【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプ...
セキュリティ研究機関VulDBは、FastCMSのバージョン0.1.5以前に存在するクロスサイトスクリプティング脆弱性を公開した。Template Menuコンポーネントに影響を与えるこの脆弱性は、リモートからの攻撃が可能でCVSSスコア4.8を記録。高い特権レベルと利用者の操作を必要とするものの、情報の整合性への影響が懸念される。影響を受けるバージョンは0.1.0から0.1.5まで。
【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプ...
セキュリティ研究機関VulDBは、FastCMSのバージョン0.1.5以前に存在するクロスサイトスクリプティング脆弱性を公開した。Template Menuコンポーネントに影響を与えるこの脆弱性は、リモートからの攻撃が可能でCVSSスコア4.8を記録。高い特権レベルと利用者の操作を必要とするものの、情報の整合性への影響が懸念される。影響を受けるバージョンは0.1.0から0.1.5まで。
【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーに...
GitHubがWeGIAのdelete_documento.phpエンドポイントにおけるSQLインジェクションの脆弱性を公開した。CVSS 4.0で9.4(Critical)を記録する深刻な脆弱性で、認証済みユーザーによる任意のSQLクエリ実行が可能。開発元のLabRedesCefetRJはバージョン3.2.14で修正対応を実施しており、影響を受けるバージョンのユーザーには早急なアップグレードが推奨される。
【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーに...
GitHubがWeGIAのdelete_documento.phpエンドポイントにおけるSQLインジェクションの脆弱性を公開した。CVSS 4.0で9.4(Critical)を記録する深刻な脆弱性で、認証済みユーザーによる任意のSQLクエリ実行が可能。開発元のLabRedesCefetRJはバージョン3.2.14で修正対応を実施しており、影響を受けるバージョンのユーザーには早急なアップグレードが推奨される。
【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2....
オープンソースWeb管理システムWeGIAのinformacao_adicional.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSSスコア10.0の重大な脆弱性で、任意のSQLクエリ実行による機密情報への不正アクセスが可能となる。開発元は既にバージョン3.2.13で修正を完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。
【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2....
オープンソースWeb管理システムWeGIAのinformacao_adicional.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSSスコア10.0の重大な脆弱性で、任意のSQLクエリ実行による機密情報への不正アクセスが可能となる。開発元は既にバージョン3.2.13で修正を完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。
Microsoft PowerToys v0.89.0がメディアファイル変換機能を搭載、トラン...
米Microsoftが公開したPowerToys v0.89.0では、Advanced Paste機能にメディアファイルのトランスコード機能が追加された。Windows+Shift+Vキーでクリップボードから直接mp3やmp4形式への変換が可能になり、専用ソフトなしでフォーマット変換が行える。また、アクセシビリティの改善や.NET 9関連の不具合修正も実施されている。
Microsoft PowerToys v0.89.0がメディアファイル変換機能を搭載、トラン...
米Microsoftが公開したPowerToys v0.89.0では、Advanced Paste機能にメディアファイルのトランスコード機能が追加された。Windows+Shift+Vキーでクリップボードから直接mp3やmp4形式への変換が可能になり、専用ソフトなしでフォーマット変換が行える。また、アクセシビリティの改善や.NET 9関連の不具合修正も実施されている。
Thunderbird v136.0が月次アップデートに移行、新機能の迅速な提供体制を強化
オープンソースのメールソフト「Thunderbird」v136.0が2025年3月4日にリリースされ、既定のリリースチャネルがESRからReleaseへと変更された。月次アップデートにより新機能の提供が迅速化され、ダークモード対応の強化やAppearance設定UIの追加など、ユーザビリティの向上が図られている。セキュリティ面では11件の修正が実施され、より安全な利用環境が整備された。
Thunderbird v136.0が月次アップデートに移行、新機能の迅速な提供体制を強化
オープンソースのメールソフト「Thunderbird」v136.0が2025年3月4日にリリースされ、既定のリリースチャネルがESRからReleaseへと変更された。月次アップデートにより新機能の提供が迅速化され、ダークモード対応の強化やAppearance設定UIの追加など、ユーザビリティの向上が図られている。セキュリティ面では11件の修正が実施され、より安全な利用環境が整備された。
GoogleがPixel Feature Dropを提供開始、AIセキュリティ機能と日本語サー...
GoogleはPixelシリーズ向けの新機能追加アップデート「Pixel Feature Drop」を開始した。Gemini Nanoを活用した詐欺検出機能やGemini Liveの多言語対応強化に加え、Pixel Screenshots、天気予報、花粉トラッカー、録音内容要約といった既存機能の日本語対応を実現。プライバシーを保護しながら高度なAI機能を提供する。
GoogleがPixel Feature Dropを提供開始、AIセキュリティ機能と日本語サー...
GoogleはPixelシリーズ向けの新機能追加アップデート「Pixel Feature Drop」を開始した。Gemini Nanoを活用した詐欺検出機能やGemini Liveの多言語対応強化に加え、Pixel Screenshots、天気予報、花粉トラッカー、録音内容要約といった既存機能の日本語対応を実現。プライバシーを保護しながら高度なAI機能を提供する。
YouTubeがオンラインギャンブルコンテンツの規制を強化、3月19日から新ポリシーで若年層保...
YouTubeは2024年3月4日、オンラインギャンブルコンテンツに関する新ポリシーを発表した。Googleが承認していないギャンブルサイトへの誘導を禁止し、URLやリンク、ロゴ、口頭での言及など具体的な規制対象を明示。若年層保護のため、オンラインカジノコンテンツには年齢制限を設け、確実な利益を約束するコンテンツは削除対象となる。
YouTubeがオンラインギャンブルコンテンツの規制を強化、3月19日から新ポリシーで若年層保...
YouTubeは2024年3月4日、オンラインギャンブルコンテンツに関する新ポリシーを発表した。Googleが承認していないギャンブルサイトへの誘導を禁止し、URLやリンク、ロゴ、口頭での言及など具体的な規制対象を明示。若年層保護のため、オンラインカジノコンテンツには年齢制限を設け、確実な利益を約束するコンテンツは削除対象となる。
SnowflakeがMicrosoftとAIパートナーシップを拡大、Cortex AIでOpe...
Snowflakeは2025年2月26日、Microsoftとのパートナーシップ拡大を発表し、フルマネージドAIサービス「Snowflake Cortex AI」でOpenAIのモデルを直接利用可能にする。Microsoft Azure OpenAI ServiceとAzure AI Foundryの統合により、企業はクラウドやリージョンを問わずAIアプリケーションを構築できるようになる。さらに2025年6月からはMicrosoft 365 CopilotとTeamsへの統合も予定されている。
SnowflakeがMicrosoftとAIパートナーシップを拡大、Cortex AIでOpe...
Snowflakeは2025年2月26日、Microsoftとのパートナーシップ拡大を発表し、フルマネージドAIサービス「Snowflake Cortex AI」でOpenAIのモデルを直接利用可能にする。Microsoft Azure OpenAI ServiceとAzure AI Foundryの統合により、企業はクラウドやリージョンを問わずAIアプリケーションを構築できるようになる。さらに2025年6月からはMicrosoft 365 CopilotとTeamsへの統合も予定されている。
GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...
GMO Flatt Security株式会社が脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加。AIによる自動診断により、従来はセキュリティエンジニアによる手動診断が必要だった認可制御不備の検出を効率化。年間150万円(税抜き/Starterプラン)で継続的な診断が可能となり、情報漏洩などの重大インシデントの予防に貢献する。
GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...
GMO Flatt Security株式会社が脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加。AIによる自動診断により、従来はセキュリティエンジニアによる手動診断が必要だった認可制御不備の検出を効率化。年間150万円(税抜き/Starterプラン)で継続的な診断が可能となり、情報漏洩などの重大インシデントの予防に貢献する。
MOTEXがLANSCOPE エンドポイントマネージャーにAIアシスタント機能を搭載し業務効率...
エムオーテックス株式会社は、IT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版」にCopilot機能を実装し、AIアシスタント「LANSCOPE Copilot for エンドポイントマネージャー」をベータ版として提供開始。管理コンソール内でチャット形式での操作方法や運用方法の案内が可能となり、情報システム・セキュリティ担当者の業務効率化を実現する。
MOTEXがLANSCOPE エンドポイントマネージャーにAIアシスタント機能を搭載し業務効率...
エムオーテックス株式会社は、IT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版」にCopilot機能を実装し、AIアシスタント「LANSCOPE Copilot for エンドポイントマネージャー」をベータ版として提供開始。管理コンソール内でチャット形式での操作方法や運用方法の案内が可能となり、情報システム・セキュリティ担当者の業務効率化を実現する。
三井物産がデジタルシェルターの利用を開始、サイバー攻撃への強靭な破壊耐性を実現
デジタルアセットマーケッツは三井物産の一部領域でサイバーレジリエンスサービス「デジタルシェルター」の利用を開始した。個人情報を含むデータを無意味化して分散保管する機能により、海外クラウド利用リスクやシングル権限リスク、内部犯行リスクを大幅に低減。量子計算機による暗号解析攻撃への耐性も備え、高度化・多様化するサイバー攻撃に対して強固なデータ破壊耐性を提供する。
三井物産がデジタルシェルターの利用を開始、サイバー攻撃への強靭な破壊耐性を実現
デジタルアセットマーケッツは三井物産の一部領域でサイバーレジリエンスサービス「デジタルシェルター」の利用を開始した。個人情報を含むデータを無意味化して分散保管する機能により、海外クラウド利用リスクやシングル権限リスク、内部犯行リスクを大幅に低減。量子計算機による暗号解析攻撃への耐性も備え、高度化・多様化するサイバー攻撃に対して強固なデータ破壊耐性を提供する。
CisdemがAppCrypt for Mac V7.9.0をリリース、アプリロック機能が大幅...
ソフト開発会社Cisdemが2025年3月6日、アプリロックツールAppCrypt for Mac V7.9.0をリリース。許可リストへの切り替え機能やURLブロック機能の追加、スリープ時の自動ロック機能の実装により、セキュリティが強化された。年間ライセンス2680円、永続ライセンス5380円で提供され、Mac/Windows版に加えiPhone/Android版も無料で利用可能。
CisdemがAppCrypt for Mac V7.9.0をリリース、アプリロック機能が大幅...
ソフト開発会社Cisdemが2025年3月6日、アプリロックツールAppCrypt for Mac V7.9.0をリリース。許可リストへの切り替え機能やURLブロック機能の追加、スリープ時の自動ロック機能の実装により、セキュリティが強化された。年間ライセンス2680円、永続ライセンス5380円で提供され、Mac/Windows版に加えiPhone/Android版も無料で利用可能。
GMOインターネットグループが全114社でBIMI/VMCを導入、メール認証システムでなりすま...
GMOインターネットグループは2025年夏までに全114社でBIMI/VMC導入を決定した。メールアイコンへのロゴ表示により送信元の真正性を視覚的に確認可能となり、フィッシング詐欺対策を強化。GMOブランドセキュリティによる20年以上の商標関連知見とGMOグローバルサインとの連携で、安定的なBIMI運用と豊富なセキュリティオプションを提供する。
GMOインターネットグループが全114社でBIMI/VMCを導入、メール認証システムでなりすま...
GMOインターネットグループは2025年夏までに全114社でBIMI/VMC導入を決定した。メールアイコンへのロゴ表示により送信元の真正性を視覚的に確認可能となり、フィッシング詐欺対策を強化。GMOブランドセキュリティによる20年以上の商標関連知見とGMOグローバルサインとの連携で、安定的なBIMI運用と豊富なセキュリティオプションを提供する。
NECがDenodo Platformの提供開始、データ仮想統合技術によって企業のDX推進を加速
NECがDenodo Technologies社のデータ統合・管理ツール「Denodo Platform」の提供を2025年3月6日より開始する。散在するデータを複製することなく仮想統合する技術により、安定的で利用しやすいデータ活用基盤をエンタープライズ領域向けに提供。自社での活用実績に基づくプロフェッショナルサービスとコンサルティングサービスを展開し、顧客のDX推進を支援する。
NECがDenodo Platformの提供開始、データ仮想統合技術によって企業のDX推進を加速
NECがDenodo Technologies社のデータ統合・管理ツール「Denodo Platform」の提供を2025年3月6日より開始する。散在するデータを複製することなく仮想統合する技術により、安定的で利用しやすいデータ活用基盤をエンタープライズ領域向けに提供。自社での活用実績に基づくプロフェッショナルサービスとコンサルティングサービスを展開し、顧客のDX推進を支援する。
hacomonoが予約ボードを提供開始、スマートな店舗運営とデジタル化による業務効率化を実現
株式会社hacomonoは2025年3月6日、ウェルネス/運動施設向けマネジメントシステムの新機能として予約ボードの提供を開始した。タッチパネルによる簡単操作、暗証番号設定による予約保護、オンラインでの空き状況確認など、従来のホワイトボード運用からの脱却を実現。スタッフの業務効率化と店舗ブランディングの向上にも貢献する。
hacomonoが予約ボードを提供開始、スマートな店舗運営とデジタル化による業務効率化を実現
株式会社hacomonoは2025年3月6日、ウェルネス/運動施設向けマネジメントシステムの新機能として予約ボードの提供を開始した。タッチパネルによる簡単操作、暗証番号設定による予約保護、オンラインでの空き状況確認など、従来のホワイトボード運用からの脱却を実現。スタッフの業務効率化と店舗ブランディングの向上にも貢献する。
【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリス...
ポルトガル語圏向け医療機関管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性が発見された。historico_paciente.phpエンドポイントに存在するこの脆弱性は、CVSSスコア10.0を記録する深刻な問題で、攻撃者による患者情報への不正アクセスを許す可能性がある。開発元は対策版となるバージョン3.2.14をリリースし、全ユーザーに対して早急なアップグレードを推奨している。
【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリス...
ポルトガル語圏向け医療機関管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性が発見された。historico_paciente.phpエンドポイントに存在するこの脆弱性は、CVSSスコア10.0を記録する深刻な問題で、攻撃者による患者情報への不正アクセスを許す可能性がある。開発元は対策版となるバージョン3.2.14をリリースし、全ユーザーに対して早急なアップグレードを推奨している。
【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグ...
GitHubは2025年2月18日、ポルトガル語圏向けのオープンソースWeb管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性を公開した。CVSSスコア9.4のクリティカルな評価を受けたこの脆弱性は、認証済み攻撃者による任意のSQLクエリ実行を許可してしまう。影響を受けるバージョン3.2.13未満のユーザーは、早急な最新版へのアップグレードが推奨される。
【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグ...
GitHubは2025年2月18日、ポルトガル語圏向けのオープンソースWeb管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性を公開した。CVSSスコア9.4のクリティカルな評価を受けたこの脆弱性は、認証済み攻撃者による任意のSQLクエリ実行を許可してしまう。影響を受けるバージョン3.2.13未満のユーザーは、早急な最新版へのアップグレードが推奨される。
【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、...
サイバー実験とシミュレーション向けフレームワークGHOSTSにおいて、深刻なパストラバーサル脆弱性が発見された。version 8.0.0.0から8.2.7.90未満のバージョンで、NPCプロファイル写真取得エンドポイントのファイルパス検証が不適切であり、任意のファイルへのアクセスが可能となっている。CVSSスコア8.7の高リスク脆弱性として、早急なアップデートが推奨される。
【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、...
サイバー実験とシミュレーション向けフレームワークGHOSTSにおいて、深刻なパストラバーサル脆弱性が発見された。version 8.0.0.0から8.2.7.90未満のバージョンで、NPCプロファイル写真取得エンドポイントのファイルパス検証が不適切であり、任意のファイルへのアクセスが可能となっている。CVSSスコア8.7の高リスク脆弱性として、早急なアップデートが推奨される。
【CVE-2025-27098】GraphQL Meshにパストラバーサルの脆弱性、ファイルシ...
GitHubは2025年2月20日、GraphQL Meshの静的ファイルハンドラーに重大な脆弱性を発見したことを公開した。この脆弱性により、サーバーのファイルシステム全体へのアクセスが可能となる。影響を受けるバージョンは@graphql-mesh/cli 0.78.0以上0.82.22未満、@graphql-mesh/http 0.3.19未満であり、早急なアップデートが推奨される。
【CVE-2025-27098】GraphQL Meshにパストラバーサルの脆弱性、ファイルシ...
GitHubは2025年2月20日、GraphQL Meshの静的ファイルハンドラーに重大な脆弱性を発見したことを公開した。この脆弱性により、サーバーのファイルシステム全体へのアクセスが可能となる。影響を受けるバージョンは@graphql-mesh/cli 0.78.0以上0.82.22未満、@graphql-mesh/http 0.3.19未満であり、早急なアップデートが推奨される。
【CVE-2025-1539】D-Link DAP-1320にスタックベースバッファオーバーフ...
D-Link DAP-1320バージョン1.00のstoragein.pd-XXXXXXファイルにおけるreplace_special_char関数に、深刻なスタックベースバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大9.0を記録し、リモートからの攻撃が可能であることが判明。既にパブリックに公開されているものの、サポート終了製品であるため正式な修正プログラムの提供は期待できない状況となっている。
【CVE-2025-1539】D-Link DAP-1320にスタックベースバッファオーバーフ...
D-Link DAP-1320バージョン1.00のstoragein.pd-XXXXXXファイルにおけるreplace_special_char関数に、深刻なスタックベースバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大9.0を記録し、リモートからの攻撃が可能であることが判明。既にパブリックに公開されているものの、サポート終了製品であるため正式な修正プログラムの提供は期待できない状況となっている。
【CVE-2025-1471】Eclipse OMRに深刻なバッファオーバーフロー脆弱性、バー...
Eclipse Foundationは2025年2月21日、Eclipse OMRのバージョン0.2.0から0.4.0に影響するバッファオーバーフロー脆弱性を公開した。CVSSスコア7.1のHIGHと評価されるこの脆弱性は、z/OS atoe印刷機能の文字列変換処理に起因する。バージョン0.5.0では変換バッファのサイズ調整とチェック機能の強化により修正が完了している。
【CVE-2025-1471】Eclipse OMRに深刻なバッファオーバーフロー脆弱性、バー...
Eclipse Foundationは2025年2月21日、Eclipse OMRのバージョン0.2.0から0.4.0に影響するバッファオーバーフロー脆弱性を公開した。CVSSスコア7.1のHIGHと評価されるこの脆弱性は、z/OS atoe印刷機能の文字列変換処理に起因する。バージョン0.5.0では変換バッファのサイズ調整とチェック機能の強化により修正が完了している。
【CVE-2025-1581】PHPGurukul Online Nurse Hiring S...
PHPGurukul Online Nurse Hiring System 1.0のbook-nurse.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価されており、リモートからの攻撃が可能な状態。脆弱性はcontactname引数の操作により発生し、攻撃手法も公開済み。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、早急な対応が必要とされている。
【CVE-2025-1581】PHPGurukul Online Nurse Hiring S...
PHPGurukul Online Nurse Hiring System 1.0のbook-nurse.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価されており、リモートからの攻撃が可能な状態。脆弱性はcontactname引数の操作により発生し、攻撃手法も公開済み。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、早急な対応が必要とされている。
【CVE-2025-1579】code-projects Blood Bank System ...
code-projects Blood Bank System 1.0のadmin/user.phpファイルにおいて、emailパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア4.8のMedium評価とされており、高い権限レベルは必要であるものの攻撃条件の複雑さは低く、既に一般に公開されている。医療情報を扱うシステムであることから、早急な対応が求められている。
【CVE-2025-1579】code-projects Blood Bank System ...
code-projects Blood Bank System 1.0のadmin/user.phpファイルにおいて、emailパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア4.8のMedium評価とされており、高い権限レベルは必要であるものの攻撃条件の複雑さは低く、既に一般に公開されている。医療情報を扱うシステムであることから、早急な対応が求められている。
【CVE-2025-1592】SourceCodester Best Employee Man...
VulDBが2025年2月23日、SourceCodester Best Employee Management System 1.0の管理者画面Role.phpにクロスサイトスクリプティング脆弱性を発見したと報告。assign_name/descriptionパラメータの不適切な処理により、リモートからの攻撃が可能。CVSSスコア4.8のMedium評価だが、管理者権限での操作を必要とする特権昇格の可能性があり、早急な対応が求められる。
【CVE-2025-1592】SourceCodester Best Employee Man...
VulDBが2025年2月23日、SourceCodester Best Employee Management System 1.0の管理者画面Role.phpにクロスサイトスクリプティング脆弱性を発見したと報告。assign_name/descriptionパラメータの不適切な処理により、リモートからの攻撃が可能。CVSSスコア4.8のMedium評価だが、管理者権限での操作を必要とする特権昇格の可能性があり、早急な対応が求められる。
【CVE-2025-1596】SourceCodester Best Church Manag...
VulDBが2025年2月23日、SourceCodester Best Church Management Software 1.0のfpassword.phpファイルに重大なSQL injection脆弱性を発見したことを公表した。この脆弱性はCVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特別な権限も必要としない。既に一般公開されており、早急な対策が求められている。ベンダーからの応答が得られていない状況も相まって、深刻な事態となっている。
【CVE-2025-1596】SourceCodester Best Church Manag...
VulDBが2025年2月23日、SourceCodester Best Church Management Software 1.0のfpassword.phpファイルに重大なSQL injection脆弱性を発見したことを公表した。この脆弱性はCVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特別な権限も必要としない。既に一般公開されており、早急な対策が求められている。ベンダーからの応答が得られていない状況も相まって、深刻な事態となっている。
【CVE-2025-1675】ZephyrプロジェクトのDNS機能に深刻な脆弱性、バッファオー...
Zephyr Projectのdns_pack.cファイル内のdns_copy_qname関数において、信頼できないフィールドに対するmemcpy操作時にソースバッファのサイズチェックが行われていない脆弱性が発見された。CVE-2025-1675として識別されたこの問題は、CVSSスコア8.2の高リスクと評価され、version 4.0までのバージョンに影響を与える。攻撃の自動化は確認されていないものの、情報漏洩やシステムの可用性に深刻な影響を及ぼす可能性がある。
【CVE-2025-1675】ZephyrプロジェクトのDNS機能に深刻な脆弱性、バッファオー...
Zephyr Projectのdns_pack.cファイル内のdns_copy_qname関数において、信頼できないフィールドに対するmemcpy操作時にソースバッファのサイズチェックが行われていない脆弱性が発見された。CVE-2025-1675として識別されたこの問題は、CVSSスコア8.2の高リスクと評価され、version 4.0までのバージョンに影響を与える。攻撃の自動化は確認されていないものの、情報漏洩やシステムの可用性に深刻な影響を及ぼす可能性がある。
【CVE-2025-27142】LocalSendにパストラバーサルの脆弱性、近接デバイスから...
LocalSendのファイルアップロードエンドポイントにパストラバーサルの脆弱性が発見された。バージョン1.17.0未満が影響を受け、近接デバイスから任意のディレクトリにファイルを書き込むことが可能となる。特にQuick Save機能が有効な場合、ユーザーの操作なしに悪意のあるファイルが保存される可能性があり、WindowsのStartupフォルダやLinuxのBash関連ファイルを通じて任意のコマンドが実行されるリスクがある。
【CVE-2025-27142】LocalSendにパストラバーサルの脆弱性、近接デバイスから...
LocalSendのファイルアップロードエンドポイントにパストラバーサルの脆弱性が発見された。バージョン1.17.0未満が影響を受け、近接デバイスから任意のディレクトリにファイルを書き込むことが可能となる。特にQuick Save機能が有効な場合、ユーザーの操作なしに悪意のあるファイルが保存される可能性があり、WindowsのStartupフォルダやLinuxのBash関連ファイルを通じて任意のコマンドが実行されるリスクがある。