Tech Insights

【CVE-2025-3266】TinyWebServer 1.0でスタックベースバッファオーバーフローの脆弱性が発見、リモート攻撃の可能性あり

【CVE-2025-3266】TinyWebServer 1.0でスタックベースバッファオーバ...

qinguoyi社のTinyWebServer 1.0において、/http/http_conn.cppファイル内の機能に重大な脆弱性が発見された。この脆弱性はname/password引数の操作によってスタックベースのバッファオーバーフローを引き起こす可能性があり、リモートからの攻撃が可能。CVSSスコアは最大7.3(HIGH)で評価され、エクスプロイトコードが既に公開されているため、早急な対応が必要とされている。

【CVE-2025-3266】TinyWebServer 1.0でスタックベースバッファオーバ...

qinguoyi社のTinyWebServer 1.0において、/http/http_conn.cppファイル内の機能に重大な脆弱性が発見された。この脆弱性はname/password引数の操作によってスタックベースのバッファオーバーフローを引き起こす可能性があり、リモートからの攻撃が可能。CVSSスコアは最大7.3(HIGH)で評価され、エクスプロイトコードが既に公開されているため、早急な対応が必要とされている。

【CVE-2025-3252】xujiangfei admintwo 1.0にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2025-3252】xujiangfei admintwo 1.0にクロスサイトスク...

xujiangfei admintwo 1.0において、/resource/addファイル内のName引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-3252として識別されるこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価されており、リモートからの攻撃が可能だ。特権レベルとユーザーの操作は必要だが、既に詳細が公開され悪用可能な状態となっている。

【CVE-2025-3252】xujiangfei admintwo 1.0にクロスサイトスク...

xujiangfei admintwo 1.0において、/resource/addファイル内のName引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-3252として識別されるこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価されており、リモートからの攻撃が可能だ。特権レベルとユーザーの操作は必要だが、既に詳細が公開され悪用可能な状態となっている。

【CVE-2024-3788】basewebのJSite 1.0でクロスサイトスクリプティングの脆弱性が発見、リモート攻撃の可能性

【CVE-2024-3788】basewebのJSite 1.0でクロスサイトスクリプティング...

VulDBは2025年4月18日、basewebのJSite 1.0に深刻な脆弱性が発見されたと発表した。この脆弱性はCVE-2024-3788として識別され、/a/sys/user/saveのName引数を介してクロスサイトスクリプティング攻撃が可能となる。CVSSスコアは5.1を示しており、リモートからの攻撃が可能なため早急な対応が必要とされている。

【CVE-2024-3788】basewebのJSite 1.0でクロスサイトスクリプティング...

VulDBは2025年4月18日、basewebのJSite 1.0に深刻な脆弱性が発見されたと発表した。この脆弱性はCVE-2024-3788として識別され、/a/sys/user/saveのName引数を介してクロスサイトスクリプティング攻撃が可能となる。CVSSスコアは5.1を示しており、リモートからの攻撃が可能なため早急な対応が必要とされている。

【CVE-2025-3378】PCMan FTP Server 2.0.7にバッファオーバーフロー脆弱性、リモート攻撃のリスクで緊急対応が必要に

【CVE-2025-3378】PCMan FTP Server 2.0.7にバッファオーバーフ...

PCMan FTP Server 2.0.7のEPRT Command Handlerコンポーネントにバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大7.5で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている。認証不要で攻撃可能なため、早急な対策が求められる。CVE-2025-3378として登録されており、CWE-120およびCWE-119に分類される重大な脆弱性だ。

【CVE-2025-3378】PCMan FTP Server 2.0.7にバッファオーバーフ...

PCMan FTP Server 2.0.7のEPRT Command Handlerコンポーネントにバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大7.5で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている。認証不要で攻撃可能なため、早急な対策が求められる。CVE-2025-3378として登録されており、CWE-120およびCWE-119に分類される重大な脆弱性だ。

【CVE-2025-3787】PbootCMS 3.2.5にSSRF脆弱性が発見、Image Handler機能での攻撃リスクが上昇

【CVE-2025-3787】PbootCMS 3.2.5にSSRF脆弱性が発見、Image ...

PbootCMS 3.2.5のImage Handler機能において、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。CVE-2025-3787として識別されるこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価されており、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-3787】PbootCMS 3.2.5にSSRF脆弱性が発見、Image ...

PbootCMS 3.2.5のImage Handler機能において、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。CVE-2025-3787として識別されるこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価されており、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-3422】Everest Forms 3.1.1にショートコード実行の脆弱性、Subscriber権限で悪用の可能性

【CVE-2025-3422】Everest Forms 3.1.1にショートコード実行の脆弱...

WordPressプラグインのEverest Forms 3.1.1以前のバージョンに、認証済みユーザーによる任意のショートコード実行の脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が悪用可能で、CVSS v3.1で中程度の深刻度と評価されている。do_shortcode実行前の値の検証が不十分なことが原因で、早急なアップデートが推奨される。

【CVE-2025-3422】Everest Forms 3.1.1にショートコード実行の脆弱...

WordPressプラグインのEverest Forms 3.1.1以前のバージョンに、認証済みユーザーによる任意のショートコード実行の脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が悪用可能で、CVSS v3.1で中程度の深刻度と評価されている。do_shortcode実行前の値の検証が不十分なことが原因で、早急なアップデートが推奨される。

【CVE-2025-3034】MozillaがFirefox136とThunderbird136のメモリ安全性脆弱性を修正、任意のコード実行のリスクに対処

【CVE-2025-3034】MozillaがFirefox136とThunderbird13...

MozillaはFirefox 136とThunderbird 136においてメモリ安全性に関わる重大な脆弱性を発見し、Firefox 137とThunderbird 137で修正を実施した。CVE-2025-3034として識別されたこの脆弱性は、CVSS v3.1で8.1(HIGH)と評価され、メモリ破損の痕跡から任意のコード実行の可能性が指摘されている。Andrew McCreightとMozilla Fuzzingチームによる迅速な対応により、ユーザーの安全性が確保された。

【CVE-2025-3034】MozillaがFirefox136とThunderbird13...

MozillaはFirefox 136とThunderbird 136においてメモリ安全性に関わる重大な脆弱性を発見し、Firefox 137とThunderbird 137で修正を実施した。CVE-2025-3034として識別されたこの脆弱性は、CVSS v3.1で8.1(HIGH)と評価され、メモリ破損の痕跡から任意のコード実行の可能性が指摘されている。Andrew McCreightとMozilla Fuzzingチームによる迅速な対応により、ユーザーの安全性が確保された。

【CVE-2025-30305】Adobe XMP Toolkitに境界外読み取りの脆弱性、ASLRバイパスのリスクが発生

【CVE-2025-30305】Adobe XMP Toolkitに境界外読み取りの脆弱性、A...

Adobeは2025年4月8日、XMP Toolkitの2023.12以前のバージョンに境界外読み取りの脆弱性が存在することを公表した。CVSSスコア5.5の中度の脆弱性で、悪意のあるファイルを開くことで機密メモリが露出し、ASLRなどの保護機能が回避される可能性がある。攻撃には特権は不要だがユーザーの操作が必要となる。

【CVE-2025-30305】Adobe XMP Toolkitに境界外読み取りの脆弱性、A...

Adobeは2025年4月8日、XMP Toolkitの2023.12以前のバージョンに境界外読み取りの脆弱性が存在することを公表した。CVSSスコア5.5の中度の脆弱性で、悪意のあるファイルを開くことで機密メモリが露出し、ASLRなどの保護機能が回避される可能性がある。攻撃には特権は不要だがユーザーの操作が必要となる。

【CVE-2025-29649】TP-Link TL-WR840N routerにSQL Injection脆弱性、エミュレータ環境での再現性に議論

【CVE-2025-29649】TP-Link TL-WR840N routerにSQL In...

TP-Link TL-WR840N router version 1.0のログインダッシュボードにSQL Injection脆弱性が発見された。CVSSスコア7.3のHigh評価で、未認証の攻撃者がユーザー名とパスワードフィールドを通じて悪意のあるSQL文を実行可能。ただしエミュレータ環境でのみ再現可能であり、実環境での影響については議論の余地がある。

【CVE-2025-29649】TP-Link TL-WR840N routerにSQL In...

TP-Link TL-WR840N router version 1.0のログインダッシュボードにSQL Injection脆弱性が発見された。CVSSスコア7.3のHigh評価で、未認証の攻撃者がユーザー名とパスワードフィールドを通じて悪意のあるSQL文を実行可能。ただしエミュレータ環境でのみ再現可能であり、実環境での影響については議論の余地がある。

アズジェントが米VicariusのCTERソリューションVicarius VRXを販売開始、未提供パッチにも対応可能な脆弱性対策を実現

アズジェントが米VicariusのCTERソリューションVicarius VRXを販売開始、未...

株式会社アズジェントが米Vicarius Ltd.と販売契契約を締結し、脆弱性対策ソリューション「Vicarius VRX」の販売を2025年6月より開始する。同製品は脆弱性をニアリアルタイムに検出し、パッチ適用、修正スクリプト提供、バーチャルパッチの3段階で対応が可能。開発元からパッチが未提供の場合でも迅速な脆弱性対策を実現できる点が特徴だ。価格はオープンプライスで、250アセットの参考価格は225万円から。

アズジェントが米VicariusのCTERソリューションVicarius VRXを販売開始、未...

株式会社アズジェントが米Vicarius Ltd.と販売契契約を締結し、脆弱性対策ソリューション「Vicarius VRX」の販売を2025年6月より開始する。同製品は脆弱性をニアリアルタイムに検出し、パッチ適用、修正スクリプト提供、バーチャルパッチの3段階で対応が可能。開発元からパッチが未提供の場合でも迅速な脆弱性対策を実現できる点が特徴だ。価格はオープンプライスで、250アセットの参考価格は225万円から。

日立システムズがPhishWallプレミアムを機能強化、サポート詐欺対策機能の追加でインターネットバンキングの安全性向上へ

日立システムズがPhishWallプレミアムを機能強化、サポート詐欺対策機能の追加でインターネ...

日立システムズは2025年4月24日、不正送金・フィッシング詐欺対策サービス「PhishWallプレミアム」にサポート詐欺対策機能を追加する。国内約200の金融機関に導入されている同サービスは、偽のセキュリティ警告を使用した詐欺サイトを検知し警告を表示。2023年の不正送金被害は5,578件・87.3億円と過去最多を更新しており、新機能で被害防止を図る。

日立システムズがPhishWallプレミアムを機能強化、サポート詐欺対策機能の追加でインターネ...

日立システムズは2025年4月24日、不正送金・フィッシング詐欺対策サービス「PhishWallプレミアム」にサポート詐欺対策機能を追加する。国内約200の金融機関に導入されている同サービスは、偽のセキュリティ警告を使用した詐欺サイトを検知し警告を表示。2023年の不正送金被害は5,578件・87.3億円と過去最多を更新しており、新機能で被害防止を図る。

NTTデータ関西がデジタル庁標準仕様準拠の申請管理システムを自治体向けに販売開始、行政手続きのDX化を推進

NTTデータ関西がデジタル庁標準仕様準拠の申請管理システムを自治体向けに販売開始、行政手続きの...

株式会社NTTデータ関西は2025年4月から、デジタル庁の標準仕様に準拠し政令市にも対応可能な申請管理システムの販売を開始する。マイナポータルからの申請データを基幹システムへ一気通貫で連携できる機能を備え、自治体業務の効率化と住民サービスの向上を実現。2023年1月から提供してきたシステムに新機能を追加し、地方公共団体の基幹業務システム統一・標準化に貢献する。

NTTデータ関西がデジタル庁標準仕様準拠の申請管理システムを自治体向けに販売開始、行政手続きの...

株式会社NTTデータ関西は2025年4月から、デジタル庁の標準仕様に準拠し政令市にも対応可能な申請管理システムの販売を開始する。マイナポータルからの申請データを基幹システムへ一気通貫で連携できる機能を備え、自治体業務の効率化と住民サービスの向上を実現。2023年1月から提供してきたシステムに新機能を追加し、地方公共団体の基幹業務システム統一・標準化に貢献する。

Microsoft Build of OpenJDKがAzure Linux 3.0ベースの新コンテナイメージを発表、Mariner Linux 2.0からの移行戦略を明確化

Microsoft Build of OpenJDKがAzure Linux 3.0ベースの新...

MicrosoftのJava Engineering Groupは、Microsoft Build of OpenJDKのコンテナイメージ更新計画を発表した。2025年7月のMariner Linux 2.0 EOLに向け、Azure Linux 3.0ベースの新タグjdk:[ver]-azurelinuxを4月末から提供開始。既存のjdk:[ver]-marinerタグは6月30日まで現行版を維持し、その後Azure Linuxベースに自動移行される。移行期間中はjdk:[ver]-mariner-cm2タグで旧環境の保持が可能。

Microsoft Build of OpenJDKがAzure Linux 3.0ベースの新...

MicrosoftのJava Engineering Groupは、Microsoft Build of OpenJDKのコンテナイメージ更新計画を発表した。2025年7月のMariner Linux 2.0 EOLに向け、Azure Linux 3.0ベースの新タグjdk:[ver]-azurelinuxを4月末から提供開始。既存のjdk:[ver]-marinerタグは6月30日まで現行版を維持し、その後Azure Linuxベースに自動移行される。移行期間中はjdk:[ver]-mariner-cm2タグで旧環境の保持が可能。

アデコが東京都中小企業デジタルコンシェルジュ事業を開始、ワンストップでデジタル化支援を提供

アデコが東京都中小企業デジタルコンシェルジュ事業を開始、ワンストップでデジタル化支援を提供

アデコ株式会社が東京都より受託した中小企業デジタルコンシェルジュ事業の運営を2025年4月24日より開始。企業のデジタル化状況に応じた支援をワンストップで提供し、5月28日には生成AI活用セミナーを開催予定。官公庁での実績を活かし、デジタル化ノウハウを提供することで、中小企業のデジタルトランスフォーメーションを促進していく。

アデコが東京都中小企業デジタルコンシェルジュ事業を開始、ワンストップでデジタル化支援を提供

アデコ株式会社が東京都より受託した中小企業デジタルコンシェルジュ事業の運営を2025年4月24日より開始。企業のデジタル化状況に応じた支援をワンストップで提供し、5月28日には生成AI活用セミナーを開催予定。官公庁での実績を活かし、デジタル化ノウハウを提供することで、中小企業のデジタルトランスフォーメーションを促進していく。

MicrosoftがCopilot Wave 2を発表、AIエージェントとの協業を加速する新機能を多数搭載

MicrosoftがCopilot Wave 2を発表、AIエージェントとの協業を加速する新機...

MicrosoftはMicrosoft 365 Copilot Wave 2の春リリースを発表し、AI駆動の検索機能や新しいCreate体験、Copilot Notebooks、Agent Storeなど、人間とエージェントのコラボレーションを促進する新機能を追加。OpenAIの深い推論モデルを活用したResearcherとAnalystという2つの画期的な推論エージェントもFrontier programを通じて提供開始。

MicrosoftがCopilot Wave 2を発表、AIエージェントとの協業を加速する新機...

MicrosoftはMicrosoft 365 Copilot Wave 2の春リリースを発表し、AI駆動の検索機能や新しいCreate体験、Copilot Notebooks、Agent Storeなど、人間とエージェントのコラボレーションを促進する新機能を追加。OpenAIの深い推論モデルを活用したResearcherとAnalystという2つの画期的な推論エージェントもFrontier programを通じて提供開始。

愛知県住宅供給公社で661人分の個人情報漏えいの可能性、委託先のランサムウェア被害で必要外の情報提供も判明

愛知県住宅供給公社で661人分の個人情報漏えいの可能性、委託先のランサムウェア被害で必要外の情...

愛知県住宅供給公社は2025年4月23日、水質検査業務を委託していたサンエイ株式会社のランサムウェア被害により、県営住宅及び一宮市営住宅の入居者の個人情報661人分が外部に漏えいした可能性があると公表した。調査により委託業務に必要のない個人情報まで提供されていた事実も明らかとなり、公社は再発防止策の徹底と個人情報管理の強化を進めている。

愛知県住宅供給公社で661人分の個人情報漏えいの可能性、委託先のランサムウェア被害で必要外の情...

愛知県住宅供給公社は2025年4月23日、水質検査業務を委託していたサンエイ株式会社のランサムウェア被害により、県営住宅及び一宮市営住宅の入居者の個人情報661人分が外部に漏えいした可能性があると公表した。調査により委託業務に必要のない個人情報まで提供されていた事実も明らかとなり、公社は再発防止策の徹底と個人情報管理の強化を進めている。

MetaがFacebookフィードのスパム対策を発表、コンテンツ品質向上とクリエイター保護を強化

MetaがFacebookフィードのスパム対策を発表、コンテンツ品質向上とクリエイター保護を強化

MetaはFacebookフィードのスパムコンテンツ増加に対する包括的な対策を発表した。長文キャプションや大量ハッシュタグを使用するアカウントの制限、スパムネットワークの排除、なりすまし対策の強化などを実施。2024年には1億件以上の偽装ページと2300万件以上のなりすましプロフィールを削除し、プラットフォームの健全性向上を目指している。

MetaがFacebookフィードのスパム対策を発表、コンテンツ品質向上とクリエイター保護を強化

MetaはFacebookフィードのスパムコンテンツ増加に対する包括的な対策を発表した。長文キャプションや大量ハッシュタグを使用するアカウントの制限、スパムネットワークの排除、なりすまし対策の強化などを実施。2024年には1億件以上の偽装ページと2300万件以上のなりすましプロフィールを削除し、プラットフォームの健全性向上を目指している。

NTTデータグループがOpenAIと戦略的提携を開始、生成AI技術で1,000億円規模の売上目標へ

NTTデータグループがOpenAIと戦略的提携を開始、生成AI技術で1,000億円規模の売上目標へ

NTTデータグループは2025年5月1日からOpenAIとグローバルでの戦略的提携を開始する。両社の強みを活かした高度なAIエージェント等の生成AIサービスを展開し、金融、製造、流通、ヘルスケアなど幅広い業界での業務変革を支援。OpenAI関連事業で2027年度末までに累計1,000億円規模の売上を目指す。日本初の販売代理店として大手企業向けにChatGPT Enterpriseも提供予定。

NTTデータグループがOpenAIと戦略的提携を開始、生成AI技術で1,000億円規模の売上目標へ

NTTデータグループは2025年5月1日からOpenAIとグローバルでの戦略的提携を開始する。両社の強みを活かした高度なAIエージェント等の生成AIサービスを展開し、金融、製造、流通、ヘルスケアなど幅広い業界での業務変革を支援。OpenAI関連事業で2027年度末までに累計1,000億円規模の売上を目指す。日本初の販売代理店として大手企業向けにChatGPT Enterpriseも提供予定。

【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップロードの脆弱性が存在

【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップ...

TIBCO Software社のSpotfire製品群に重大な脆弱性が発見された。CVSSスコア9.4のクリティカルな脆弱性で、攻撃者による悪意のあるコード実行やファイルアップロードを可能にする。Spotfire Statistics ServicesやAnalyst、Desktop、Python/Rサービスなど、複数の製品のバージョン14系列とバージョン1.17-1.21.1に影響。特権昇格やデータ改ざんの可能性があり、早急な対応が必要。

【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップ...

TIBCO Software社のSpotfire製品群に重大な脆弱性が発見された。CVSSスコア9.4のクリティカルな脆弱性で、攻撃者による悪意のあるコード実行やファイルアップロードを可能にする。Spotfire Statistics ServicesやAnalyst、Desktop、Python/Rサービスなど、複数の製品のバージョン14系列とバージョン1.17-1.21.1に影響。特権昇格やデータ改ざんの可能性があり、早急な対応が必要。

【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンにバッファオーバーフロー脆弱性、リモート攻撃の可能性あり

【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンに...

Tenda AC15のWifiExtraSetにおけるfromSetWirelessRepeat機能に重大な脆弱性が発見された。この脆弱性はバッファオーバーフローを引き起こす可能性があり、V15.03.05.19以前の全バージョンに影響を与える。CVSSスコアは8.8(High)と評価され、リモートからの攻撃が可能で特権レベルは低いものの、ユーザーインタラクションは不要。既に攻撃コードが公開されており、早急な対応が必要とされている。

【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンに...

Tenda AC15のWifiExtraSetにおけるfromSetWirelessRepeat機能に重大な脆弱性が発見された。この脆弱性はバッファオーバーフローを引き起こす可能性があり、V15.03.05.19以前の全バージョンに影響を与える。CVSSスコアは8.8(High)と評価され、リモートからの攻撃が可能で特権レベルは低いものの、ユーザーインタラクションは不要。既に攻撃コードが公開されており、早急な対応が必要とされている。

【CVE-2025-3783】SourceCodester Web-based Pharmacy Management Systemに重大な脆弱性、無制限アップロードによる攻撃のリスクが発生

【CVE-2025-3783】SourceCodester Web-based Pharmac...

SourceCodester Web-based Pharmacy Product Management System 1.0のadd-product.phpファイルに重大な脆弱性が発見された。Avatar引数の操作により無制限アップロードが可能となり、リモートからの攻撃実行のリスクが存在する。CVSSスコア6.3でMediumレベルと評価され、既に一般に公開されているため早急な対応が必要となっている。

【CVE-2025-3783】SourceCodester Web-based Pharmac...

SourceCodester Web-based Pharmacy Product Management System 1.0のadd-product.phpファイルに重大な脆弱性が発見された。Avatar引数の操作により無制限アップロードが可能となり、リモートからの攻撃実行のリスクが存在する。CVSSスコア6.3でMediumレベルと評価され、既に一般に公開されているため早急な対応が必要となっている。

【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正アクセスのリスクが深刻に

【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正...

TOTOLINK A3700R 9.1.2u.5822_B20200513において、setSmartQosCfg機能に重大な脆弱性が発見された。CVSSスコア6.9のこの脆弱性は、リモートからの攻撃が可能で特別な権限も不要とされている。すでに攻撃コードが公開されているにもかかわらず、メーカーからの対応は示されておらず、早急な対策が求められる状況が続いている。

【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正...

TOTOLINK A3700R 9.1.2u.5822_B20200513において、setSmartQosCfg機能に重大な脆弱性が発見された。CVSSスコア6.9のこの脆弱性は、リモートからの攻撃が可能で特別な権限も不要とされている。すでに攻撃コードが公開されているにもかかわらず、メーカーからの対応は示されておらず、早急な対策が求められる状況が続いている。

【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5.5.2に重大な脆弱性、SQLインジェクション攻撃のリスクが発生

【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5...

Seeyon Zhiyuan Interconnect FE Collaborative Office Platform 5.5.2において、/sysform/042/check.js%70ファイルのName引数処理に関連する重大な脆弱性が発見された。この脆弱性はSQLインジェクション攻撃を可能とし、CVSSスコアは最大6.3(MEDIUM)と評価されている。既に攻撃手法が公開されており、早急な対応が必要とされているが、ベンダーからの対応は得られていない状況だ。

【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5...

Seeyon Zhiyuan Interconnect FE Collaborative Office Platform 5.5.2において、/sysform/042/check.js%70ファイルのName引数処理に関連する重大な脆弱性が発見された。この脆弱性はSQLインジェクション攻撃を可能とし、CVSSスコアは最大6.3(MEDIUM)と評価されている。既に攻撃手法が公開されており、早急な対応が必要とされているが、ベンダーからの対応は得られていない状況だ。

【CVE-2025-3674】TOTOLINK A3700Rに重大な脆弱性、不適切なアクセス制御で深刻な影響の可能性

【CVE-2025-3674】TOTOLINK A3700Rに重大な脆弱性、不適切なアクセス制...

TOTOLINK A3700R 9.1.2u.5822_B20200513において、setUrlFilterRules機能に重大な脆弱性が発見された。CVE-2025-3674として登録されたこの問題は、不適切なアクセス制御により、リモートからの攻撃が可能な状態となっている。CVSSスコア6.9を記録し、すでに攻撃コードが公開されているため、早急な対策が必要とされている。

【CVE-2025-3674】TOTOLINK A3700Rに重大な脆弱性、不適切なアクセス制...

TOTOLINK A3700R 9.1.2u.5822_B20200513において、setUrlFilterRules機能に重大な脆弱性が発見された。CVE-2025-3674として登録されたこの問題は、不適切なアクセス制御により、リモートからの攻撃が可能な状態となっている。CVSSスコア6.9を記録し、すでに攻撃コードが公開されているため、早急な対策が必要とされている。

【CVE-2025-3173】Project WorldsのOnline Lawyer Management Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが発覚

【CVE-2025-3173】Project WorldsのOnline Lawyer Man...

Project WorldsのOnline Lawyer Management System 1.0において、save_booking.phpファイルのlawyer_id引数にSQLインジェクションの脆弱性が発見された。CVE-2025-3173として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価であり、認証なしでリモートから攻撃可能。既に一般公開されており、情報漏洩やシステムへの不正アクセスのリスクが指摘されている。

【CVE-2025-3173】Project WorldsのOnline Lawyer Man...

Project WorldsのOnline Lawyer Management System 1.0において、save_booking.phpファイルのlawyer_id引数にSQLインジェクションの脆弱性が発見された。CVE-2025-3173として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価であり、認証なしでリモートから攻撃可能。既に一般公開されており、情報漏洩やシステムへの不正アクセスのリスクが指摘されている。

【CVE-2025-3268】TinyWebServer 1.0に重大な認証の脆弱性、リモートからの攻撃が可能に

【CVE-2025-3268】TinyWebServer 1.0に重大な認証の脆弱性、リモート...

qinguoyi社のTinyWebServer 1.0において、http_conn.cppファイル内のm_url_real引数に関する重大な認証の脆弱性が発見された。CVE-2025-3268として登録されたこの脆弱性は、リモートから攻撃可能でCVSSスコアは最大6.9を記録。既に攻撃コードが公開されており、早急な対応が必要とされている。

【CVE-2025-3268】TinyWebServer 1.0に重大な認証の脆弱性、リモート...

qinguoyi社のTinyWebServer 1.0において、http_conn.cppファイル内のm_url_real引数に関する重大な認証の脆弱性が発見された。CVE-2025-3268として登録されたこの脆弱性は、リモートから攻撃可能でCVSSスコアは最大6.9を記録。既に攻撃コードが公開されており、早急な対応が必要とされている。

【CVE-2025-3676】Novel-Plus 3.5.0にSQLインジェクションの脆弱性、ベンダーの対応が不在のまま詳細が公開

【CVE-2025-3676】Novel-Plus 3.5.0にSQLインジェクションの脆弱性...

VulDBが2025年4月16日、Novel-Plus 3.5.0の検索機能に重大な脆弱性を発見したことを公開した。/api/front/searchのbooksエンドポイントのsortパラメータを通じてSQLインジェクション攻撃が可能となっており、CVSS 4.0で5.3のスコアを記録。ベンダーへの早期通知も行われたが対応は得られておらず、脆弱性の詳細が一般に公開された状態となっている。

【CVE-2025-3676】Novel-Plus 3.5.0にSQLインジェクションの脆弱性...

VulDBが2025年4月16日、Novel-Plus 3.5.0の検索機能に重大な脆弱性を発見したことを公開した。/api/front/searchのbooksエンドポイントのsortパラメータを通じてSQLインジェクション攻撃が可能となっており、CVSS 4.0で5.3のスコアを記録。ベンダーへの早期通知も行われたが対応は得られておらず、脆弱性の詳細が一般に公開された状態となっている。

【CVE-2025-3421】Everest Forms 3.1.1以前のバージョンでXSS脆弱性が発見、ユーザー操作による不正スクリプト実行の危険性

【CVE-2025-3421】Everest Forms 3.1.1以前のバージョンでXSS脆...

WordPressプラグインのEverest Forms 3.1.1以前のバージョンで反射型クロスサイトスクリプティング脆弱性が発見された。form_idパラメータを介した不正スクリプト実行が可能で、認証不要で攻撃可能。CVSS v3.1で深刻度6.1(中程度)と評価され、ユーザー操作による悪用の可能性があるため、早急な対応が推奨される。

【CVE-2025-3421】Everest Forms 3.1.1以前のバージョンでXSS脆...

WordPressプラグインのEverest Forms 3.1.1以前のバージョンで反射型クロスサイトスクリプティング脆弱性が発見された。form_idパラメータを介した不正スクリプト実行が可能で、認証不要で攻撃可能。CVSS v3.1で深刻度6.1(中程度)と評価され、ユーザー操作による悪用の可能性があるため、早急な対応が推奨される。

【CVE-2025-33026】PeaZip 10.4.0以前にMark-of-the-Web保護バイパスの脆弱性、任意のコード実行のリスクが浮上

【CVE-2025-33026】PeaZip 10.4.0以前にMark-of-the-Web...

MITREは2025年4月15日、圧縮・解凍ソフトウェアPeaZipにMark-of-the-Web保護をバイパスできる脆弱性を発見したことを公開した。この脆弱性はCVE-2025-33026として識別され、バージョン10.4.0以前に影響する。CVSSスコアは6.1(MEDIUM)で、攻撃には特権は不要だがユーザーの操作が必要。攻撃成功時には任意のコード実行が可能となる深刻な問題である。

【CVE-2025-33026】PeaZip 10.4.0以前にMark-of-the-Web...

MITREは2025年4月15日、圧縮・解凍ソフトウェアPeaZipにMark-of-the-Web保護をバイパスできる脆弱性を発見したことを公開した。この脆弱性はCVE-2025-33026として識別され、バージョン10.4.0以前に影響する。CVSSスコアは6.1(MEDIUM)で、攻撃には特権は不要だがユーザーの操作が必要。攻撃成功時には任意のコード実行が可能となる深刻な問題である。

【CVE-2025-32375】BentoMLのRunner Serverに重大な脆弱性、任意のコード実行のリスクに対応

【CVE-2025-32375】BentoMLのRunner Serverに重大な脆弱性、任意...

AIアプリケーションとモデル推論のためのPythonライブラリBentoMLにおいて、Runner Serverの不正なデシリアライゼーション処理に起因する重大な脆弱性が発見された。この脆弱性は【CVE-2025-32375】として識別され、CVSS 3.1で深刻度9.8のクリティカルと評価されている。バージョン1.4.8で修正されたが、それ以前のバージョンではサーバー上で任意のコードが実行可能な状態であった。

【CVE-2025-32375】BentoMLのRunner Serverに重大な脆弱性、任意...

AIアプリケーションとモデル推論のためのPythonライブラリBentoMLにおいて、Runner Serverの不正なデシリアライゼーション処理に起因する重大な脆弱性が発見された。この脆弱性は【CVE-2025-32375】として識別され、CVSS 3.1で深刻度9.8のクリティカルと評価されている。バージョン1.4.8で修正されたが、それ以前のバージョンではサーバー上で任意のコードが実行可能な状態であった。